I rischi maggiori per le applicazioni open-source non sono nel codice creato ma nelle librerie di terze parti!
È ancora poco chiaro come giudicare l’esito del sondaggio indetto da Veracode e riportato da DevClass dal titolo “State of Software Security 2025: A New View of Maturity“. È poco chiaro poiché il giudizio oscilla ampiamente tra “bella scoperta” e “molto interessante“.
È interessante infatti considerare la percentuale di applicazioni che sono allineate all’Open Web Application Security Project ed alla sua Top 10. Adeguarsi all’OWASP significa aderire ad uno standard di sviluppo delle applicazioni web unanimemente riconosciuto come valido per stabilire quanto una applicazione sia sicura, ed il report rivela come queste applicazioni siano incrementate dal 32% del 2020 al 52% del 2025.
Ma sembra anche essere l’unica bella notizia riportata nel documento. La percentuale di applicazioni contenenti falle di sicurezza ritenute gravi è salita del 181% ed il numero di giorni necessario alla loro risoluzione è salito del 47%.
Qui arriviamo alla parte “bella scoperta“. Il 70% di queste falle di sicurezza arriva dall’utilizzo di codice di terze parti:
Un dato che potrebbe essere giudicato banale, ma che racchiude in sé quanto l’implementazione moderna del codice sia fortemente dipendente da librerie esterne. È praticamente impossibile oggigiorno trovare applicazioni costruite da zero ed autosufficienti, che non utilizzino cioè codice esterno.
Le ragioni sono molteplici. In primis il fatto di non dover reinventare costantemente la ruota, ma poi anche la questione relativa all’adeguamento ad uno standard. È difficile, infatti, che qualche sviluppatore Python implementi da zero i moduli di connessione http e non usi libcurl.
Il problema è che non sempre si usa codice di terze parti della qualità di libcurl (che è addirittura CVE Numbering Authority) e lì nascono i veri problemi, evidenziati dai numeri del report.
È sensibile infatti il dato che indica come il 74,2% delle organizzazioni sia afflitta da debiti di sicurezza e la metà di queste siano di classe “critica”.
Insomma, la strada verso lo shift-left è ancora lunga e tortuosa. Come scrivevamo poche settimane fa, se è vero che l’adozione dell’approccio DevSecOps sta crescendo, la formazione degli sviluppatori non sta tenendo il passo.
Questo report lo certifica: stiamo sbagliando qualcosa.
Raoul Scarazzini
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
