Código fuera de la jaula: Por qué los desarrolladores seguros pueden trabajar sin límites
Este artículo apareció originalmente en SD Times. Ha sido actualizado y sindicado aquí.
La verificación de aptitudes ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, otorgándonos validez y abriéndonos puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un importante rito de iniciación para la mayoría, y se espera que superemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, sobre todo a alta velocidad, pueden costar ese privilegio, o incluso una vida humana.
Pero ¿y si, para algunos, conducir fuera algo más que una comodidad cotidiana y se convirtiera en una profesión de élite? Una persona puede seguir perfeccionándose y llegar a ser piloto de F1, donde se le permite manejar máquinas que van más rápido de lo que cualquier civil podría manejar de forma realista sin una gran probabilidad de cometer errores a altas velocidades.
En este sentido, parece desconcertante que la mayoría de los desarrolladores que trabajan en código que alimenta infraestructuras críticas, automóviles, tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en seguridad. Por otra parte, ¿por qué los desarrolladores expertos en seguridad, que han demostrado repetidamente que saben cómo construir cosas de forma segura, tienen que hacer cola con todos los demás en los siempre lentos procesos de desarrollo a causa de todas las barreras de seguridad? La industria no lo ve como un descuido, es la norma.
Sabemos, gracias a una amplia investigación, que la mayoría de los desarrolladores simplemente no dan prioridad a la seguridad en su código, y carecen de la educación regular necesaria para navegar por muchos errores de seguridad comunes. Tienden a ser parte de la razón por la que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores de seguridad se sienten como si estuvieran atrapados en el carril lento de la Autobahn detrás de un montón de conductores principiantes.
A pesar de ello, el mundo de la seguridad avanza lentamente y cada vez es mayor la demanda de desarrolladores con conocimientos de seguridad verificados que puedan ponerse manos a la obra. La Orden Ejecutiva de la Administración Biden sobre la Mejora de la Ciberseguridad de la Nación exige específicamente la evaluación de las prácticas de seguridad de los vendedores -y de su cohorte de desarrollo- para cualquier proveedor de la cadena de suministro de software del gobierno estadounidense. Es lógico que el énfasis en las aptitudes de seguridad de los desarrolladores aumente en la mayoría de los sectores, pero con la escasa oferta de evaluaciones estándar del sector, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las aptitudes de seguridad verificables de los desarrolladores de un modo que no ponga de rodillas a la entrega ni impida que los desarrolladores concienciados con la seguridad extiendan sus alas?
Control de acceso basado en los méritos: ¿Podría funcionar?
Los controles de seguridad de mínimo privilegio son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna acceso a software, datos y sistemas en base a la necesidad de saber en el contexto de su trabajo, y nada más. Este método -especialmente cuando se combina con los principios de autorización de confianza cero- es útil para abarcar toda la superficie de ataque. Y, en realidad, deberíamos aplicar esta misma estrategia a los permisos API y a otros casos de uso basados en software como norma.
La mayoría de los que nos dedicamos a la seguridad somos muy conscientes de que el software se está comiendo el mundo, y que el código de los sistemas integrados que hacen funcionar una freidora no difiere en nada del código que mantiene en funcionamiento la red eléctrica, en cuanto a su potencial para ser explotado. Nuestras vidas y nuestros datos críticos están a merced de los actores de las amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortificar su código cuando reciben la formación adecuada. Se requiere una actualización seria de la cultura de seguridad de una organización, pero para una verdadera responsabilidad compartida al estilo DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y tal vez la forma más rápida de cambiar su mentalidad sería vincular el acceso al repositorio de código a los resultados del aprendizaje de la codificación segura.
