Código fuera de la jaula: Por qué los desarrolladores seguros pueden trabajar sin límites
Este artículo apareció originalmente en SD Times. Ha sido actualizado y sindicado aquí.
La verificación de aptitudes ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, otorgándonos validez y abriéndonos puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un importante rito de iniciación para la mayoría, y se espera que superemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, sobre todo a alta velocidad, pueden costar ese privilegio, o incluso una vida humana.
Pero ¿y si, para algunos, conducir fuera algo más que una comodidad cotidiana y se convirtiera en una profesión de élite? Una persona puede seguir perfeccionándose y llegar a ser piloto de F1, donde se le permite manejar máquinas que van más rápido de lo que cualquier civil podría manejar de forma realista sin una gran probabilidad de cometer errores a altas velocidades.
En este sentido, parece desconcertante que la mayoría de los desarrolladores que trabajan en código que alimenta infraestructuras críticas, automóviles, tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en seguridad. Por otra parte, ¿por qué los desarrolladores expertos en seguridad, que han demostrado repetidamente que saben cómo construir cosas de forma segura, tienen que hacer cola con todos los demás en los siempre lentos procesos de desarrollo a causa de todas las barreras de seguridad? La industria no lo ve como un descuido, es la norma.
Sabemos, gracias a una amplia investigación, que la mayoría de los desarrolladores simplemente no dan prioridad a la seguridad en su código, y carecen de la educación regular necesaria para navegar por muchos errores de seguridad comunes. Tienden a ser parte de la razón por la que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores de seguridad se sienten como si estuvieran atrapados en el carril lento de la Autobahn detrás de un montón de conductores principiantes.
A pesar de ello, el mundo de la seguridad avanza lentamente y cada vez es mayor la demanda de desarrolladores con conocimientos de seguridad verificados que puedan ponerse manos a la obra. La Orden Ejecutiva de la Administración Biden sobre la Mejora de la Ciberseguridad de la Nación exige específicamente la evaluación de las prácticas de seguridad de los vendedores -y de su cohorte de desarrollo- para cualquier proveedor de la cadena de suministro de software del gobierno estadounidense. Es lógico que el énfasis en las aptitudes de seguridad de los desarrolladores aumente en la mayoría de los sectores, pero con la escasa oferta de evaluaciones estándar del sector, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las aptitudes de seguridad verificables de los desarrolladores de un modo que no ponga de rodillas a la entrega ni impida que los desarrolladores concienciados con la seguridad extiendan sus alas?
Control de acceso basado en los méritos: ¿Podría funcionar?
Los controles de seguridad de mínimo privilegio son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna acceso a software, datos y sistemas en base a la necesidad de saber en el contexto de su trabajo, y nada más. Este método -especialmente cuando se combina con los principios de autorización de confianza cero- es útil para abarcar toda la superficie de ataque. Y, en realidad, deberíamos aplicar esta misma estrategia a los permisos API y a otros casos de uso basados en software como norma.
La mayoría de los que nos dedicamos a la seguridad somos muy conscientes de que el software se está comiendo el mundo, y que el código de los sistemas integrados que hacen funcionar una freidora no difiere en nada del código que mantiene en funcionamiento la red eléctrica, en cuanto a su potencial para ser explotado. Nuestras vidas y nuestros datos críticos están a merced de los actores de las amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortificar su código cuando reciben la formación adecuada. Se requiere una actualización seria de la cultura de seguridad de una organización, pero para una verdadera responsabilidad compartida al estilo DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y tal vez la forma más rápida de cambiar su mentalidad sería vincular el acceso al repositorio de código a los resultados del aprendizaje de la codificación segura.
Si tomamos como ejemplo una organización del sector BFSI, es muy probable que existan repositorios altamente sensibles que contengan datos de clientes o almacenen información valiosa como números de tarjetas de crédito. ¿Por qué, entonces, deberíamos asumir que cada ingeniero al que se le ha concedido acceso es consciente de la seguridad, cumple con los estrictos requisitos PCI-DSS y es capaz de realizar cambios en la rama maestra rápidamente y sin incidentes? Aunque ese pueda ser el caso para algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El reto es que, en la mayoría de las empresas, promulgar un escenario de "licencia para codificar" sería arduo y, dependiendo de la solución de formación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad a gran velocidad. Sin embargo, la combinación adecuada de formación integradora y herramientas puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración eficaz de la formación no es imposible.
