Código fuera de la jaula: Por qué los desarrolladores seguros pueden trabajar sin límites
Este artículo apareció originalmente en SD Times. Ha sido actualizado y sindicado aquí.
La verificación de aptitudes ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, otorgándonos validez y abriéndonos puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un importante rito de iniciación para la mayoría, y se espera que superemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, sobre todo a alta velocidad, pueden costar ese privilegio, o incluso una vida humana.
Pero ¿y si, para algunos, conducir fuera algo más que una comodidad cotidiana y se convirtiera en una profesión de élite? Una persona puede seguir perfeccionándose y llegar a ser piloto de F1, donde se le permite manejar máquinas que van más rápido de lo que cualquier civil podría manejar de forma realista sin una gran probabilidad de cometer errores a altas velocidades.
En este sentido, parece desconcertante que la mayoría de los desarrolladores que trabajan en código que alimenta infraestructuras críticas, automóviles, tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en seguridad. Por otra parte, ¿por qué los desarrolladores expertos en seguridad, que han demostrado repetidamente que saben cómo construir cosas de forma segura, tienen que hacer cola con todos los demás en los siempre lentos procesos de desarrollo a causa de todas las barreras de seguridad? La industria no lo ve como un descuido, es la norma.
Sabemos, gracias a una amplia investigación, que la mayoría de los desarrolladores simplemente no dan prioridad a la seguridad en su código, y carecen de la educación regular necesaria para navegar por muchos errores de seguridad comunes. Tienden a ser parte de la razón por la que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores de seguridad se sienten como si estuvieran atrapados en el carril lento de la Autobahn detrás de un montón de conductores principiantes.
A pesar de ello, el mundo de la seguridad avanza lentamente y cada vez es mayor la demanda de desarrolladores con conocimientos de seguridad verificados que puedan ponerse manos a la obra. La Orden Ejecutiva de la Administración Biden sobre la Mejora de la Ciberseguridad de la Nación exige específicamente la evaluación de las prácticas de seguridad de los vendedores -y de su cohorte de desarrollo- para cualquier proveedor de la cadena de suministro de software del gobierno estadounidense. Es lógico que el énfasis en las aptitudes de seguridad de los desarrolladores aumente en la mayoría de los sectores, pero con la escasa oferta de evaluaciones estándar del sector, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las aptitudes de seguridad verificables de los desarrolladores de un modo que no ponga de rodillas a la entrega ni impida que los desarrolladores concienciados con la seguridad extiendan sus alas?
Control de acceso basado en los méritos: ¿Podría funcionar?
Los controles de seguridad de mínimo privilegio son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna acceso a software, datos y sistemas en base a la necesidad de saber en el contexto de su trabajo, y nada más. Este método -especialmente cuando se combina con los principios de autorización de confianza cero- es útil para abarcar toda la superficie de ataque. Y, en realidad, deberíamos aplicar esta misma estrategia a los permisos API y a otros casos de uso basados en software como norma.
La mayoría de los que nos dedicamos a la seguridad somos muy conscientes de que el software se está comiendo el mundo, y que el código de los sistemas integrados que hacen funcionar una freidora no difiere en nada del código que mantiene en funcionamiento la red eléctrica, en cuanto a su potencial para ser explotado. Nuestras vidas y nuestros datos críticos están a merced de los actores de las amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortificar su código cuando reciben la formación adecuada. Se requiere una actualización seria de la cultura de seguridad de una organización, pero para una verdadera responsabilidad compartida al estilo DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y tal vez la forma más rápida de cambiar su mentalidad sería vincular el acceso al repositorio de código a los resultados del aprendizaje de la codificación segura.
Si tomamos como ejemplo una organización del sector BFSI, es muy probable que existan repositorios altamente sensibles que contengan datos de clientes o almacenen información valiosa como números de tarjetas de crédito. ¿Por qué, entonces, deberíamos asumir que cada ingeniero al que se le ha concedido acceso es consciente de la seguridad, cumple con los estrictos requisitos PCI-DSS y es capaz de realizar cambios en la rama maestra rápidamente y sin incidentes? Aunque ese pueda ser el caso para algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El reto es que, en la mayoría de las empresas, promulgar un escenario de "licencia para codificar" sería arduo y, dependiendo de la solución de formación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad a gran velocidad. Sin embargo, la combinación adecuada de formación integradora y herramientas puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración eficaz de la formación no es imposible.
