Coders Conquer Security: Share & Learn Series - Inclusión de archivos locales y Path Traversal
A diferencia de muchas vulnerabilidades, explotar la inclusión de archivos locales y los procesos de path traversal con fines nefastos requiere un atacante suficientemente hábil, una buena cantidad de tiempo y quizás un poco de suerte. Esto no quiere decir que esta vulnerabilidad pueda ser ignorada. Los atacantes hábiles pueden utilizarla para volver los archivos internos en contra de una organización, trazar una estructura de directorios o incluso robar información de contraseñas y usuarios que puede ser utilizada para peligrosos ataques secundarios.
En este episodio, aprenderemos:
- Cómo explotan los hackers las vulnerabilidades de inclusión de archivos locales y de cruce de rutas
- Por qué permitir la inclusión de archivos locales sin restricciones y el cruce de rutas puede ser peligroso
- Políticas y técnicas que pueden emplearse para encontrar y solucionar este problema.
¿Cómo aprovechan los atacantes la inclusión de archivos locales y el cruce de rutas?
El clásico detective de la televisión Columbo solía decir siempre: "Sólo una cosa más" justo antes de entregar una valiosa información que desvelaría el caso en cuestión. Parecía intrascendente en ese momento, y casi siempre era ignorado por el sospechoso, pero siempre resultaba ser su perdición. Las vulnerabilidades de inclusión de archivos locales y de cruce de rutas son muy parecidas.
Las vulnerabilidades de inclusión de archivos locales y de cruce de rutas utilizan el mecanismo de inclusión de archivos dinámicos que existe en la mayoría de los marcos de programación, como los scripts ASP, JSP y PHP. En el caso de la inclusión de archivos locales, un atacante desliza el nombre de un archivo que existe en el servidor local en un área de una aplicación web, como una cabecera o un área de entrada de formularios. La aplicación procesa la entrada principal de forma normal, pero también el comando include(page) o similar. En el path traversal, el atacante define la ruta de acceso a un archivo sospechoso, normalmente utilizando los caracteres punto, punto y barra (../) como variables. Es muy parecido a Columbo en el sentido de que al hacker realmente no le importa la primera parte del argumento. Es simplemente un medio para añadir "una cosa más" al final.
En cualquiera de los casos, el atacante debe normalmente realizar una cantidad significativa de prueba y error. A menos que esté muy familiarizado con la estructura del sitio, adivinar las configuraciones de las rutas y los nombres de los archivos podría llevarle mucho tiempo. Dicho esto, la mayoría de los sitios siguen patrones específicos y tienen directorios y nombres de archivos más o menos similares. Así que puede que no le lleve tanto tiempo como cree. Y dado que el pago es potencialmente muy lucrativo, hay muchos incentivos para que los hackers traten de explotar la inclusión de archivos locales y las vulnerabilidades de cruce de rutas una vez encontradas.
¿Por qué son peligrosas las vulnerabilidades de inclusión de archivos locales y de cruce de rutas?
Las vulnerabilidades de inclusión de archivos locales y de cruce de rutas son peligrosas porque pueden permitir a los atacantes acceder a archivos sensibles o críticos. En el caso de los archivos de datos, el peligro es que el hacker pueda obtener algo valioso, como las contraseñas de los usuarios u otra información personal. Uno de los principales objetivos suelen ser los archivos de contraseñas o de configuración de usuarios, ya que eso daría acceso al resto del sitio. Las bases de datos también son objetivos principales. Las vulnerabilidades de inclusión de archivos locales y de cruce de rutas podrían permitir a un atacante robar todo el contenido de una base de datos en el peor de los casos.
En el caso de los archivos ejecutables, el peligro radica en que obtener acceso a ellos podría permitir a un atacante realizar actividades maliciosas, como destruir parte de un sitio o incluso montar algún tipo de ataque interno de denegación de servicio mediante el derroche de recursos del sistema. Pero el alcance total del peligro sólo está limitado por el ingenio y la habilidad del atacante, y por los archivos a los que pueda acceder que ya existan en el servidor objetivo.