Si tomamos como ejemplo una organización del sector BFSI, es muy probable que existan repositorios altamente sensibles que contengan datos de clientes o almacenen información valiosa como números de tarjetas de crédito. ¿Por qué, entonces, deberíamos asumir que cada ingeniero al que se le ha concedido acceso es consciente de la seguridad, cumple con los estrictos requisitos PCI-DSS y es capaz de realizar cambios en la rama maestra rápidamente y sin incidentes? Aunque ese pueda ser el caso para algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El reto es que, en la mayoría de las empresas, promulgar un escenario de "licencia para codificar" sería arduo y, dependiendo de la solución de formación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad a gran velocidad. Sin embargo, la combinación adecuada de formación integradora y herramientas puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración eficaz de la formación no es imposible.
Encontrar soluciones de mejora de la capacitación de los desarrolladores que complementen tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero ir más allá de la formación de cumplimiento de estilo "uno y listo" es la única forma en que empezaremos a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que consiguen demostrar su valía? Bueno, el mundo de la codificación es su ostra, y no tienen que estar limitados por los controles de seguridad que asumen que no pueden navegar por lo básico.
El desarrollo de habilidades prácticas que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente conceptos de codificación segura, y estas mismas integraciones pueden utilizarse para gestionar eficazmente el acceso a sistemas críticos, garantizando que aquellos que destacan en sus resultados de aprendizaje trabajen en las tareas sensibles de mayor prioridad sin impedimentos. También facilita la aplicación de recompensas y reconocimientos, garantizando que los desarrolladores cualificados en seguridad sean considerados como una aspiración en su cohorte.
Como muchas cosas en la vida, la fortuna favorece a los valientes, y romper el statu quo para adoptar un enfoque innovador en la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para elevar los estándares de calidad del código aceptable del mañana sin sacrificar la velocidad.
Parece desconcertante que la mayoría de los desarrolladores que trabajan en código que alimenta infraestructuras críticas, automóviles, tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en seguridad. Por otra parte, ¿por qué los desarrolladores expertos en seguridad, que han demostrado repetidamente que saben cómo construir cosas de forma segura, tienen que hacer cola con todos los demás en los siempre lentos canales de desarrollo debido a todas las puertas de seguridad?
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónEste artículo apareció originalmente en SD Times. Ha sido actualizado y sindicado aquí.
La verificación de aptitudes ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, otorgándonos validez y abriéndonos puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un importante rito de iniciación para la mayoría, y se espera que superemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, sobre todo a alta velocidad, pueden costar ese privilegio, o incluso una vida humana.
Pero ¿y si, para algunos, conducir fuera algo más que una comodidad cotidiana y se convirtiera en una profesión de élite? Una persona puede seguir perfeccionándose y llegar a ser piloto de F1, donde se le permite manejar máquinas que van más rápido de lo que cualquier civil podría manejar de forma realista sin una gran probabilidad de cometer errores a altas velocidades.
En este sentido, parece desconcertante que la mayoría de los desarrolladores que trabajan en código que alimenta infraestructuras críticas, automóviles, tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en seguridad. Por otra parte, ¿por qué los desarrolladores expertos en seguridad, que han demostrado repetidamente que saben cómo construir cosas de forma segura, tienen que hacer cola con todos los demás en los siempre lentos procesos de desarrollo a causa de todas las barreras de seguridad? La industria no lo ve como un descuido, es la norma.
Sabemos, gracias a una amplia investigación, que la mayoría de los desarrolladores simplemente no dan prioridad a la seguridad en su código, y carecen de la educación regular necesaria para navegar por muchos errores de seguridad comunes. Tienden a ser parte de la razón por la que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores de seguridad se sienten como si estuvieran atrapados en el carril lento de la Autobahn detrás de un montón de conductores principiantes.