Encontrar soluciones de mejora de la capacitación de los desarrolladores que complementen tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero ir más allá de la formación de cumplimiento de estilo "uno y listo" es la única forma en que empezaremos a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que consiguen demostrar su valía? Bueno, el mundo de la codificación es su ostra, y no tienen que estar limitados por los controles de seguridad que asumen que no pueden navegar por lo básico.
El desarrollo de habilidades prácticas que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente conceptos de codificación segura, y estas mismas integraciones pueden utilizarse para gestionar eficazmente el acceso a sistemas críticos, garantizando que aquellos que destacan en sus resultados de aprendizaje trabajen en las tareas sensibles de mayor prioridad sin impedimentos. También facilita la aplicación de recompensas y reconocimientos, garantizando que los desarrolladores cualificados en seguridad sean considerados como una aspiración en su cohorte.
Como muchas cosas en la vida, la fortuna favorece a los valientes, y romper el statu quo para adoptar un enfoque innovador en la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para elevar los estándares de calidad del código aceptable del mañana sin sacrificar la velocidad.
Parece desconcertante que la mayoría de los desarrolladores que trabajan en código que alimenta infraestructuras críticas, automóviles, tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en seguridad. Por otra parte, ¿por qué los desarrolladores expertos en seguridad, que han demostrado repetidamente que saben cómo construir cosas de forma segura, tienen que hacer cola con todos los demás en los siempre lentos canales de desarrollo debido a todas las puertas de seguridad?
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Este artículo apareció originalmente en SD Times. Ha sido actualizado y sindicado aquí.
La verificación de aptitudes ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, otorgándonos validez y abriéndonos puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un importante rito de iniciación para la mayoría, y se espera que superemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, sobre todo a alta velocidad, pueden costar ese privilegio, o incluso una vida humana.
Pero ¿y si, para algunos, conducir fuera algo más que una comodidad cotidiana y se convirtiera en una profesión de élite? Una persona puede seguir perfeccionándose y llegar a ser piloto de F1, donde se le permite manejar máquinas que van más rápido de lo que cualquier civil podría manejar de forma realista sin una gran probabilidad de cometer errores a altas velocidades.
En este sentido, parece desconcertante que la mayoría de los desarrolladores que trabajan en código que alimenta infraestructuras críticas, automóviles, tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en seguridad. Por otra parte, ¿por qué los desarrolladores expertos en seguridad, que han demostrado repetidamente que saben cómo construir cosas de forma segura, tienen que hacer cola con todos los demás en los siempre lentos procesos de desarrollo a causa de todas las barreras de seguridad? La industria no lo ve como un descuido, es la norma.
Sabemos, gracias a una amplia investigación, que la mayoría de los desarrolladores simplemente no dan prioridad a la seguridad en su código, y carecen de la educación regular necesaria para navegar por muchos errores de seguridad comunes. Tienden a ser parte de la razón por la que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores de seguridad se sienten como si estuvieran atrapados en el carril lento de la Autobahn detrás de un montón de conductores principiantes.
A pesar de ello, el mundo de la seguridad avanza lentamente y cada vez es mayor la demanda de desarrolladores con conocimientos de seguridad verificados que puedan ponerse manos a la obra. La Orden Ejecutiva de la Administración Biden sobre la Mejora de la Ciberseguridad de la Nación exige específicamente la evaluación de las prácticas de seguridad de los vendedores -y de su cohorte de desarrollo- para cualquier proveedor de la cadena de suministro de software del gobierno estadounidense. Es lógico que el énfasis en las aptitudes de seguridad de los desarrolladores aumente en la mayoría de los sectores, pero con la escasa oferta de evaluaciones estándar del sector, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las aptitudes de seguridad verificables de los desarrolladores de un modo que no ponga de rodillas a la entrega ni impida que los desarrolladores concienciados con la seguridad extiendan sus alas?
