Sicurezza nel settore pubblico e vulnerabilità non risolte

Il report State of Software Security 2025 mostra come molte organizzazioni governative operino con falle di sicurezza non risolte e vulnerabilità critiche.

Veracode ha pubblicato il report “Public Sector State of Software Security 2025”, che rivela tendenze allarmanti per la sicurezza del software nelle organizzazioni governative. La ricerca, basata sull’approfondita analisi di oltre 1,3 milioni di applicazioni uniche e 126 milioni di risultati grezzi, evidenzia che il 78% delle organizzazioni del settore pubblico opera con un significativo “debito di sicurezza”. Ovvero con difetti non risolti da più di un anno. Ancora più preoccupante, il 55% di queste è affetta da debiti di sicurezza “critici”, che rappresentano vulnerabilità di lunga data con un elevato potenziale di rischio.

Il settore pubblico presenta un debito di sicurezza superiore alla media

Nonostante l’importanza cruciale della reputazione e della sicurezza dell’infrastruttura digitale, il settore pubblico fatica a risolvere tempestivamente le proprie vulnerabilità. Il report rivela che gli enti pubblici impiegano in media 315 giorni per sanare la metà delle falle di sicurezza nel software. Un tempo questo significativamente più alto rispetto alla media generale di 252 giorni. Questo ritardo di 63 giorni rappresenta un’opportunità critica per potenziali attacchi a livello applicativo e violazioni dei dati.

La ricerca rivela che, anche dopo due anni, un terzo delle falle di sicurezza nelle applicazioni governative rimane irrisolto e il 15% persiste per più di cinque anni. Questa prolungata remediation illustra come le vulnerabilità non risolte si accumulino fino a diventare un debito di sicurezza diffuso.
Veracode collabora direttamente con le aziende del settore pubblico per affrontare queste sfide di cybersecurity. Grazie ai risultati che derivano dall’analisi di oltre 360.000 miliardi di righe di codice nell’arco di due decenni, la piattaforma di Veracode fornisce una visibilità completa dei rischi dalla progettazione all’implementazione. Consentendo alle organizzazioni di correggere le vulnerabilità con velocità e precisione.

Il codice di terze parti presenta un profilo di rischio decisamente sproporzionato

È particolarmente allarmante il dato che rivela che, mentre il codice di terze parti e quello open-source rappresenta meno del 10% del debito di sicurezza complessivo, esso è responsabile di oltre il 70% del debito di sicurezza critico nei sistemi governativi. Peggio ancora, queste falle richiedono circa il 50% in più di tempo per essere risolte rispetto alle vulnerabilità del software di prima parte sviluppato internamente.

I benchmark di maturità della sicurezza rivelano disparità di prestazioni

Nonostante le tendenze generali siano preoccupanti, la ricerca di Veracode rivela che le principali organizzazioni governative stanno riducendo con successo il debito di sicurezza e risolvendo le vulnerabilità con un ritmo quasi quattro volte più veloce delle altre. Queste realtà ad alte prestazioni dimostrano che è possibile ottenere miglioramenti significativi, offrendo un percorso chiaro per i colleghi che desiderano rafforzare la propria sicurezza del software.

Il report identifica cinque criteri chiave che misurano la maturità della sicurezza delle applicazioni e la capacità di gestione del debito di un’organizzazione. Rivelando un netto divario di prestazioni tra le aziende leader e quelle in ritardo nel settore pubblico:

• Diffusione delle falle. Le agenzie leader presentano falle in meno del 33% delle applicazioni, mentre quelle in ritardo mostrano falle nel 100% delle applicazioni.
• Capacità di remediation. Le aziende leader risolvono più del 9% dei difetti ogni mese, contro appena lo 0,1% di quelle in ritardo.
• Velocità di risoluzione. I top performer risolvono la metà delle falle entro 3,3 mesi, mentre quelli più in ritardo impiegano più di 11 mesi per ottenere risultati simili.
• Prevalenza del debito di sicurezza. Meno del 26% delle applicazioni nelle aziende leader presenta un debito di sicurezza, rispetto all’85% circa di quelle delle organizzazioni in ritardo.
• Debito di open source. Anche tra i leader, l’84% delle applicazioni presenta un debito critico di open source, che sale al 100% per le aziende in ritardo.

Un chiaro invito ad agire

Poiché le organizzazioni del settore pubblico devono affrontare crescenti minacce informatiche e maggiori requisiti di conformità normativa, Veracode evidenzia due raccomandazioni strategiche:

1. Implementare una prioritizzazione basata sul rischio. Distribuire funzionalità di gestione della postura di sicurezza basate sul contesto che mettano in relazione i risultati ottenuti da più strumenti di sicurezza e fonti di dati. Soluzioni avanzate come Veracode Risk Manager evidenziano le vulnerabilità più sfruttabili e urgenti, offrendo una risoluzione automatica.
2. Migliorare la visibilità generale. È fondamentale abilitare la scansione continua e la collaborazione degli sviluppatori lungo l’intero ciclo di vita dello sviluppo del software. L’identificazione proattiva delle falle prima della distribuzione rimane l’investimento AppSec più conveniente e di maggior impatto.

Con l’accumularsi del rischio applicativo nei sistemi governativi, le agenzie federali, statali e locali devono bilanciare la fornitura di servizi mission-critical con un’efficace gestione del rischio di cybersecurity. La piattaforma completa di gestione del rischio applicativo di Veracode aiuta le aziende del settore pubblico a gestire queste esigenze contrastanti attraverso una remediation accelerata del rischio. Una prioritizzazione delle vulnerabilità basata sui dati. E funzionalità di valutazione del rischio automatizzate. Rafforzando così la resilienza organizzativa contro le minacce in evoluzione. Questo è particolarmente importante considerando che il codice generato dall’intelligenza artificiale e le dipendenze open-source introducono nuove complessità nei processi di sviluppo del software.