Encontrar soluciones de mejora de la capacitación de los desarrolladores que complementen tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero ir más allá de la formación de cumplimiento de estilo "uno y listo" es la única forma en que empezaremos a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que consiguen demostrar su valía? Bueno, el mundo de la codificación es su ostra, y no tienen que estar limitados por los controles de seguridad que asumen que no pueden navegar por lo básico.
El desarrollo de habilidades prácticas que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente conceptos de codificación segura, y estas mismas integraciones pueden utilizarse para gestionar eficazmente el acceso a sistemas críticos, garantizando que aquellos que destacan en sus resultados de aprendizaje trabajen en las tareas sensibles de mayor prioridad sin impedimentos. También facilita la aplicación de recompensas y reconocimientos, garantizando que los desarrolladores cualificados en seguridad sean considerados como una aspiración en su cohorte.
Como muchas cosas en la vida, la fortuna favorece a los valientes, y romper el statu quo para adoptar un enfoque innovador en la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para elevar los estándares de calidad del código aceptable del mañana sin sacrificar la velocidad.
Parece desconcertante que la mayoría de los desarrolladores que trabajan en código que alimenta infraestructuras críticas, automóviles, tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en seguridad. Por otra parte, ¿por qué los desarrolladores expertos en seguridad, que han demostrado repetidamente que saben cómo construir cosas de forma segura, tienen que hacer cola con todos los demás en los siempre lentos canales de desarrollo debido a todas las puertas de seguridad?
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Este artículo apareció originalmente en SD Times. Ha sido actualizado y sindicado aquí.
La verificación de aptitudes ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, otorgándonos validez y abriéndonos puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un importante rito de iniciación para la mayoría, y se espera que superemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, sobre todo a alta velocidad, pueden costar ese privilegio, o incluso una vida humana.
Pero ¿y si, para algunos, conducir fuera algo más que una comodidad cotidiana y se convirtiera en una profesión de élite? Una persona puede seguir perfeccionándose y llegar a ser piloto de F1, donde se le permite manejar máquinas que van más rápido de lo que cualquier civil podría manejar de forma realista sin una gran probabilidad de cometer errores a altas velocidades.
En este sentido, parece desconcertante que la mayoría de los desarrolladores que trabajan en código que alimenta infraestructuras críticas, automóviles, tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en seguridad. Por otra parte, ¿por qué los desarrolladores expertos en seguridad, que han demostrado repetidamente que saben cómo construir cosas de forma segura, tienen que hacer cola con todos los demás en los siempre lentos procesos de desarrollo a causa de todas las barreras de seguridad? La industria no lo ve como un descuido, es la norma.
Sabemos, gracias a una amplia investigación, que la mayoría de los desarrolladores simplemente no dan prioridad a la seguridad en su código, y carecen de la educación regular necesaria para navegar por muchos errores de seguridad comunes. Tienden a ser parte de la razón por la que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores de seguridad se sienten como si estuvieran atrapados en el carril lento de la Autobahn detrás de un montón de conductores principiantes.
A pesar de ello, el mundo de la seguridad avanza lentamente y cada vez es mayor la demanda de desarrolladores con conocimientos de seguridad verificados que puedan ponerse manos a la obra. La Orden Ejecutiva de la Administración Biden sobre la Mejora de la Ciberseguridad de la Nación exige específicamente la evaluación de las prácticas de seguridad de los vendedores -y de su cohorte de desarrollo- para cualquier proveedor de la cadena de suministro de software del gobierno estadounidense. Es lógico que el énfasis en las aptitudes de seguridad de los desarrolladores aumente en la mayoría de los sectores, pero con la escasa oferta de evaluaciones estándar del sector, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las aptitudes de seguridad verificables de los desarrolladores de un modo que no ponga de rodillas a la entrega ni impida que los desarrolladores concienciados con la seguridad extiendan sus alas?
