Il settore pubblico opera con un notevole debito di sicurezza e vulnerabilità non risolte. Ecco quanto emerge dal report “Public Sector State of Software Security 2025” di Veracode, leader mondiale nella gestione del rischio applicativo. L’indagine rivela tendenze allarmanti per la sicurezza del software nelle organizzazioni governative. La ricerca, basata sull’approfondita analisi di oltre 1,3 milioni di applicazioni uniche e 126 milioni di risultati grezzi, evidenzia che il 78% delle organizzazioni del settore pubblico opera con un significativo “debito di sicurezza”, ovvero con difetti non risolti da più di un anno. Ancora più preoccupante, il 55% di queste è affetta da debiti di sicurezza “critici”, che rappresentano vulnerabilità di lunga data con un elevato potenziale di rischio.
Il settore pubblico presenta un debito di sicurezza superiore alla media
Nonostante l’importanza cruciale della reputazione e della sicurezza dell’infrastruttura digitale, il settore pubblico fatica a risolvere tempestivamente le proprie vulnerabilità. Il report rivela che gli enti pubblici impiegano in media 315 giorni per sanare la metà delle falle di sicurezza nel software, un tempo significativamente più alto rispetto alla media generale di 252 giorni. Questo ritardo di 63 giorni rappresenta un’opportunità critica per potenziali attacchi a livello applicativo e violazioni dei dati.
Figura 1. Cronologia della correzione delle falle nel settore pubblico basata sulla Survival Analysis
La ricerca rivela che, anche dopo due anni, un terzo delle falle di sicurezza nelle applicazioni governative rimane irrisolto e il 15% persiste per più di cinque anni. Questa prolungata remediation (rappresentata nella curva di sopravvivenza della Fig. 1) illustra come le vulnerabilità non risolte si accumulino fino a diventare un debito di sicurezza diffuso.
“Molte organizzazioni pubbliche stanno affrontando una serie di sfide sempre più impegnative per tenere il passo con la remediation delle vulnerabilità, mettendo a rischio sistemi e dati critici che gestiscono servizi governativi essenziali”, dichiara Chris Wysopal, Chief Security Evangelist di Veracode. “Il nostro report evidenzia l’urgente necessità per il settore pubblico di modernizzare le proprie pratiche di sicurezza, soprattutto quando si tratta di gestire le minacce presenti nel software open-source”.
Veracode collabora direttamente con le aziende del settore pubblico per affrontare queste sfide di cybersecurity. Grazie ai risultati che derivano dall’analisi di oltre 360.000 miliardi di righe di codice nell’arco di due decenni, la piattaforma di Veracode fornisce una visibilità completa dei rischi dalla progettazione all’implementazione, consentendo alle organizzazioni di correggere le vulnerabilità con velocità e precisione.
Il codice di terze parti presenta un profilo di rischio decisamente sproporzionato
È particolarmente allarmante il dato che rivela che, mentre il codice di terze parti e quello open-source rappresenta meno del 10% del debito di sicurezza complessivo, esso è responsabile di oltre il 70% del debito di sicurezza critico nei sistemi governativi. Peggio ancora, queste falle richiedono circa il 50% in più di tempo per essere risolte rispetto alle vulnerabilità del software di prima parte sviluppato internamente.
Figura 2. Proporzione di debiti di sicurezza e debiti critici nel codice di prima parte rispetto a quello di terza parte
“Questo rischio sproporzionato evidenzia l’importanza di proteggere la supply chain del software e di controllare attentamente le dipendenze open-source”, aggiunge Chris Wysopal. “Senza estendere la visibilità e gli sforzi di remediation oltre il codice aziendale, gli enti pubblici rischiano di non affrontare le falle più pericolose. Con l’aumento dell’uso di codice generato dall’intelligenza artificiale in tutte le organizzazioni, un’analisi completa dell’open-source è più che mai essenziale per evitare che le vulnerabilità nascoste possano penetrare”.