Control de acceso basado en los méritos: ¿Podría funcionar?
Los controles de seguridad de mínimo privilegio son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna acceso a software, datos y sistemas en base a la necesidad de saber en el contexto de su trabajo, y nada más. Este método -especialmente cuando se combina con los principios de autorización de confianza cero- es útil para abarcar toda la superficie de ataque. Y, en realidad, deberíamos aplicar esta misma estrategia a los permisos API y a otros casos de uso basados en software como norma.
La mayoría de los que nos dedicamos a la seguridad somos muy conscientes de que el software se está comiendo el mundo, y que el código de los sistemas integrados que hacen funcionar una freidora no difiere en nada del código que mantiene en funcionamiento la red eléctrica, en cuanto a su potencial para ser explotado. Nuestras vidas y nuestros datos críticos están a merced de los actores de las amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortificar su código cuando reciben la formación adecuada. Se requiere una actualización seria de la cultura de seguridad de una organización, pero para una verdadera responsabilidad compartida al estilo DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y tal vez la forma más rápida de cambiar su mentalidad sería vincular el acceso al repositorio de código a los resultados del aprendizaje de la codificación segura.
Si tomamos como ejemplo una organización del sector BFSI, es muy probable que existan repositorios altamente sensibles que contengan datos de clientes o almacenen información valiosa como números de tarjetas de crédito. ¿Por qué, entonces, deberíamos asumir que cada ingeniero al que se le ha concedido acceso es consciente de la seguridad, cumple con los estrictos requisitos PCI-DSS y es capaz de realizar cambios en la rama maestra rápidamente y sin incidentes? Aunque ese pueda ser el caso para algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El reto es que, en la mayoría de las empresas, promulgar un escenario de "licencia para codificar" sería arduo y, dependiendo de la solución de formación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad a gran velocidad. Sin embargo, la combinación adecuada de formación integradora y herramientas puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración eficaz de la formación no es imposible.
Encontrar soluciones de mejora de la capacitación de los desarrolladores que complementen tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero ir más allá de la formación de cumplimiento de estilo "uno y listo" es la única forma en que empezaremos a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que consiguen demostrar su valía? Bueno, el mundo de la codificación es su ostra, y no tienen que estar limitados por los controles de seguridad que asumen que no pueden navegar por lo básico.
El desarrollo de habilidades prácticas que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente conceptos de codificación segura, y estas mismas integraciones pueden utilizarse para gestionar eficazmente el acceso a sistemas críticos, garantizando que aquellos que destacan en sus resultados de aprendizaje trabajen en las tareas sensibles de mayor prioridad sin impedimentos. También facilita la aplicación de recompensas y reconocimientos, garantizando que los desarrolladores cualificados en seguridad sean considerados como una aspiración en su cohorte.
Como muchas cosas en la vida, la fortuna favorece a los valientes, y romper el statu quo para adoptar un enfoque innovador en la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para elevar los estándares de calidad del código aceptable del mañana sin sacrificar la velocidad.
Este artículo apareció originalmente en SD Times. Ha sido actualizado y sindicado aquí.
La verificación de aptitudes ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, otorgándonos validez y abriéndonos puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un importante rito de iniciación para la mayoría, y se espera que superemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, sobre todo a alta velocidad, pueden costar ese privilegio, o incluso una vida humana.
Pero ¿y si, para algunos, conducir fuera algo más que una comodidad cotidiana y se convirtiera en una profesión de élite? Una persona puede seguir perfeccionándose y llegar a ser piloto de F1, donde se le permite manejar máquinas que van más rápido de lo que cualquier civil podría manejar de forma realista sin una gran probabilidad de cometer errores a altas velocidades.
En este sentido, parece desconcertante que la mayoría de los desarrolladores que trabajan en código que alimenta infraestructuras críticas, automóviles, tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en seguridad. Por otra parte, ¿por qué los desarrolladores expertos en seguridad, que han demostrado repetidamente que saben cómo construir cosas de forma segura, tienen que hacer cola con todos los demás en los siempre lentos procesos de desarrollo a causa de todas las barreras de seguridad? La industria no lo ve como un descuido, es la norma.
