Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

2018 state of the software security report

36 views

Published on

Emerasoft e Sonatype presentano il webinar gratuito che illustra lo stato dell’arte sulla Software Security… e il tuo Software è sicuro? Contattaci per scoprirlo (sales@emerasoft.com)

Published in: Software
  • Be the first to like this

2018 state of the software security report

  1. 1. Software Security Report 2018 Webinar Sonatype, 15 novembre 2018
  2. 2. Agenda ❑ Emerasoft Srl ❑ Solutions ❑ Analisi report Marcella Arrabito Ugo Ciracì 15
  3. 3. • Dove siamo: Torino e Roma • Cosa facciamo: Software Engineering & Digital Adoption “Il nostro impegno è nella costante ricerca della migliore soluzione per il cliente, garantendo eccellenza nella qualità di servizi e prodotti proposti. La nostra promessa è di svolgere il nostro lavoro con costanza e passione” 13 Anni di esperienza 200+ Clienti 500+ Progetti 20+ Certificazioni
  4. 4. DevOpsIoT Testing CI e CD SOA Business Intelligence Security University Issue tracking standard compliance User Experience Improvement Agile Business Integration Enterprise Mobility agile IoD OpenSource APIUsability traceability Compliance Management ITSM
  5. 5. Vulnerabilità OSS aumentate del 120%, ridotto del 95% il tempo necessario per un attacco Database pubblici di vulnerabilità inattendibili: più di 1,3M di criticità non censite. Attacchi conosciuti aumentati del 55% : Software Supply Chain
  6. 6. Aumento del 55% degli attacchi ogni anno. Riduzione da 45 a 3 giorni per portare un attacco dalla scoperta di una vulnerabilità. 1 ogni 8 componenti scaricati contiene vulnerabilità conosciute. 57% delle aziende nella Fortune Global 100 scarica componenti con vulnerabilità conosciute.
  7. 7. Errare è umano, perseverare è diabolico Equifax ha perso informazioni personali (incluse carte di credito) per 145.5 milioni di americani per un baco di Struts.
  8. 8. Attaccare i depositi pubblici Left-padding: rimuovere componenti popolari dai repository pubblici Type-squatting: inserire o modificare component pubblici che offrono funzioni utili ma effettuano attacchi nascosti Backdooring: costruire componenti con funzioni utili ma intenzionalmente bacati.
  9. 9. Software assemblato o costruito? Dall’80% al 90% delle applicazioni moderne sono costituite da componenti di terze parti. Questo implica che lo sviluppo di software diventa in gran parte assemblaggio di componenti esistenti e lascia una minima parte alla costruzione di software.
  10. 10. Domanda/Offerta Componenti open-source Maggiore numero di ecosistemi e rilasci per ciascuno di essi. Domanda esponenziale di componenti open- source. npm è la dimostrazione della risposta dell’offerta alla domanda.
  11. 11. Distribuzione vulnerabilità / ecosistema L’istogramma dei CVS mostra chiaramente come la probabilità di trovare componenti severamente vulnerabili sia altissima (CVS >= 4)
  12. 12. Elevato rischio per i container
  13. 13. E in Italia? Nel grafico la percentuale di componenti vulnerabili scaricati nel mondo. Considerando che anche un solo componente vulnerabile permette un attacco gravoso ai danni di un’azienda e dei suoi utenti, la classifica di Sonatype mostra che le nazioni più virtuose sono in realtà molto a rischio con più del 10% di componenti critici. L’Italia supera il 12%.
  14. 14. Reagire alle vulnerabilità Nel 2021 si prevede l’industria del cybercrimine raggiunga i 3 trilioni di $, superando il mercato della droga. Cybersecurity Ventures Impoverimento dei database pubblici. Difficile stare al passo con la crescita dei componenti open-source. Oltre 1,3M di vulnerabilità non censita da database pubblici.
  15. 15. Automatizzare aiuta
  16. 16. Standard di sicurezza
  17. 17. Conclusioni Contattaci per eseguire un application healthcheck • Security by design • Automatizzare • Utilizzare il tool corretto
  18. 18. Grazie per averci seguito! Linkedin: https://www.linkedin.com/company/emerasoft/ Youtube: https://www.youtube.com/user/Emerasoft Facebook: https://www.facebook.com/emerasoft/ Twitter: https://twitter.com/emerasoft Scrivi a sales@emerasoft.com Visita il nostro sito emerasoft.com Socializza con noi: Chiamaci 011 0120370

×