A pesar de ello, el mundo de la seguridad avanza lentamente y cada vez es mayor la demanda de desarrolladores con conocimientos de seguridad verificados que puedan ponerse manos a la obra. La Orden Ejecutiva de la Administración Biden sobre la Mejora de la Ciberseguridad de la Nación exige específicamente la evaluación de las prácticas de seguridad de los vendedores -y de su cohorte de desarrollo- para cualquier proveedor de la cadena de suministro de software del gobierno estadounidense. Es lógico que el énfasis en las aptitudes de seguridad de los desarrolladores aumente en la mayoría de los sectores, pero con la escasa oferta de evaluaciones estándar del sector, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las aptitudes de seguridad verificables de los desarrolladores de un modo que no ponga de rodillas a la entrega ni impida que los desarrolladores concienciados con la seguridad extiendan sus alas?
Control de acceso basado en los méritos: ¿Podría funcionar?
Los controles de seguridad de mínimo privilegio son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna acceso a software, datos y sistemas en base a la necesidad de saber en el contexto de su trabajo, y nada más. Este método -especialmente cuando se combina con los principios de autorización de confianza cero- es útil para abarcar toda la superficie de ataque. Y, en realidad, deberíamos aplicar esta misma estrategia a los permisos API y a otros casos de uso basados en software como norma.
La mayoría de los que nos dedicamos a la seguridad somos muy conscientes de que el software se está comiendo el mundo, y que el código de los sistemas integrados que hacen funcionar una freidora no difiere en nada del código que mantiene en funcionamiento la red eléctrica, en cuanto a su potencial para ser explotado. Nuestras vidas y nuestros datos críticos están a merced de los actores de las amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortificar su código cuando reciben la formación adecuada. Se requiere una actualización seria de la cultura de seguridad de una organización, pero para una verdadera responsabilidad compartida al estilo DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y tal vez la forma más rápida de cambiar su mentalidad sería vincular el acceso al repositorio de código a los resultados del aprendizaje de la codificación segura.
Si tomamos como ejemplo una organización del sector BFSI, es muy probable que existan repositorios altamente sensibles que contengan datos de clientes o almacenen información valiosa como números de tarjetas de crédito. ¿Por qué, entonces, deberíamos asumir que cada ingeniero al que se le ha concedido acceso es consciente de la seguridad, cumple con los estrictos requisitos PCI-DSS y es capaz de realizar cambios en la rama maestra rápidamente y sin incidentes? Aunque ese pueda ser el caso para algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El reto es que, en la mayoría de las empresas, promulgar un escenario de "licencia para codificar" sería arduo y, dependiendo de la solución de formación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad a gran velocidad. Sin embargo, la combinación adecuada de formación integradora y herramientas puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración eficaz de la formación no es imposible.
Encontrar soluciones de mejora de la capacitación de los desarrolladores que complementen tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero ir más allá de la formación de cumplimiento de estilo "uno y listo" es la única forma en que empezaremos a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que consiguen demostrar su valía? Bueno, el mundo de la codificación es su ostra, y no tienen que estar limitados por los controles de seguridad que asumen que no pueden navegar por lo básico.
El desarrollo de habilidades prácticas que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente conceptos de codificación segura, y estas mismas integraciones pueden utilizarse para gestionar eficazmente el acceso a sistemas críticos, garantizando que aquellos que destacan en sus resultados de aprendizaje trabajen en las tareas sensibles de mayor prioridad sin impedimentos. También facilita la aplicación de recompensas y reconocimientos, garantizando que los desarrolladores cualificados en seguridad sean considerados como una aspiración en su cohorte.
Como muchas cosas en la vida, la fortuna favorece a los valientes, y romper el statu quo para adoptar un enfoque innovador en la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para elevar los estándares de calidad del código aceptable del mañana sin sacrificar la velocidad.
Este artículo apareció originalmente en SD Times. Ha sido actualizado y sindicado aquí.
La verificación de aptitudes ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, otorgándonos validez y abriéndonos puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un importante rito de iniciación para la mayoría, y se espera que superemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, sobre todo a alta velocidad, pueden costar ese privilegio, o incluso una vida humana.