Sabemos, gracias a una amplia investigación, que la mayoría de los desarrolladores simplemente no dan prioridad a la seguridad en su código, y carecen de la educación regular necesaria para navegar por muchos errores de seguridad comunes. Tienden a ser parte de la razón por la que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores de seguridad se sienten como si estuvieran atrapados en el carril lento de la Autobahn detrás de un montón de conductores principiantes.
A pesar de ello, el mundo de la seguridad avanza lentamente y cada vez es mayor la demanda de desarrolladores con conocimientos de seguridad verificados que puedan ponerse manos a la obra. La Orden Ejecutiva de la Administración Biden sobre la Mejora de la Ciberseguridad de la Nación exige específicamente la evaluación de las prácticas de seguridad de los vendedores -y de su cohorte de desarrollo- para cualquier proveedor de la cadena de suministro de software del gobierno estadounidense. Es lógico que el énfasis en las aptitudes de seguridad de los desarrolladores aumente en la mayoría de los sectores, pero con la escasa oferta de evaluaciones estándar del sector, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las aptitudes de seguridad verificables de los desarrolladores de un modo que no ponga de rodillas a la entrega ni impida que los desarrolladores concienciados con la seguridad extiendan sus alas?
Control de acceso basado en los méritos: ¿Podría funcionar?
Los controles de seguridad de mínimo privilegio son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna acceso a software, datos y sistemas en base a la necesidad de saber en el contexto de su trabajo, y nada más. Este método -especialmente cuando se combina con los principios de autorización de confianza cero- es útil para abarcar toda la superficie de ataque. Y, en realidad, deberíamos aplicar esta misma estrategia a los permisos API y a otros casos de uso basados en software como norma.
La mayoría de los que nos dedicamos a la seguridad somos muy conscientes de que el software se está comiendo el mundo, y que el código de los sistemas integrados que hacen funcionar una freidora no difiere en nada del código que mantiene en funcionamiento la red eléctrica, en cuanto a su potencial para ser explotado. Nuestras vidas y nuestros datos críticos están a merced de los actores de las amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortificar su código cuando reciben la formación adecuada. Se requiere una actualización seria de la cultura de seguridad de una organización, pero para una verdadera responsabilidad compartida al estilo DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y tal vez la forma más rápida de cambiar su mentalidad sería vincular el acceso al repositorio de código a los resultados del aprendizaje de la codificación segura.
Si tomamos como ejemplo una organización del sector BFSI, es muy probable que existan repositorios altamente sensibles que contengan datos de clientes o almacenen información valiosa como números de tarjetas de crédito. ¿Por qué, entonces, deberíamos asumir que cada ingeniero al que se le ha concedido acceso es consciente de la seguridad, cumple con los estrictos requisitos PCI-DSS y es capaz de realizar cambios en la rama maestra rápidamente y sin incidentes? Aunque ese pueda ser el caso para algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El reto es que, en la mayoría de las empresas, promulgar un escenario de "licencia para codificar" sería arduo y, dependiendo de la solución de formación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad a gran velocidad. Sin embargo, la combinación adecuada de formación integradora y herramientas puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración eficaz de la formación no es imposible.
Encontrar soluciones de mejora de la capacitación de los desarrolladores que complementen tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero ir más allá de la formación de cumplimiento de estilo "uno y listo" es la única forma en que empezaremos a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que consiguen demostrar su valía? Bueno, el mundo de la codificación es su ostra, y no tienen que estar limitados por los controles de seguridad que asumen que no pueden navegar por lo básico.
El desarrollo de habilidades prácticas que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente conceptos de codificación segura, y estas mismas integraciones pueden utilizarse para gestionar eficazmente el acceso a sistemas críticos, garantizando que aquellos que destacan en sus resultados de aprendizaje trabajen en las tareas sensibles de mayor prioridad sin impedimentos. También facilita la aplicación de recompensas y reconocimientos, garantizando que los desarrolladores cualificados en seguridad sean considerados como una aspiración en su cohorte.