Control de acceso basado en los méritos: ¿Podría funcionar?
Los controles de seguridad de mínimo privilegio son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna acceso a software, datos y sistemas en base a la necesidad de saber en el contexto de su trabajo, y nada más. Este método -especialmente cuando se combina con los principios de autorización de confianza cero- es útil para abarcar toda la superficie de ataque. Y, en realidad, deberíamos aplicar esta misma estrategia a los permisos API y a otros casos de uso basados en software como norma.
La mayoría de los que nos dedicamos a la seguridad somos muy conscientes de que el software se está comiendo el mundo, y que el código de los sistemas integrados que hacen funcionar una freidora no difiere en nada del código que mantiene en funcionamiento la red eléctrica, en cuanto a su potencial para ser explotado. Nuestras vidas y nuestros datos críticos están a merced de los actores de las amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortificar su código cuando reciben la formación adecuada. Se requiere una actualización seria de la cultura de seguridad de una organización, pero para una verdadera responsabilidad compartida al estilo DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y tal vez la forma más rápida de cambiar su mentalidad sería vincular el acceso al repositorio de código a los resultados del aprendizaje de la codificación segura.
Si tomamos como ejemplo una organización del sector BFSI, es muy probable que existan repositorios altamente sensibles que contengan datos de clientes o almacenen información valiosa como números de tarjetas de crédito. ¿Por qué, entonces, deberíamos asumir que cada ingeniero al que se le ha concedido acceso es consciente de la seguridad, cumple con los estrictos requisitos PCI-DSS y es capaz de realizar cambios en la rama maestra rápidamente y sin incidentes? Aunque ese pueda ser el caso para algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El reto es que, en la mayoría de las empresas, promulgar un escenario de "licencia para codificar" sería arduo y, dependiendo de la solución de formación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad a gran velocidad. Sin embargo, la combinación adecuada de formación integradora y herramientas puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración eficaz de la formación no es imposible.
Encontrar soluciones de mejora de la capacitación de los desarrolladores que complementen tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero ir más allá de la formación de cumplimiento de estilo "uno y listo" es la única forma en que empezaremos a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que consiguen demostrar su valía? Bueno, el mundo de la codificación es su ostra, y no tienen que estar limitados por los controles de seguridad que asumen que no pueden navegar por lo básico.
El desarrollo de habilidades prácticas que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente conceptos de codificación segura, y estas mismas integraciones pueden utilizarse para gestionar eficazmente el acceso a sistemas críticos, garantizando que aquellos que destacan en sus resultados de aprendizaje trabajen en las tareas sensibles de mayor prioridad sin impedimentos. También facilita la aplicación de recompensas y reconocimientos, garantizando que los desarrolladores cualificados en seguridad sean considerados como una aspiración en su cohorte.
Como muchas cosas en la vida, la fortuna favorece a los valientes, y romper el statu quo para adoptar un enfoque innovador en la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para elevar los estándares de calidad del código aceptable del mañana sin sacrificar la velocidad.
Este artículo apareció originalmente en SD Times. Ha sido actualizado y sindicado aquí.
La verificación de aptitudes ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, otorgándonos validez y abriéndonos puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un importante rito de iniciación para la mayoría, y se espera que superemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, sobre todo a alta velocidad, pueden costar ese privilegio, o incluso una vida humana.
Pero ¿y si, para algunos, conducir fuera algo más que una comodidad cotidiana y se convirtiera en una profesión de élite? Una persona puede seguir perfeccionándose y llegar a ser piloto de F1, donde se le permite manejar máquinas que van más rápido de lo que cualquier civil podría manejar de forma realista sin una gran probabilidad de cometer errores a altas velocidades.
