Informe: Java es el lenguaje más propenso a sufrir vulnerabilidades de terceros

Según el informe State of DevSecOps 2024 de Datadog, el 90% de los servicios Java tienen al menos una o más vulnerabilidades críticas o de mayor gravedad. Esto se compara con aproximadamente el 75 % de los servicios de JavaScript, el 64 % de Python y el 50 % de .NET. El promedio para todos los idiomas estudiados fue del 47%. La empresa descubrió que los servicios Java también tienen más probabilidades de ser explotados activamente que otros lenguajes. El 55% sufrió, frente a una media del 7% en otras lenguas. Datadog cree que esto puede deberse a que existen muchas vulnerabilidades frecuentes en bibliotecas Java populares, como Tomcat, Spring Framework, Apache Struts, Log4j y ActiveMQ. “La hipótesis se fortalece cuando examinamos el origen típico de estas vulnerabilidades. En Java, el 63% de las vulnerabilidades altas y críticas surgen de dependencias indirectas, que son bibliotecas de terceros que se han incluido indirectamente en la aplicación. Estas vulnerabilidades suelen ser más difíciles de identificar, ya que las bibliotecas adicionales en las que aparecen a menudo se introducen en una aplicación sin saberlo”, escribió Datadog en el informe. La compañía dice que esto sirve como recordatorio de que los desarrolladores deben considerar todo el árbol de dependencias al escanear las vulnerabilidades de las aplicaciones, no solo las dependencias directas. El segundo hallazgo importante del informe es que la mayor cantidad de intentos de explotación se llevan a cabo mediante escáneres de seguridad automatizados, pero que la mayoría de estos ataques no son maliciosos y son solo una fuente de ruido para las empresas que intentan defenderse de los ataques. Sólo el 0,0065% de los ataques lanzados por escáneres de seguridad automatizados desencadenaron vulnerabilidades. Dada la prevalencia de estos ataques pero su inofensividad, Datadog cree que esto resalta la necesidad de un buen sistema para priorizar las alertas. Según el informe, el proyecto CVE descubrió más de 4.000 vulnerabilidades altas y 1.000 vulnerabilidades críticas el año pasado. Sin embargo, una investigación publicada en el Journal of Cybersecurity en 2020 encontró que solo el 5% de las vulnerabilidades son realmente explotadas. «Dadas estas cifras, es fácil ver por qué los profesionales están abrumados por la cantidad de vulnerabilidades que enfrentan y por qué necesitan marcos de priorización que les ayuden a centrarse en lo que importa», escribió Datadog. Datadog ha descubierto que las organizaciones que se esfuerzan por abordar sus vulnerabilidades críticas logran eliminarlas. El 63% de las organizaciones que tuvieron un CVE crítico en algún momento ya no lo tienen, y el 30% ha visto reducido a la mitad el número de vulnerabilidades críticas. La compañía aconseja a las organizaciones priorizar las vulnerabilidades en función de si el servicio afectado está expuesto públicamente, la vulnerabilidad se está ejecutando en producción o si hay un código disponible públicamente para el exploit. «Si bien otras vulnerabilidades aún pueden presentar riesgos, probablemente sólo deberían abordarse después de que los problemas cumplan con estos tres criterios», escribió Datadog. Otros hallazgos interesantes en el informe de Datadog son que las imágenes de contenedores livianos generan menos vulnerabilidades, la adopción de infraestructura como código es alta, las implementaciones manuales en la nube aún están generalizadas y el uso de credenciales de corta duración en CI/CD de canalizaciones sigue siendo bajo.

About Francisco

Check Also

El futuro de las apps de vídeos cortos #Infografía

El futuro de las aplicaciones de vídeos cortos es brillante, con rápidos avances tecnológicos y …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *