Los servicios Java son los más afectados por las vulnerabilidades de terceros, según el informe «State of DevSecOps 2024» que acaba de publicar el proveedor de seguridad en la nube Datadog. Publicado el 17 de abril, el informe encontró que el 90% de los servicios Java eran susceptibles a uno o vulnerabilidades más críticas o de alta gravedad introducidas por una biblioteca de terceros. El promedio para otros idiomas fue del 47%. El informe de Datadog analizó decenas de miles de aplicaciones e imágenes de contenedores y miles de entornos de nube para evaluar la seguridad de las aplicaciones. Después de Java en la evaluación de vulnerabilidades estaban JavaScript, con aproximadamente el 70%; Pitón, con un 62%; .NET, al 50%; PHP, al 35%; y Go (golang) y Ruby, ambos con alrededor del 32%. Los servicios Java también tenían más probabilidades de ser vulnerables a ataques del mundo real con uso documentado por parte de atacantes. De una lista de vulnerabilidades mantenida por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., el 55 % de los servicios Java se vieron afectados, en comparación con el 7 % de los creados utilizando otros lenguajes. Los hallazgos adicionales del informe incluyen: Al menos el 38 % de las organizaciones aprovechan Amazon Web Services (AWS) había implementado cargas de trabajo o completado acciones confidenciales manualmente a través de la consola de AWS en un entorno de producción dentro de un período de 14 días, lo que significaba que dependían de operaciones de clic arriesgadas en lugar de la automatización. El 63 % de las organizaciones siguen dependiendo de credenciales de larga duración (una de las causas más comunes de filtraciones de datos) en los canales de CI/CD, incluso en casos en los que las de corta duración serían más prácticas y seguras. Solo valía la pena priorizar una pequeña porción de las vulnerabilidades identificadas. La adopción de infraestructura como código fue alta, pero varió según los proveedores de nube. La gran mayoría de los ataques realizados por escáneres de seguridad automatizados fueron inofensivos y sólo generaron ruido para los defensores. Las imágenes de contenedores livianos generan menos vulnerabilidades. Datadog dijo que sus hallazgos demuestran que las prácticas modernas de desarrollo van de la mano con fuertes medidas de seguridad. La seguridad en sí misma ayuda a impulsar la excelencia operativa, afirmó la compañía. Pero la seguridad sólo es realista cuando a los profesionales se les da suficiente contexto y prioridad para centrarse en lo que importa. Copyright © 2024 IDG Communications, Inc.