Como muchas cosas en la vida, la fortuna favorece a los valientes, y romper el statu quo para adoptar un enfoque innovador en la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para elevar los estándares de calidad del código aceptable del mañana sin sacrificar la velocidad.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Este artículo apareció originalmente en SD Times. Ha sido actualizado y sindicado aquí.
La verificación de aptitudes ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, otorgándonos validez y abriéndonos puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un importante rito de iniciación para la mayoría, y se espera que superemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, sobre todo a alta velocidad, pueden costar ese privilegio, o incluso una vida humana.
Pero ¿y si, para algunos, conducir fuera algo más que una comodidad cotidiana y se convirtiera en una profesión de élite? Una persona puede seguir perfeccionándose y llegar a ser piloto de F1, donde se le permite manejar máquinas que van más rápido de lo que cualquier civil podría manejar de forma realista sin una gran probabilidad de cometer errores a altas velocidades.
En este sentido, parece desconcertante que la mayoría de los desarrolladores que trabajan en código que alimenta infraestructuras críticas, automóviles, tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en seguridad. Por otra parte, ¿por qué los desarrolladores expertos en seguridad, que han demostrado repetidamente que saben cómo construir cosas de forma segura, tienen que hacer cola con todos los demás en los siempre lentos procesos de desarrollo a causa de todas las barreras de seguridad? La industria no lo ve como un descuido, es la norma.
Sabemos, gracias a una amplia investigación, que la mayoría de los desarrolladores simplemente no dan prioridad a la seguridad en su código, y carecen de la educación regular necesaria para navegar por muchos errores de seguridad comunes. Tienden a ser parte de la razón por la que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores de seguridad se sienten como si estuvieran atrapados en el carril lento de la Autobahn detrás de un montón de conductores principiantes.
A pesar de ello, el mundo de la seguridad avanza lentamente y cada vez es mayor la demanda de desarrolladores con conocimientos de seguridad verificados que puedan ponerse manos a la obra. La Orden Ejecutiva de la Administración Biden sobre la Mejora de la Ciberseguridad de la Nación exige específicamente la evaluación de las prácticas de seguridad de los vendedores -y de su cohorte de desarrollo- para cualquier proveedor de la cadena de suministro de software del gobierno estadounidense. Es lógico que el énfasis en las aptitudes de seguridad de los desarrolladores aumente en la mayoría de los sectores, pero con la escasa oferta de evaluaciones estándar del sector, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las aptitudes de seguridad verificables de los desarrolladores de un modo que no ponga de rodillas a la entrega ni impida que los desarrolladores concienciados con la seguridad extiendan sus alas?
Control de acceso basado en los méritos: ¿Podría funcionar?
Los controles de seguridad de mínimo privilegio son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna acceso a software, datos y sistemas en base a la necesidad de saber en el contexto de su trabajo, y nada más. Este método -especialmente cuando se combina con los principios de autorización de confianza cero- es útil para abarcar toda la superficie de ataque. Y, en realidad, deberíamos aplicar esta misma estrategia a los permisos API y a otros casos de uso basados en software como norma.
La mayoría de los que nos dedicamos a la seguridad somos muy conscientes de que el software se está comiendo el mundo, y que el código de los sistemas integrados que hacen funcionar una freidora no difiere en nada del código que mantiene en funcionamiento la red eléctrica, en cuanto a su potencial para ser explotado. Nuestras vidas y nuestros datos críticos están a merced de los actores de las amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortificar su código cuando reciben la formación adecuada. Se requiere una actualización seria de la cultura de seguridad de una organización, pero para una verdadera responsabilidad compartida al estilo DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y tal vez la forma más rápida de cambiar su mentalidad sería vincular el acceso al repositorio de código a los resultados del aprendizaje de la codificación segura.