Eliminación de la amenaza que suponen la inclusión de archivos locales y el path traversal
El peligro que suponen las vulnerabilidades de inclusión de archivos locales y path traversal puede eliminarse con buenas prácticas de ciberseguridad. Lo más importante es no permitir nunca la entrada del usuario en "file include" u otros comandos con funciones similares. Si una aplicación debe permitirla, no la pase directamente. En su lugar, utilice un mapa de referencia indirecto. Un mapa de referencia indirecta toma la entrada del usuario y la asigna a un conjunto de valores de confianza codificados, que luego pueden ser utilizados con seguridad.
Al igual que con muchas otras vulnerabilidades, preste especial atención a todas las áreas de entrada controladas por el usuario, como las cookies, las cabeceras HTTP y los parámetros de los formularios. Las entradas permitidas deben estar en una lista blanca, y todo lo demás debe ser denegado explícitamente. Cuando esto no sea posible, utilice la validación de entradas para regular estrictamente los valores permitidos, como números, valores alfanuméricos, etc.
Más información sobre la inclusión de archivos locales y el cruce de rutas
Para más información, puedes echar un vistazo a la guía de pruebas de OWASP para la inclusión de archivos locales y los exploits de cruce de rutas. También puedes poner a prueba tus nuevos conocimientos defensivos con la demostración gratuita de la plataforma Secure Code Warrior , que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para saber más sobre cómo derrotar esta vulnerabilidad, y una galería de pícaros de otras amenazas, visite el blogSecure Code Warrior .
A diferencia de muchas vulnerabilidades, la explotación de los procesos de inclusión de archivos locales y de cruce de rutas con fines nefastos requiere un atacante suficientemente hábil, una buena cantidad de tiempo y quizás un poco de suerte.
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
A diferencia de muchas vulnerabilidades, explotar la inclusión de archivos locales y los procesos de path traversal con fines nefastos requiere un atacante suficientemente hábil, una buena cantidad de tiempo y quizás un poco de suerte. Esto no quiere decir que esta vulnerabilidad pueda ser ignorada. Los atacantes hábiles pueden utilizarla para volver los archivos internos en contra de una organización, trazar una estructura de directorios o incluso robar información de contraseñas y usuarios que puede ser utilizada para peligrosos ataques secundarios.
En este episodio, aprenderemos:
- Cómo explotan los hackers las vulnerabilidades de inclusión de archivos locales y de cruce de rutas
- Por qué permitir la inclusión de archivos locales sin restricciones y el cruce de rutas puede ser peligroso
- Políticas y técnicas que pueden emplearse para encontrar y solucionar este problema.
¿Cómo aprovechan los atacantes la inclusión de archivos locales y el cruce de rutas?
El clásico detective de la televisión Columbo solía decir siempre: "Sólo una cosa más" justo antes de entregar una valiosa información que desvelaría el caso en cuestión. Parecía intrascendente en ese momento, y casi siempre era ignorado por el sospechoso, pero siempre resultaba ser su perdición. Las vulnerabilidades de inclusión de archivos locales y de cruce de rutas son muy parecidas.
Las vulnerabilidades de inclusión de archivos locales y de cruce de rutas utilizan el mecanismo de inclusión de archivos dinámicos que existe en la mayoría de los marcos de programación, como los scripts ASP, JSP y PHP. En el caso de la inclusión de archivos locales, un atacante desliza el nombre de un archivo que existe en el servidor local en un área de una aplicación web, como una cabecera o un área de entrada de formularios. La aplicación procesa la entrada principal de forma normal, pero también el comando include(page) o similar. En el path traversal, el atacante define la ruta de acceso a un archivo sospechoso, normalmente utilizando los caracteres punto, punto y barra (../) como variables. Es muy parecido a Columbo en el sentido de que al hacker realmente no le importa la primera parte del argumento. Es simplemente un medio para añadir "una cosa más" al final.
En cualquiera de los casos, el atacante debe normalmente realizar una cantidad significativa de prueba y error. A menos que esté muy familiarizado con la estructura del sitio, adivinar las configuraciones de las rutas y los nombres de los archivos podría llevarle mucho tiempo. Dicho esto, la mayoría de los sitios siguen patrones específicos y tienen directorios y nombres de archivos más o menos similares. Así que puede que no le lleve tanto tiempo como cree. Y dado que el pago es potencialmente muy lucrativo, hay muchos incentivos para que los hackers traten de explotar la inclusión de archivos locales y las vulnerabilidades de cruce de rutas una vez encontradas.
¿Por qué son peligrosas las vulnerabilidades de inclusión de archivos locales y de cruce de rutas?
