Copiar y pegar es una técnica de codificación peligrosa
Investigadores de VirginiaTech publicaron un documento tras analizar cientos de mensajes en el foro de desarrolladores más popular (Stack Overflow). Examinaron el tipo de preguntas formuladas en torno a la seguridad, las respuestas más populares dadas por la comunidad y el efecto que tiene en los ingenieros de software de código.
No es una verdadera sorpresa para las personas que han estado en la ciberseguridad durante un tiempo, pero se necesita más conciencia en torno a este problema desde la perspectiva de los desarrolladores:
- Las características de seguridad proporcionadas por los marcos de codificación (por ejemplo, JAVA Spring) son demasiado complicadas y están mal documentadas
- Un número considerable de desarrolladores no parece entender las implicaciones de seguridad de las opciones de codificación, lo que demuestra una falta de formación en ciberseguridad
- Muchas de las sugerencias y "arreglos" en estos foros no son seguros pero estaban recibiendo votos positivos y por lo tanto más altos en las calificaciones
El informe sugiere las siguientes soluciones:
- Recalificación de la mano de obra
- Detección y corrección semiautomática de errores de seguridad
Tenemos que facilitar la seguridad a los desarrolladores e incorporarla desde el principio para mantener la velocidad con la que operan las empresas hoy en día.
"La importancia de este trabajo es que aportamos pruebas empíricas de un número significativo de problemas alarmantes de codificación segura, de los que no se había informado anteriormente", dice el documento. "Estos problemas se deben a una serie de razones, como la necesidad cada vez mayor de aplicaciones de seguridad en las empresas, la falta de formación en materia de seguridad de los trabajadores que desarrollan el software y las bibliotecas de seguridad mal diseñadas".
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
La importancia de este trabajo radica en que hemos aportado pruebas empíricas de un número significativo de problemas alarmantes de codificación segura, que no se habían comunicado anteriormente
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Investigadores de VirginiaTech publicaron un documento tras analizar cientos de mensajes en el foro de desarrolladores más popular (Stack Overflow). Examinaron el tipo de preguntas formuladas en torno a la seguridad, las respuestas más populares dadas por la comunidad y el efecto que tiene en los ingenieros de software de código.
No es una verdadera sorpresa para las personas que han estado en la ciberseguridad durante un tiempo, pero se necesita más conciencia en torno a este problema desde la perspectiva de los desarrolladores:
- Las características de seguridad proporcionadas por los marcos de codificación (por ejemplo, JAVA Spring) son demasiado complicadas y están mal documentadas
- Un número considerable de desarrolladores no parece entender las implicaciones de seguridad de las opciones de codificación, lo que demuestra una falta de formación en ciberseguridad
- Muchas de las sugerencias y "arreglos" en estos foros no son seguros pero estaban recibiendo votos positivos y por lo tanto más altos en las calificaciones
El informe sugiere las siguientes soluciones:
- Recalificación de la mano de obra
- Detección y corrección semiautomática de errores de seguridad
Tenemos que facilitar la seguridad a los desarrolladores e incorporarla desde el principio para mantener la velocidad con la que operan las empresas hoy en día.
"La importancia de este trabajo es que aportamos pruebas empíricas de un número significativo de problemas alarmantes de codificación segura, de los que no se había informado anteriormente", dice el documento. "Estos problemas se deben a una serie de razones, como la necesidad cada vez mayor de aplicaciones de seguridad en las empresas, la falta de formación en materia de seguridad de los trabajadores que desarrollan el software y las bibliotecas de seguridad mal diseñadas".
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
Investigadores de VirginiaTech publicaron un documento tras analizar cientos de mensajes en el foro de desarrolladores más popular (Stack Overflow). Examinaron el tipo de preguntas formuladas en torno a la seguridad, las respuestas más populares dadas por la comunidad y el efecto que tiene en los ingenieros de software de código.