Pero ¿y si, para algunos, conducir fuera algo más que una comodidad cotidiana y se convirtiera en una profesión de élite? Una persona puede seguir perfeccionándose y llegar a ser piloto de F1, donde se le permite manejar máquinas que van más rápido de lo que cualquier civil podría manejar de forma realista sin una gran probabilidad de cometer errores a altas velocidades.
En este sentido, parece desconcertante que la mayoría de los desarrolladores que trabajan en código que alimenta infraestructuras críticas, automóviles, tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en seguridad. Por otra parte, ¿por qué los desarrolladores expertos en seguridad, que han demostrado repetidamente que saben cómo construir cosas de forma segura, tienen que hacer cola con todos los demás en los siempre lentos procesos de desarrollo a causa de todas las barreras de seguridad? La industria no lo ve como un descuido, es la norma.
Sabemos, gracias a una amplia investigación, que la mayoría de los desarrolladores simplemente no dan prioridad a la seguridad en su código, y carecen de la educación regular necesaria para navegar por muchos errores de seguridad comunes. Tienden a ser parte de la razón por la que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores de seguridad se sienten como si estuvieran atrapados en el carril lento de la Autobahn detrás de un montón de conductores principiantes.
A pesar de ello, el mundo de la seguridad avanza lentamente y cada vez es mayor la demanda de desarrolladores con conocimientos de seguridad verificados que puedan ponerse manos a la obra. La Orden Ejecutiva de la Administración Biden sobre la Mejora de la Ciberseguridad de la Nación exige específicamente la evaluación de las prácticas de seguridad de los vendedores -y de su cohorte de desarrollo- para cualquier proveedor de la cadena de suministro de software del gobierno estadounidense. Es lógico que el énfasis en las aptitudes de seguridad de los desarrolladores aumente en la mayoría de los sectores, pero con la escasa oferta de evaluaciones estándar del sector, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las aptitudes de seguridad verificables de los desarrolladores de un modo que no ponga de rodillas a la entrega ni impida que los desarrolladores concienciados con la seguridad extiendan sus alas?
Control de acceso basado en los méritos: ¿Podría funcionar?
Los controles de seguridad de mínimo privilegio son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna acceso a software, datos y sistemas en base a la necesidad de saber en el contexto de su trabajo, y nada más. Este método -especialmente cuando se combina con los principios de autorización de confianza cero- es útil para abarcar toda la superficie de ataque. Y, en realidad, deberíamos aplicar esta misma estrategia a los permisos API y a otros casos de uso basados en software como norma.
La mayoría de los que nos dedicamos a la seguridad somos muy conscientes de que el software se está comiendo el mundo, y que el código de los sistemas integrados que hacen funcionar una freidora no difiere en nada del código que mantiene en funcionamiento la red eléctrica, en cuanto a su potencial para ser explotado. Nuestras vidas y nuestros datos críticos están a merced de los actores de las amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortificar su código cuando reciben la formación adecuada. Se requiere una actualización seria de la cultura de seguridad de una organización, pero para una verdadera responsabilidad compartida al estilo DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y tal vez la forma más rápida de cambiar su mentalidad sería vincular el acceso al repositorio de código a los resultados del aprendizaje de la codificación segura.
Si tomamos como ejemplo una organización del sector BFSI, es muy probable que existan repositorios altamente sensibles que contengan datos de clientes o almacenen información valiosa como números de tarjetas de crédito. ¿Por qué, entonces, deberíamos asumir que cada ingeniero al que se le ha concedido acceso es consciente de la seguridad, cumple con los estrictos requisitos PCI-DSS y es capaz de realizar cambios en la rama maestra rápidamente y sin incidentes? Aunque ese pueda ser el caso para algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El reto es que, en la mayoría de las empresas, promulgar un escenario de "licencia para codificar" sería arduo y, dependiendo de la solución de formación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad a gran velocidad. Sin embargo, la combinación adecuada de formación integradora y herramientas puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración eficaz de la formación no es imposible.
