Los servicios Java se ven gravemente afectados por fallos de terceros

Según el informe “State of DevSecOps 2024” de Datadog, que se especializa en monitorear servicios y aplicaciones en la nube, los servicios Java son los más afectados por las vulnerabilidades de terceros. Publicado el 17 de abril, el estudio revela que es probable que el 90% de ellos presenten uno o más fallos críticos o de alta gravedad introducidos por una biblioteca de terceros. La media para otras lenguas es del 47%. El proveedor analizó decenas de miles de aplicaciones e imágenes de contenedores y miles de entornos de nube para evaluar la seguridad de las aplicaciones. Después de Java en la evaluación de vulnerabilidades, encontramos JavaScript, con alrededor del 70%, Python, con el 62%, .NET, con el 50%, PHP, con el 35%, y Go (golang) y Ruby, ambos con alrededor del 32%.

Los servicios Java también son los que tienen más probabilidades de ser atacados por exploits documentados utilizados por los atacantes. Según una lista de vulnerabilidades mantenida por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), el 55% de los servicios Java se vieron afectados, en comparación con el 7% de los servicios diseñados en otros lenguajes.

Infracciones de canalización de CI/CD debido a identificadores modificados insuficientemente

Otras métricas incluyen que el 63% de las empresas siguen dependiendo de credenciales que rara vez cambian, una de las causas más comunes de filtraciones de datos en los canales de CI/CD. También observamos que la adopción de infraestructura como código es alta o que las imágenes de contenedores más pequeñas generan menos agujeros de seguridad.

Para Datadog, las prácticas modernas de DevOps van de la mano de sólidas medidas de seguridad y la seguridad en sí misma contribuye a la excelencia operativa de las empresas. Pero esto sólo es realista cuando las personas responsables de ello se benefician de un contexto y prioridades suficientes para concentrarse en lo que es prioritario.