Instituto Tecnológico De Nuevo Laredo

Tópicos Avanzados de Bases de

Datos

Ingeniería en Sistemas
Computacionales
Resumen Reporte VERACODE
• Alumno:
• José Eduardo Ortega García. #19100229
Docente: Ing. Roberto Diaz Puerto.
Despues de leer el Reporte de VERACODE : Annual Report on the State of Application Security

Saque las siguientes conclusions del documento:

En el momento en que pasan a producción, casi un tercio de todas las aplicaciones tienen fallos de
seguridad, y las aplicaciones crecen alrededor de un 40 por ciento año tras año, independientemente
de su tamaño original. A medida que estas aplicaciones crecen y envejecen, los fallos se acumulan,
aumentando aún más la "deuda" técnica o de seguridad. Casi el 70% de las aplicaciones contienen
al menos un fallo de seguridad cuando llevan cinco años en producción, y las cosas no mejoran
después. Cuando una aplicación tiene 10 años, hay un 90% de posibilidades de que tenga al menos
un fallo.

Es interesante ver que la introducción de nuevos fallos se produce de forma escalante no se alinea
uniformemente con el crecimiento de una aplicación a lo largo del ciclo de vida de desarrollo del
software(SDLC).
Existen además diferentes tipos de escaneados pero no todos son perfectos, en su mayoría
presentan demasiados defectos dependiendo del escaneo:

Ciertas decisiones tomadas en una fase temprana del desarrollo pueden mejorar considerablemente
la seguridad a largo plazo.

En un mes cualquiera, se descubre que hay un 27% de probabilidades de que se introduzcan nuevos
fallos en una aplicación. En este reporte se proponen a seguir los pasos específicos que los equipos
podrían dar para reducir esta probabilidad y minimizar el número total de nuevos fallos introducidos.

Al indagar en los datos, se descubre que un escaneado más frecuente reduce ese 27% de referencia.
De hecho, una exploración en un mes determinado reduce la probabilidad de que se introduzcan
nuevos fallos en un 0,4%. Cuando se saltan meses entre escaneos, hay una mayor probabilidad de
encontrar fallos durante el siguiente escaneo.

También es importante revisar los métodos de prueba, ya que los principales fallos encontrados en
las aplicaciones varían según la herramienta. Los análisis estáticos, dinámicos y de composición de
software (SCA) encuentran fallos completamente diferentes en sus cinco tipos de fallos principales.
Si sólo se centra en un único tipo de análisis, puede estar pasando por alto algunos fallos difíciles de
identificar que sólo pueden detectarse mediante otro tipo de análisis. En particular, las
organizaciones que inician las exploraciones a través de la API reducen la probabilidad de que se
introduzcan fallos en un dos por ciento en un mes determinado.

Por último, las organizaciones que hacen hincapié en la educación y formación prácticas de los
desarrolladores reducen de forma considerable la probabilidad de que se introduzcan fallos. Además
de la reducción de la probabilidad, la realización de diez cursos de formación de Security Labs (que
son altamente experienciales) se relaciona con una reducción del 12% en el número de fallos.

El código abierto puede ser extremadamente frágil, así que se debe usarlo con cautela.

Dado el interés actual por el riesgo de la cadena de suministro de software y la lista de materiales
de software (SBOM), actualmente se están enfocando aun mas en las aplicaciones de código abierto,
pues como hemos visto en clase no tenemos la seguridad de que de donde se descarga o instala, no
ha sido modificado de alguna manera. Hicieron una exploración de 30.000 repositorios de código
abierto y se descubrió que la mitad de las bibliotecas que examinaron tenían al menos cinco años, y
el 10 por ciento de ellas superaba los 10 años. Curiosamente, el último commit del 10% de los
repositorios se realizó hace unos seis años, y el mismo porcentaje de repositorios tenía un único
colaborador.

Tambien hay que tomar en cuenta que los lenguajes de programación son diferentes en algunos
aspectos de seguridad, Java y .Net son de los lenguajes con mayor seguridad o mas seguros para
programar una aplicación.
En el reporte se menciona que Java tiene en común el desarrollo de muchas aplicaciones que
presentan muchas alertas de seguridad asi que los atacantes pueden intentar atacar de esa manera
la integridad de una aplicación para intentar hacerse con ella.