En este sentido, parece desconcertante que la mayoría de los desarrolladores que trabajan en código que alimenta infraestructuras críticas, automóviles, tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en seguridad. Por otra parte, ¿por qué los desarrolladores expertos en seguridad, que han demostrado repetidamente que saben cómo construir cosas de forma segura, tienen que hacer cola con todos los demás en los siempre lentos procesos de desarrollo a causa de todas las barreras de seguridad? La industria no lo ve como un descuido, es la norma.
Sabemos, gracias a una amplia investigación, que la mayoría de los desarrolladores simplemente no dan prioridad a la seguridad en su código, y carecen de la educación regular necesaria para navegar por muchos errores de seguridad comunes. Tienden a ser parte de la razón por la que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores de seguridad se sienten como si estuvieran atrapados en el carril lento de la Autobahn detrás de un montón de conductores principiantes.
A pesar de ello, el mundo de la seguridad avanza lentamente y cada vez es mayor la demanda de desarrolladores con conocimientos de seguridad verificados que puedan ponerse manos a la obra. La Orden Ejecutiva de la Administración Biden sobre la Mejora de la Ciberseguridad de la Nación exige específicamente la evaluación de las prácticas de seguridad de los vendedores -y de su cohorte de desarrollo- para cualquier proveedor de la cadena de suministro de software del gobierno estadounidense. Es lógico que el énfasis en las aptitudes de seguridad de los desarrolladores aumente en la mayoría de los sectores, pero con la escasa oferta de evaluaciones estándar del sector, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las aptitudes de seguridad verificables de los desarrolladores de un modo que no ponga de rodillas a la entrega ni impida que los desarrolladores concienciados con la seguridad extiendan sus alas?
Control de acceso basado en los méritos: ¿Podría funcionar?
Los controles de seguridad de mínimo privilegio son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna acceso a software, datos y sistemas en base a la necesidad de saber en el contexto de su trabajo, y nada más. Este método -especialmente cuando se combina con los principios de autorización de confianza cero- es útil para abarcar toda la superficie de ataque. Y, en realidad, deberíamos aplicar esta misma estrategia a los permisos API y a otros casos de uso basados en software como norma.
La mayoría de los que nos dedicamos a la seguridad somos muy conscientes de que el software se está comiendo el mundo, y que el código de los sistemas integrados que hacen funcionar una freidora no difiere en nada del código que mantiene en funcionamiento la red eléctrica, en cuanto a su potencial para ser explotado. Nuestras vidas y nuestros datos críticos están a merced de los actores de las amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortificar su código cuando reciben la formación adecuada. Se requiere una actualización seria de la cultura de seguridad de una organización, pero para una verdadera responsabilidad compartida al estilo DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y tal vez la forma más rápida de cambiar su mentalidad sería vincular el acceso al repositorio de código a los resultados del aprendizaje de la codificación segura.
Si tomamos como ejemplo una organización del sector BFSI, es muy probable que existan repositorios altamente sensibles que contengan datos de clientes o almacenen información valiosa como números de tarjetas de crédito. ¿Por qué, entonces, deberíamos asumir que cada ingeniero al que se le ha concedido acceso es consciente de la seguridad, cumple con los estrictos requisitos PCI-DSS y es capaz de realizar cambios en la rama maestra rápidamente y sin incidentes? Aunque ese pueda ser el caso para algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El reto es que, en la mayoría de las empresas, promulgar un escenario de "licencia para codificar" sería arduo y, dependiendo de la solución de formación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad a gran velocidad. Sin embargo, la combinación adecuada de formación integradora y herramientas puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración eficaz de la formación no es imposible.
Encontrar soluciones de mejora de la capacitación de los desarrolladores que complementen tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero ir más allá de la formación de cumplimiento de estilo "uno y listo" es la única forma en que empezaremos a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que consiguen demostrar su valía? Bueno, el mundo de la codificación es su ostra, y no tienen que estar limitados por los controles de seguridad que asumen que no pueden navegar por lo básico.
El desarrollo de habilidades prácticas que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente conceptos de codificación segura, y estas mismas integraciones pueden utilizarse para gestionar eficazmente el acceso a sistemas críticos, garantizando que aquellos que destacan en sus resultados de aprendizaje trabajen en las tareas sensibles de mayor prioridad sin impedimentos. También facilita la aplicación de recompensas y reconocimientos, garantizando que los desarrolladores cualificados en seguridad sean considerados como una aspiración en su cohorte.