Las vulnerabilidades de inclusión de archivos locales y de cruce de rutas son peligrosas porque pueden permitir a los atacantes acceder a archivos sensibles o críticos. En el caso de los archivos de datos, el peligro es que el hacker pueda obtener algo valioso, como las contraseñas de los usuarios u otra información personal. Uno de los principales objetivos suelen ser los archivos de contraseñas o de configuración de usuarios, ya que eso daría acceso al resto del sitio. Las bases de datos también son objetivos principales. Las vulnerabilidades de inclusión de archivos locales y de cruce de rutas podrían permitir a un atacante robar todo el contenido de una base de datos en el peor de los casos.
En el caso de los archivos ejecutables, el peligro radica en que obtener acceso a ellos podría permitir a un atacante realizar actividades maliciosas, como destruir parte de un sitio o incluso montar algún tipo de ataque interno de denegación de servicio mediante el derroche de recursos del sistema. Pero el alcance total del peligro sólo está limitado por el ingenio y la habilidad del atacante, y por los archivos a los que pueda acceder que ya existan en el servidor objetivo.
Eliminación de la amenaza que suponen la inclusión de archivos locales y el path traversal
El peligro que suponen las vulnerabilidades de inclusión de archivos locales y path traversal puede eliminarse con buenas prácticas de ciberseguridad. Lo más importante es no permitir nunca la entrada del usuario en "file include" u otros comandos con funciones similares. Si una aplicación debe permitirla, no la pase directamente. En su lugar, utilice un mapa de referencia indirecto. Un mapa de referencia indirecta toma la entrada del usuario y la asigna a un conjunto de valores de confianza codificados, que luego pueden ser utilizados con seguridad.
Al igual que con muchas otras vulnerabilidades, preste especial atención a todas las áreas de entrada controladas por el usuario, como las cookies, las cabeceras HTTP y los parámetros de los formularios. Las entradas permitidas deben estar en una lista blanca, y todo lo demás debe ser denegado explícitamente. Cuando esto no sea posible, utilice la validación de entradas para regular estrictamente los valores permitidos, como números, valores alfanuméricos, etc.
Más información sobre la inclusión de archivos locales y el cruce de rutas
Para más información, puedes echar un vistazo a la guía de pruebas de OWASP para la inclusión de archivos locales y los exploits de cruce de rutas. También puedes poner a prueba tus nuevos conocimientos defensivos con la demostración gratuita de la plataforma Secure Code Warrior , que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para saber más sobre cómo derrotar esta vulnerabilidad, y una galería de pícaros de otras amenazas, visite el blogSecure Code Warrior .
A diferencia de muchas vulnerabilidades, explotar la inclusión de archivos locales y los procesos de path traversal con fines nefastos requiere un atacante suficientemente hábil, una buena cantidad de tiempo y quizás un poco de suerte. Esto no quiere decir que esta vulnerabilidad pueda ser ignorada. Los atacantes hábiles pueden utilizarla para volver los archivos internos en contra de una organización, trazar una estructura de directorios o incluso robar información de contraseñas y usuarios que puede ser utilizada para peligrosos ataques secundarios.
En este episodio, aprenderemos:
- Cómo explotan los hackers las vulnerabilidades de inclusión de archivos locales y de cruce de rutas
- Por qué permitir la inclusión de archivos locales sin restricciones y el cruce de rutas puede ser peligroso
- Políticas y técnicas que pueden emplearse para encontrar y solucionar este problema.
¿Cómo aprovechan los atacantes la inclusión de archivos locales y el cruce de rutas?
El clásico detective de la televisión Columbo solía decir siempre: "Sólo una cosa más" justo antes de entregar una valiosa información que desvelaría el caso en cuestión. Parecía intrascendente en ese momento, y casi siempre era ignorado por el sospechoso, pero siempre resultaba ser su perdición. Las vulnerabilidades de inclusión de archivos locales y de cruce de rutas son muy parecidas.