Encontrar soluciones de mejora de la capacitación de los desarrolladores que complementen tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero ir más allá de la formación de cumplimiento de estilo "uno y listo" es la única forma en que empezaremos a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que consiguen demostrar su valía? Bueno, el mundo de la codificación es su ostra, y no tienen que estar limitados por los controles de seguridad que asumen que no pueden navegar por lo básico.
El desarrollo de habilidades prácticas que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente conceptos de codificación segura, y estas mismas integraciones pueden utilizarse para gestionar eficazmente el acceso a sistemas críticos, garantizando que aquellos que destacan en sus resultados de aprendizaje trabajen en las tareas sensibles de mayor prioridad sin impedimentos. También facilita la aplicación de recompensas y reconocimientos, garantizando que los desarrolladores cualificados en seguridad sean considerados como una aspiración en su cohorte.
Como muchas cosas en la vida, la fortuna favorece a los valientes, y romper el statu quo para adoptar un enfoque innovador en la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para elevar los estándares de calidad del código aceptable del mañana sin sacrificar la velocidad.
Haga clic en el siguiente enlace y descargue el PDF de esta página.
DescargarSecure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostraciónEste artículo apareció originalmente en SD Times. Ha sido actualizado y sindicado aquí.
La verificación de aptitudes ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, otorgándonos validez y abriéndonos puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un importante rito de iniciación para la mayoría, y se espera que superemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, sobre todo a alta velocidad, pueden costar ese privilegio, o incluso una vida humana.
Pero ¿y si, para algunos, conducir fuera algo más que una comodidad cotidiana y se convirtiera en una profesión de élite? Una persona puede seguir perfeccionándose y llegar a ser piloto de F1, donde se le permite manejar máquinas que van más rápido de lo que cualquier civil podría manejar de forma realista sin una gran probabilidad de cometer errores a altas velocidades.
En este sentido, parece desconcertante que la mayoría de los desarrolladores que trabajan en código que alimenta infraestructuras críticas, automóviles, tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en seguridad. Por otra parte, ¿por qué los desarrolladores expertos en seguridad, que han demostrado repetidamente que saben cómo construir cosas de forma segura, tienen que hacer cola con todos los demás en los siempre lentos procesos de desarrollo a causa de todas las barreras de seguridad? La industria no lo ve como un descuido, es la norma.
Sabemos, gracias a una amplia investigación, que la mayoría de los desarrolladores simplemente no dan prioridad a la seguridad en su código, y carecen de la educación regular necesaria para navegar por muchos errores de seguridad comunes. Tienden a ser parte de la razón por la que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores de seguridad se sienten como si estuvieran atrapados en el carril lento de la Autobahn detrás de un montón de conductores principiantes.
A pesar de ello, el mundo de la seguridad avanza lentamente y cada vez es mayor la demanda de desarrolladores con conocimientos de seguridad verificados que puedan ponerse manos a la obra. La Orden Ejecutiva de la Administración Biden sobre la Mejora de la Ciberseguridad de la Nación exige específicamente la evaluación de las prácticas de seguridad de los vendedores -y de su cohorte de desarrollo- para cualquier proveedor de la cadena de suministro de software del gobierno estadounidense. Es lógico que el énfasis en las aptitudes de seguridad de los desarrolladores aumente en la mayoría de los sectores, pero con la escasa oferta de evaluaciones estándar del sector, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las aptitudes de seguridad verificables de los desarrolladores de un modo que no ponga de rodillas a la entrega ni impida que los desarrolladores concienciados con la seguridad extiendan sus alas?
Control de acceso basado en los méritos: ¿Podría funcionar?
Los controles de seguridad de mínimo privilegio son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna acceso a software, datos y sistemas en base a la necesidad de saber en el contexto de su trabajo, y nada más. Este método -especialmente cuando se combina con los principios de autorización de confianza cero- es útil para abarcar toda la superficie de ataque. Y, en realidad, deberíamos aplicar esta misma estrategia a los permisos API y a otros casos de uso basados en software como norma.