Como muchas cosas en la vida, la fortuna favorece a los valientes, y romper el statu quo para adoptar un enfoque innovador en la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para elevar los estándares de calidad del código aceptable del mañana sin sacrificar la velocidad.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Este artículo apareció originalmente en SD Times. Ha sido actualizado y sindicado aquí.
La verificación de aptitudes ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, otorgándonos validez y abriéndonos puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un importante rito de iniciación para la mayoría, y se espera que superemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, sobre todo a alta velocidad, pueden costar ese privilegio, o incluso una vida humana.
Pero ¿y si, para algunos, conducir fuera algo más que una comodidad cotidiana y se convirtiera en una profesión de élite? Una persona puede seguir perfeccionándose y llegar a ser piloto de F1, donde se le permite manejar máquinas que van más rápido de lo que cualquier civil podría manejar de forma realista sin una gran probabilidad de cometer errores a altas velocidades.
En este sentido, parece desconcertante que la mayoría de los desarrolladores que trabajan en código que alimenta infraestructuras críticas, automóviles, tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en seguridad. Por otra parte, ¿por qué los desarrolladores expertos en seguridad, que han demostrado repetidamente que saben cómo construir cosas de forma segura, tienen que hacer cola con todos los demás en los siempre lentos procesos de desarrollo a causa de todas las barreras de seguridad? La industria no lo ve como un descuido, es la norma.
Sabemos, gracias a una amplia investigación, que la mayoría de los desarrolladores simplemente no dan prioridad a la seguridad en su código, y carecen de la educación regular necesaria para navegar por muchos errores de seguridad comunes. Tienden a ser parte de la razón por la que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores de seguridad se sienten como si estuvieran atrapados en el carril lento de la Autobahn detrás de un montón de conductores principiantes.
A pesar de ello, el mundo de la seguridad avanza lentamente y cada vez es mayor la demanda de desarrolladores con conocimientos de seguridad verificados que puedan ponerse manos a la obra. La Orden Ejecutiva de la Administración Biden sobre la Mejora de la Ciberseguridad de la Nación exige específicamente la evaluación de las prácticas de seguridad de los vendedores -y de su cohorte de desarrollo- para cualquier proveedor de la cadena de suministro de software del gobierno estadounidense. Es lógico que el énfasis en las aptitudes de seguridad de los desarrolladores aumente en la mayoría de los sectores, pero con la escasa oferta de evaluaciones estándar del sector, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las aptitudes de seguridad verificables de los desarrolladores de un modo que no ponga de rodillas a la entrega ni impida que los desarrolladores concienciados con la seguridad extiendan sus alas?
Control de acceso basado en los méritos: ¿Podría funcionar?
Los controles de seguridad de mínimo privilegio son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna acceso a software, datos y sistemas en base a la necesidad de saber en el contexto de su trabajo, y nada más. Este método -especialmente cuando se combina con los principios de autorización de confianza cero- es útil para abarcar toda la superficie de ataque. Y, en realidad, deberíamos aplicar esta misma estrategia a los permisos API y a otros casos de uso basados en software como norma.
La mayoría de los que nos dedicamos a la seguridad somos muy conscientes de que el software se está comiendo el mundo, y que el código de los sistemas integrados que hacen funcionar una freidora no difiere en nada del código que mantiene en funcionamiento la red eléctrica, en cuanto a su potencial para ser explotado. Nuestras vidas y nuestros datos críticos están a merced de los actores de las amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortificar su código cuando reciben la formación adecuada. Se requiere una actualización seria de la cultura de seguridad de una organización, pero para una verdadera responsabilidad compartida al estilo DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y tal vez la forma más rápida de cambiar su mentalidad sería vincular el acceso al repositorio de código a los resultados del aprendizaje de la codificación segura.