Las vulnerabilidades de inclusión de archivos locales y de cruce de rutas utilizan el mecanismo de inclusión de archivos dinámicos que existe en la mayoría de los marcos de programación, como los scripts ASP, JSP y PHP. En el caso de la inclusión de archivos locales, un atacante desliza el nombre de un archivo que existe en el servidor local en un área de una aplicación web, como una cabecera o un área de entrada de formularios. La aplicación procesa la entrada principal de forma normal, pero también el comando include(page) o similar. En el path traversal, el atacante define la ruta de acceso a un archivo sospechoso, normalmente utilizando los caracteres punto, punto y barra (../) como variables. Es muy parecido a Columbo en el sentido de que al hacker realmente no le importa la primera parte del argumento. Es simplemente un medio para añadir "una cosa más" al final.
En cualquiera de los casos, el atacante debe normalmente realizar una cantidad significativa de prueba y error. A menos que esté muy familiarizado con la estructura del sitio, adivinar las configuraciones de las rutas y los nombres de los archivos podría llevarle mucho tiempo. Dicho esto, la mayoría de los sitios siguen patrones específicos y tienen directorios y nombres de archivos más o menos similares. Así que puede que no le lleve tanto tiempo como cree. Y dado que el pago es potencialmente muy lucrativo, hay muchos incentivos para que los hackers traten de explotar la inclusión de archivos locales y las vulnerabilidades de cruce de rutas una vez encontradas.
¿Por qué son peligrosas las vulnerabilidades de inclusión de archivos locales y de cruce de rutas?
Las vulnerabilidades de inclusión de archivos locales y de cruce de rutas son peligrosas porque pueden permitir a los atacantes acceder a archivos sensibles o críticos. En el caso de los archivos de datos, el peligro es que el hacker pueda obtener algo valioso, como las contraseñas de los usuarios u otra información personal. Uno de los principales objetivos suelen ser los archivos de contraseñas o de configuración de usuarios, ya que eso daría acceso al resto del sitio. Las bases de datos también son objetivos principales. Las vulnerabilidades de inclusión de archivos locales y de cruce de rutas podrían permitir a un atacante robar todo el contenido de una base de datos en el peor de los casos.
En el caso de los archivos ejecutables, el peligro radica en que obtener acceso a ellos podría permitir a un atacante realizar actividades maliciosas, como destruir parte de un sitio o incluso montar algún tipo de ataque interno de denegación de servicio mediante el derroche de recursos del sistema. Pero el alcance total del peligro sólo está limitado por el ingenio y la habilidad del atacante, y por los archivos a los que pueda acceder que ya existan en el servidor objetivo.
Eliminación de la amenaza que suponen la inclusión de archivos locales y el path traversal
El peligro que suponen las vulnerabilidades de inclusión de archivos locales y path traversal puede eliminarse con buenas prácticas de ciberseguridad. Lo más importante es no permitir nunca la entrada del usuario en "file include" u otros comandos con funciones similares. Si una aplicación debe permitirla, no la pase directamente. En su lugar, utilice un mapa de referencia indirecto. Un mapa de referencia indirecta toma la entrada del usuario y la asigna a un conjunto de valores de confianza codificados, que luego pueden ser utilizados con seguridad.
Al igual que con muchas otras vulnerabilidades, preste especial atención a todas las áreas de entrada controladas por el usuario, como las cookies, las cabeceras HTTP y los parámetros de los formularios. Las entradas permitidas deben estar en una lista blanca, y todo lo demás debe ser denegado explícitamente. Cuando esto no sea posible, utilice la validación de entradas para regular estrictamente los valores permitidos, como números, valores alfanuméricos, etc.
Más información sobre la inclusión de archivos locales y el cruce de rutas
Para más información, puedes echar un vistazo a la guía de pruebas de OWASP para la inclusión de archivos locales y los exploits de cruce de rutas. También puedes poner a prueba tus nuevos conocimientos defensivos con la demostración gratuita de la plataforma Secure Code Warrior , que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para saber más sobre cómo derrotar esta vulnerabilidad, y una galería de pícaros de otras amenazas, visite el blogSecure Code Warrior .
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
A diferencia de muchas vulnerabilidades, explotar la inclusión de archivos locales y los procesos de path traversal con fines nefastos requiere un atacante suficientemente hábil, una buena cantidad de tiempo y quizás un poco de suerte. Esto no quiere decir que esta vulnerabilidad pueda ser ignorada. Los atacantes hábiles pueden utilizarla para volver los archivos internos en contra de una organización, trazar una estructura de directorios o incluso robar información de contraseñas y usuarios que puede ser utilizada para peligrosos ataques secundarios.
