Los servicios Java son los más afectados por las vulnerabilidades de terceros, según el “Estado de DevSecOps 2024” informe recién publicado por el proveedor de seguridad en la nube Datadog.
Publicado el 17 de abril, el informe encontró que el 90% de Java Los servicios eran susceptibles a una o más vulnerabilidades críticas o de alta gravedad introducidas por una biblioteca de terceros. El promedio para otros idiomas fue del 47%.
El informe de Datadog analizó decenas de miles de aplicaciones e imágenes de contenedores y miles de entornos de nube para evaluar la seguridad de las aplicaciones. Después de Java en la evaluación de vulnerabilidades estaban javascriptaproximadamente el 70%; Pitón, al 62%; .NET, al 50%; PHP, al 35%; y Crecer) y Ruby, ambos con alrededor del 32%.
Los servicios Java también tenían más probabilidades de ser vulnerables a ataques del mundo real con uso documentado por parte de atacantes. Según una lista de vulnerabilidades mantenida por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., el 55% de los servicios Java se vieron afectados, frente al 7% de los creados con otros lenguajes.
Los hallazgos adicionales del informe incluyen:
- Al menos el 38% de las organizaciones que aprovechaban Amazon Web Services (AWS) habían implementado cargas de trabajo o completado acciones confidenciales manualmente a través de la consola de AWS en un entorno de producción dentro de un período de 14 días, lo que significa que dependían de operaciones de clics riesgosas en lugar de la automatización.
- El 63 % de las organizaciones siguen dependiendo de credenciales de larga duración, una de las causas más comunes de filtraciones de datos, en Canalizaciones de CI/CDincluso en los casos en que los de corta duración serían más prácticos y seguros.
- Solo valía la pena priorizar una pequeña porción de las vulnerabilidades identificadas.
- La adopción de infraestructura como código fue alta, pero varió según los proveedores de nube.
- La gran mayoría de los ataques realizados por escáneres de seguridad automatizados fueron inofensivos y sólo generaron ruido para los defensores.
- Las imágenes de contenedores livianos generan menos vulnerabilidades.
Datadog dijo que sus hallazgos demuestran que los modernos devops Estas prácticas van de la mano de fuertes medidas de seguridad. La seguridad en sí misma ayuda a impulsar la excelencia operativa, afirmó la compañía. Pero la seguridad sólo es realista cuando a los profesionales se les da suficiente contexto y prioridad para centrarse en lo que importa.
Copyright © 2024 IDG Communications, Inc.