Si tomamos como ejemplo una organización del sector BFSI, es muy probable que existan repositorios altamente sensibles que contengan datos de clientes o almacenen información valiosa como números de tarjetas de crédito. ¿Por qué, entonces, deberíamos asumir que cada ingeniero al que se le ha concedido acceso es consciente de la seguridad, cumple con los estrictos requisitos PCI-DSS y es capaz de realizar cambios en la rama maestra rápidamente y sin incidentes? Aunque ese pueda ser el caso para algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El reto es que, en la mayoría de las empresas, promulgar un escenario de "licencia para codificar" sería arduo y, dependiendo de la solución de formación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad a gran velocidad. Sin embargo, la combinación adecuada de formación integradora y herramientas puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración eficaz de la formación no es imposible.
Encontrar soluciones de mejora de la capacitación de los desarrolladores que complementen tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero ir más allá de la formación de cumplimiento de estilo "uno y listo" es la única forma en que empezaremos a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que consiguen demostrar su valía? Bueno, el mundo de la codificación es su ostra, y no tienen que estar limitados por los controles de seguridad que asumen que no pueden navegar por lo básico.
El desarrollo de habilidades prácticas que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente conceptos de codificación segura, y estas mismas integraciones pueden utilizarse para gestionar eficazmente el acceso a sistemas críticos, garantizando que aquellos que destacan en sus resultados de aprendizaje trabajen en las tareas sensibles de mayor prioridad sin impedimentos. También facilita la aplicación de recompensas y reconocimientos, garantizando que los desarrolladores cualificados en seguridad sean considerados como una aspiración en su cohorte.
Como muchas cosas en la vida, la fortuna favorece a los valientes, y romper el statu quo para adoptar un enfoque innovador en la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para elevar los estándares de calidad del código aceptable del mañana sin sacrificar la velocidad.
Índice
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Servicios profesionales - Acelerar con experiencia
El equipo de servicios de estrategia de programas (PSS) de Secure Code Warriorle ayuda a crear, mejorar y optimizar su programa de codificación segura. Tanto si empieza de cero como si está perfeccionando su enfoque, nuestros expertos le proporcionarán orientación personalizada.
Temas y contenidos de la formación sobre código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Temas que cubren todo, desde IA a XQuery Injection, ofrecidos para una variedad de roles desde Arquitectos e Ingenieros a Product Managers y QA. Eche un vistazo a lo que ofrece nuestro catálogo de contenidos por tema y función.
Búsqueda: Aprendizaje líder en la industria para mantener a los desarrolladores por delante mitigando el riesgo.
Quests es una learning platform que ayuda a los desarrolladores a mitigar los riesgos de seguridad del software mediante la mejora de sus habilidades de codificación segura. Con rutas de aprendizaje curadas, desafíos prácticos y actividades interactivas, capacita a los desarrolladores para identificar y prevenir vulnerabilidades.
Recursos para empezar
Inyección indirecta y riesgos de seguridad de las herramientas de codificación agéntica
Cómo se engañó a un agente de codificación para que escribiera código propenso a inyecciones SQL, instalara herramientas de shell y tal vez incluso acechara a su usuario.
La Década de los Defensores: Secure Code Warrior Cumple Diez Años
Secure Code Warriorha permanecido unido, dirigiendo el barco a través de cada lección, triunfo y contratiempo durante toda una década. Estamos creciendo y listos para afrontar nuestro próximo capítulo, SCW 2.0, como líderes en gestión de riesgos para desarrolladores.
10 predicciones clave: Secure Code Warrior sobre la influencia de la IA y el diseño seguro en 2025
Las organizaciones se enfrentan a decisiones difíciles sobre el uso de la IA para apoyar la productividad a largo plazo, la sostenibilidad y el retorno de la inversión en seguridad. En los últimos años nos ha quedado claro que la IA nunca sustituirá por completo el papel del desarrollador. Desde las asociaciones entre IA y desarrolladores hasta las crecientes presiones (y confusión) en torno a las expectativas de seguridad por diseño, echemos un vistazo más de cerca a lo que podemos esperar durante el próximo año.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