En este episodio, aprenderemos:
- Cómo explotan los hackers las vulnerabilidades de inclusión de archivos locales y de cruce de rutas
- Por qué permitir la inclusión de archivos locales sin restricciones y el cruce de rutas puede ser peligroso
- Políticas y técnicas que pueden emplearse para encontrar y solucionar este problema.
¿Cómo aprovechan los atacantes la inclusión de archivos locales y el cruce de rutas?
El clásico detective de la televisión Columbo solía decir siempre: "Sólo una cosa más" justo antes de entregar una valiosa información que desvelaría el caso en cuestión. Parecía intrascendente en ese momento, y casi siempre era ignorado por el sospechoso, pero siempre resultaba ser su perdición. Las vulnerabilidades de inclusión de archivos locales y de cruce de rutas son muy parecidas.
Las vulnerabilidades de inclusión de archivos locales y de cruce de rutas utilizan el mecanismo de inclusión de archivos dinámicos que existe en la mayoría de los marcos de programación, como los scripts ASP, JSP y PHP. En el caso de la inclusión de archivos locales, un atacante desliza el nombre de un archivo que existe en el servidor local en un área de una aplicación web, como una cabecera o un área de entrada de formularios. La aplicación procesa la entrada principal de forma normal, pero también el comando include(page) o similar. En el path traversal, el atacante define la ruta de acceso a un archivo sospechoso, normalmente utilizando los caracteres punto, punto y barra (../) como variables. Es muy parecido a Columbo en el sentido de que al hacker realmente no le importa la primera parte del argumento. Es simplemente un medio para añadir "una cosa más" al final.
En cualquiera de los casos, el atacante debe normalmente realizar una cantidad significativa de prueba y error. A menos que esté muy familiarizado con la estructura del sitio, adivinar las configuraciones de las rutas y los nombres de los archivos podría llevarle mucho tiempo. Dicho esto, la mayoría de los sitios siguen patrones específicos y tienen directorios y nombres de archivos más o menos similares. Así que puede que no le lleve tanto tiempo como cree. Y dado que el pago es potencialmente muy lucrativo, hay muchos incentivos para que los hackers traten de explotar la inclusión de archivos locales y las vulnerabilidades de cruce de rutas una vez encontradas.
¿Por qué son peligrosas las vulnerabilidades de inclusión de archivos locales y de cruce de rutas?
Las vulnerabilidades de inclusión de archivos locales y de cruce de rutas son peligrosas porque pueden permitir a los atacantes acceder a archivos sensibles o críticos. En el caso de los archivos de datos, el peligro es que el hacker pueda obtener algo valioso, como las contraseñas de los usuarios u otra información personal. Uno de los principales objetivos suelen ser los archivos de contraseñas o de configuración de usuarios, ya que eso daría acceso al resto del sitio. Las bases de datos también son objetivos principales. Las vulnerabilidades de inclusión de archivos locales y de cruce de rutas podrían permitir a un atacante robar todo el contenido de una base de datos en el peor de los casos.
En el caso de los archivos ejecutables, el peligro radica en que obtener acceso a ellos podría permitir a un atacante realizar actividades maliciosas, como destruir parte de un sitio o incluso montar algún tipo de ataque interno de denegación de servicio mediante el derroche de recursos del sistema. Pero el alcance total del peligro sólo está limitado por el ingenio y la habilidad del atacante, y por los archivos a los que pueda acceder que ya existan en el servidor objetivo.
Eliminación de la amenaza que suponen la inclusión de archivos locales y el path traversal
El peligro que suponen las vulnerabilidades de inclusión de archivos locales y path traversal puede eliminarse con buenas prácticas de ciberseguridad. Lo más importante es no permitir nunca la entrada del usuario en "file include" u otros comandos con funciones similares. Si una aplicación debe permitirla, no la pase directamente. En su lugar, utilice un mapa de referencia indirecto. Un mapa de referencia indirecta toma la entrada del usuario y la asigna a un conjunto de valores de confianza codificados, que luego pueden ser utilizados con seguridad.
Al igual que con muchas otras vulnerabilidades, preste especial atención a todas las áreas de entrada controladas por el usuario, como las cookies, las cabeceras HTTP y los parámetros de los formularios. Las entradas permitidas deben estar en una lista blanca, y todo lo demás debe ser denegado explícitamente. Cuando esto no sea posible, utilice la validación de entradas para regular estrictamente los valores permitidos, como números, valores alfanuméricos, etc.