I benchmark di maturità della sicurezza rivelano disparità di prestazioni
Nonostante le tendenze generali siano preoccupanti, la ricerca di Veracode rivela che le principali organizzazioni governative stanno riducendo con successo il debito di sicurezza e risolvendo le vulnerabilità con un ritmo quasi quattro volte più veloce delle altre. Queste realtà ad alte prestazioni dimostrano che è possibile ottenere miglioramenti significativi, offrendo un percorso chiaro per i colleghi che desiderano rafforzare la propria sicurezza del software.
Il report identifica cinque criteri chiave che misurano la maturità della sicurezza delle applicazioni e la capacità di gestione del debito di un’organizzazione, rivelando un netto divario di prestazioni tra le aziende leader e quelle in ritardo nel settore pubblico:
- Diffusione delle falle: le agenzie leader presentano falle in meno del 33% delle applicazioni, mentre quelle in ritardo mostrano falle nel 100% delle applicazioni.
- Capacità di remediation: le aziende leader risolvono più del 9% dei difetti ogni mese, contro appena lo 0,1% di quelle in ritardo.
- Velocità di risoluzione: i top performer risolvono la metà delle falle entro 3,3 mesi, mentre quelli più in ritardo impiegano più di 11 mesi per ottenere risultati simili.
- Prevalenza del debito di sicurezza: meno del 26% delle applicazioni nelle aziende leader presenta un debito di sicurezza, rispetto all’85% circa di quelle delle organizzazioni in ritardo.
- Debito di open source: anche tra i leader, l’84% delle applicazioni presenta un debito critico di open source, che sale al 100% per le aziende in ritardo.
“La disparità tra le organizzazioni governative più performanti e quelle meno virtuose è sorprendente e solleva importanti interrogativi sui fattori che fanno la differenza nella postura della sicurezza”, spiega Wysopal. “Questi dati forniscono ai team di sicurezza del settore pubblico un quadro di riferimento chiaro per valutare la propria maturità, identificare le lacune e migliorare le proprie prestazioni sulla base delle pratiche delle aziende più performanti”.
Un chiaro invito ad agire
Poiché le organizzazioni del settore pubblico devono affrontare crescenti minacce informatiche e maggiori requisiti di conformità normativa, Veracode evidenzia due raccomandazioni strategiche:
- Implementare una prioritizzazione basata sul rischio: distribuire funzionalità di gestione della postura di sicurezza basate sul contesto che mettano in relazione i risultati ottenuti da più strumenti di sicurezza e fonti di dati. Soluzioni avanzate come Veracode Risk Manager evidenziano le vulnerabilità più sfruttabili e urgenti, offrendo una risoluzione automatica.
- Migliorare la visibilità generale: è fondamentale abilitare la scansione continua e la collaborazione degli sviluppatori lungo l’intero ciclo di vita dello sviluppo del software. L’identificazione proattiva delle falle prima della distribuzione rimane l’investimento AppSec più conveniente e di maggior impatto.
“Nel panorama odierno delle minacce, il debito di sicurezza non è più un rischio accettabile. Con la giusta attenzione, le metriche e l’automazione, le aziende del settore pubblico possono avere il controllo del rischio software e sviluppare la resilienza in ogni release”, conclude Wysopal.
Con l’accumularsi del rischio applicativo nei sistemi governativi, le agenzie federali, statali e locali devono bilanciare la fornitura di servizi mission-critical con un’efficace gestione del rischio di cybersecurity. La piattaforma completa di gestione del rischio applicativo di Veracode aiuta le aziende del settore pubblico a gestire queste esigenze contrastanti attraverso una remediation accelerata del rischio, una prioritizzazione delle vulnerabilità basata sui dati e funzionalità di valutazione del rischio automatizzate, rafforzando la resilienza organizzativa contro le minacce in evoluzione. Questo è particolarmente importante considerando che il codice generato dall’intelligenza artificiale e le dipendenze open-source introducono nuove complessità nei processi di sviluppo del software.