La mayoría de los que nos dedicamos a la seguridad somos muy conscientes de que el software se está comiendo el mundo, y que el código de los sistemas integrados que hacen funcionar una freidora no difiere en nada del código que mantiene en funcionamiento la red eléctrica, en cuanto a su potencial para ser explotado. Nuestras vidas y nuestros datos críticos están a merced de los actores de las amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortificar su código cuando reciben la formación adecuada. Se requiere una actualización seria de la cultura de seguridad de una organización, pero para una verdadera responsabilidad compartida al estilo DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y tal vez la forma más rápida de cambiar su mentalidad sería vincular el acceso al repositorio de código a los resultados del aprendizaje de la codificación segura.
Si tomamos como ejemplo una organización del sector BFSI, es muy probable que existan repositorios altamente sensibles que contengan datos de clientes o almacenen información valiosa como números de tarjetas de crédito. ¿Por qué, entonces, deberíamos asumir que cada ingeniero al que se le ha concedido acceso es consciente de la seguridad, cumple con los estrictos requisitos PCI-DSS y es capaz de realizar cambios en la rama maestra rápidamente y sin incidentes? Aunque ese pueda ser el caso para algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El reto es que, en la mayoría de las empresas, promulgar un escenario de "licencia para codificar" sería arduo y, dependiendo de la solución de formación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad a gran velocidad. Sin embargo, la combinación adecuada de formación integradora y herramientas puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración eficaz de la formación no es imposible.
Encontrar soluciones de mejora de la capacitación de los desarrolladores que complementen tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero ir más allá de la formación de cumplimiento de estilo "uno y listo" es la única forma en que empezaremos a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que consiguen demostrar su valía? Bueno, el mundo de la codificación es su ostra, y no tienen que estar limitados por los controles de seguridad que asumen que no pueden navegar por lo básico.
El desarrollo de habilidades prácticas que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente conceptos de codificación segura, y estas mismas integraciones pueden utilizarse para gestionar eficazmente el acceso a sistemas críticos, garantizando que aquellos que destacan en sus resultados de aprendizaje trabajen en las tareas sensibles de mayor prioridad sin impedimentos. También facilita la aplicación de recompensas y reconocimientos, garantizando que los desarrolladores cualificados en seguridad sean considerados como una aspiración en su cohorte.
Como muchas cosas en la vida, la fortuna favorece a los valientes, y romper el statu quo para adoptar un enfoque innovador en la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para elevar los estándares de calidad del código aceptable del mañana sin sacrificar la velocidad.
Índice
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Impulse la seguridad impulsada por los desarrolladores a escala global Tournaments
Nuestra plataforma le permite fomentar una red de ciberseguridad centrada en la comunidad con atractivos concursos de codificación y tournaments, destacando vulnerabilidades del mundo real y prácticas de codificación seguras.
Trust Agent en acción
SCW Trust Agent le proporciona las herramientas que necesita para entregar código seguro más rápidamente, garantizando que los desarrolladores tengan los conocimientos y las habilidades para implementar las mejores prácticas de seguridad en el lenguaje de programación específico de sus commits de código.
Recursos para empezar
Cómo DigitalOcean redujo la deuda de seguridad del software y amplió los límites de la productividad
Secure Code Warrior ayudó a DigitalOcean a crear y publicar código de calidad desde el principio, impulsando la innovación digital y la modernización con desarrolladores conscientes de la seguridad.
Las mujeres en la seguridad están ganando: Cómo la AWSN está creando una nueva generación de supermujeres de la seguridad
Secure-by-Design es la última iniciativa en boca de todos, y el gobierno australiano, colaborando con CISA en los niveles más altos de la gobernanza mundial, está orientando un estándar más alto de calidad y seguridad del software por parte de los vendedores.