Más información sobre la inclusión de archivos locales y el cruce de rutas
Para más información, puedes echar un vistazo a la guía de pruebas de OWASP para la inclusión de archivos locales y los exploits de cruce de rutas. También puedes poner a prueba tus nuevos conocimientos defensivos con la demostración gratuita de la plataforma Secure Code Warrior , que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para saber más sobre cómo derrotar esta vulnerabilidad, y una galería de pícaros de otras amenazas, visite el blogSecure Code Warrior .
Índice
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Panorama de la gestión de riesgos de los promotores
La gestión de riesgos del desarrollador es un enfoque holístico y proactivo de la seguridad de las aplicaciones, centrado en quienes contribuyen al código y no en los bits y bytes de la propia capa de la aplicación.
Seguridad desde el diseño: Definición de las mejores prácticas, capacitación de los desarrolladores y evaluación comparativa de los resultados de la seguridad preventiva
En este documento de investigación, los cofundadores Secure Code Warrior , Pieter Danhieux y el Dr. Matias Madou, Ph.D., junto con los expertos colaboradores, Chris Inglis, ex Director Nacional Cibernético de EE.UU. (ahora Asesor Estratégico de Paladin Capital Group), y Devin Lynch, Director Senior, Paladin Global Institute, revelarán los hallazgos clave de más de veinte entrevistas en profundidad con líderes de seguridad empresarial, incluyendo CISOs, un VP de Seguridad de Aplicaciones y profesionales de seguridad de software.
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
Encontrar datos significativos sobre el éxito de las iniciativas Secure-by-Design es notoriamente difícil. Los responsables de la seguridad de la información se enfrentan a menudo al reto de demostrar el rendimiento de la inversión (ROI) y el valor empresarial de las actividades de los programas de seguridad, tanto a nivel de las personas como de la empresa. Por no mencionar que a las empresas les resulta especialmente difícil obtener información sobre cómo se comparan sus organizaciones con los estándares actuales del sector. La Estrategia Nacional de Ciberseguridad del Presidente desafió a las partes interesadas a "adoptar la seguridad y la resiliencia desde el diseño". La clave para que las iniciativas de seguridad por diseño funcionen no es sólo dotar a los desarrolladores de las habilidades necesarias para garantizar un código seguro, sino también garantizar a los reguladores que esas habilidades están en su lugar. En esta presentación, compartimos una miríada de datos cualitativos y cuantitativos, derivados de múltiples fuentes primarias, incluidos puntos de datos internos recogidos de más de 250.000 desarrolladores, opiniones de clientes basadas en datos y estudios públicos. Aprovechando esta agregación de puntos de datos, pretendemos comunicar una visión del estado actual de las iniciativas Secure-by-Design en múltiples verticales. El informe detalla por qué este espacio está actualmente infrautilizado, el impacto significativo que un programa de mejora de las competencias puede tener en la mitigación de los riesgos de ciberseguridad y el potencial para eliminar categorías de vulnerabilidades de un código base.
Servicios profesionales - Acelerar con experiencia
El equipo de servicios de estrategia de programas (PSS) de Secure Code Warriorle ayuda a crear, mejorar y optimizar su programa de codificación segura. Tanto si empieza de cero como si está perfeccionando su enfoque, nuestros expertos le proporcionarán orientación personalizada.
Recursos para empezar
Revelado: Cómo define el sector cibernético la seguridad por diseño
En nuestro último libro blanco, nuestros cofundadores, Pieter Danhieux y el doctor Matias Madou, se sentaron con más de veinte líderes de seguridad empresarial, incluidos CISO, líderes de AppSec y profesionales de la seguridad, para averiguar las piezas clave de este rompecabezas y descubrir la realidad detrás del movimiento Secure by Design. Se trata de una ambición compartida por todos los equipos de seguridad, pero no de un libro de jugadas compartido.
¿Vibe Coding va a convertir tu código en una fiesta de fraternidad?
Vibe Coding es como una fiesta de fraternidad universitaria, y la IA es la pieza central de todos los festejos, el barril. Es muy divertido dar rienda suelta a la creatividad y ver adónde te lleva tu imaginación, pero después de unas cuantas borracheras, beber (o usar IA) con moderación es, sin duda, la solución más segura a largo plazo.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