Si tomamos como ejemplo una organización del sector BFSI, es muy probable que existan repositorios altamente sensibles que contengan datos de clientes o almacenen información valiosa como números de tarjetas de crédito. ¿Por qué, entonces, deberíamos asumir que cada ingeniero al que se le ha concedido acceso es consciente de la seguridad, cumple con los estrictos requisitos PCI-DSS y es capaz de realizar cambios en la rama maestra rápidamente y sin incidentes? Aunque ese pueda ser el caso para algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El reto es que, en la mayoría de las empresas, promulgar un escenario de "licencia para codificar" sería arduo y, dependiendo de la solución de formación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad a gran velocidad. Sin embargo, la combinación adecuada de formación integradora y herramientas puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración eficaz de la formación no es imposible.
Encontrar soluciones de mejora de la capacitación de los desarrolladores que complementen tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero ir más allá de la formación de cumplimiento de estilo "uno y listo" es la única forma en que empezaremos a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que consiguen demostrar su valía? Bueno, el mundo de la codificación es su ostra, y no tienen que estar limitados por los controles de seguridad que asumen que no pueden navegar por lo básico.
El desarrollo de habilidades prácticas que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente conceptos de codificación segura, y estas mismas integraciones pueden utilizarse para gestionar eficazmente el acceso a sistemas críticos, garantizando que aquellos que destacan en sus resultados de aprendizaje trabajen en las tareas sensibles de mayor prioridad sin impedimentos. También facilita la aplicación de recompensas y reconocimientos, garantizando que los desarrolladores cualificados en seguridad sean considerados como una aspiración en su cohorte.
Como muchas cosas en la vida, la fortuna favorece a los valientes, y romper el statu quo para adoptar un enfoque innovador en la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para elevar los estándares de calidad del código aceptable del mañana sin sacrificar la velocidad.
Índice
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
El poder de la marca en AppSec DevSec DevSecOps (¿Qué hay en un Acrynym?)
En AppSec, el impacto duradero de un programa exige algo más que tecnología: necesita una marca fuerte. Una identidad poderosa garantiza que sus iniciativas resuenen e impulsen un compromiso sostenido dentro de su comunidad de desarrolladores.
.png)
Agente de confianza: AI por Secure Code Warrior
Esta página presenta SCW Trust Agent: AI, un nuevo conjunto de capacidades que proporcionan una profunda observabilidad y gobernanza sobre las herramientas de codificación de IA. Descubra cómo nuestra solución correlaciona de forma única el uso de herramientas de IA con las habilidades de los desarrolladores para ayudarle a gestionar el riesgo, optimizar su SDLC y garantizar que cada línea de código generado por IA sea segura.
.avif)
Vibe Coding: Guía práctica para actualizar su estrategia AppSec para la IA
Vea el vídeo a la carta para aprender a capacitar a los administradores de AppSec para que se conviertan en facilitadores de IA, en lugar de bloqueadores, mediante un enfoque práctico que da prioridad a la formación. Le mostraremos cómo aprovechar Secure Code Warrior (SCW) para actualizar estratégicamente su estrategia de AppSec para la era de los asistentes de codificación de IA.
Asistentes de codificación de IA: Guía de navegación segura para la próxima generación de desarrolladores
Los grandes modelos lingüísticos ofrecen ventajas irresistibles en velocidad y productividad, pero también introducen riesgos innegables para la empresa. Las barandillas de seguridad tradicionales no bastan para controlar el diluvio. Los desarrolladores necesitan conocimientos de seguridad precisos y verificados para identificar y prevenir los fallos de seguridad desde el principio del ciclo de vida de desarrollo del software.
Recursos para empezar
Por qué el Mes de la Concienciación sobre Ciberseguridad debe evolucionar en la era de la IA
Los CISO no pueden confiar en el mismo manual de concienciación de siempre. En la era de la IA, deben adoptar enfoques modernos para proteger el código, los equipos y las organizaciones.
.avif)
Codificación segura en la era de la IA: pruebe nuestros nuevos retos interactivos de IA
La codificación asistida por IA está cambiando el desarrollo. Prueba nuestros nuevos retos de IA al estilo Copilot para revisar, analizar y corregir código de forma segura en flujos de trabajo realistas.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