No es una verdadera sorpresa para las personas que han estado en la ciberseguridad durante un tiempo, pero se necesita más conciencia en torno a este problema desde la perspectiva de los desarrolladores:
- Las características de seguridad proporcionadas por los marcos de codificación (por ejemplo, JAVA Spring) son demasiado complicadas y están mal documentadas
- Un número considerable de desarrolladores no parece entender las implicaciones de seguridad de las opciones de codificación, lo que demuestra una falta de formación en ciberseguridad
- Muchas de las sugerencias y "arreglos" en estos foros no son seguros pero estaban recibiendo votos positivos y por lo tanto más altos en las calificaciones
El informe sugiere las siguientes soluciones:
- Recalificación de la mano de obra
- Detección y corrección semiautomática de errores de seguridad
Tenemos que facilitar la seguridad a los desarrolladores e incorporarla desde el principio para mantener la velocidad con la que operan las empresas hoy en día.
"La importancia de este trabajo es que aportamos pruebas empíricas de un número significativo de problemas alarmantes de codificación segura, de los que no se había informado anteriormente", dice el documento. "Estos problemas se deben a una serie de razones, como la necesidad cada vez mayor de aplicaciones de seguridad en las empresas, la falta de formación en materia de seguridad de los trabajadores que desarrollan el software y las bibliotecas de seguridad mal diseñadas".
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Investigadores de VirginiaTech publicaron un documento tras analizar cientos de mensajes en el foro de desarrolladores más popular (Stack Overflow). Examinaron el tipo de preguntas formuladas en torno a la seguridad, las respuestas más populares dadas por la comunidad y el efecto que tiene en los ingenieros de software de código.
No es una verdadera sorpresa para las personas que han estado en la ciberseguridad durante un tiempo, pero se necesita más conciencia en torno a este problema desde la perspectiva de los desarrolladores:
- Las características de seguridad proporcionadas por los marcos de codificación (por ejemplo, JAVA Spring) son demasiado complicadas y están mal documentadas
- Un número considerable de desarrolladores no parece entender las implicaciones de seguridad de las opciones de codificación, lo que demuestra una falta de formación en ciberseguridad
- Muchas de las sugerencias y "arreglos" en estos foros no son seguros pero estaban recibiendo votos positivos y por lo tanto más altos en las calificaciones
El informe sugiere las siguientes soluciones:
- Recalificación de la mano de obra
- Detección y corrección semiautomática de errores de seguridad
Tenemos que facilitar la seguridad a los desarrolladores e incorporarla desde el principio para mantener la velocidad con la que operan las empresas hoy en día.
"La importancia de este trabajo es que aportamos pruebas empíricas de un número significativo de problemas alarmantes de codificación segura, de los que no se había informado anteriormente", dice el documento. "Estos problemas se deben a una serie de razones, como la necesidad cada vez mayor de aplicaciones de seguridad en las empresas, la falta de formación en materia de seguridad de los trabajadores que desarrollan el software y las bibliotecas de seguridad mal diseñadas".
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación sobre código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Temas que cubren todo, desde IA a XQuery Injection, ofrecidos para una variedad de roles desde Arquitectos e Ingenieros a Product Managers y QA. Eche un vistazo a lo que ofrece nuestro catálogo de contenidos por tema y función.
Ley de Resiliencia Cibernética (CRA) Vías de aprendizaje alineadas
SCW apoya la preparación para la Ley de Resiliencia Cibernética (CRA) con misiones alineadas con la CRA y colecciones de aprendizaje conceptual que ayudan a los equipos de desarrollo a crear habilidades de diseño seguro, SDLC y codificación segura alineadas con los principios de desarrollo seguro de la CRA.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
Recursos para empezar
Cybermon ha vuelto: Missions contra el jefe IA Missions están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA/LLM para fortalecer el desarrollo seguro de la IA a gran escala.
La IA puede escribir y revisar código, pero los humanos siguen siendo los responsables del riesgo.
El lanzamiento de Claude Code Security por parte de Anthropic marca un punto de inflexión decisivo entre el desarrollo de software asistido por IA y el rápido avance de nuestro enfoque de la ciberseguridad moderna.
Explicación de la Ley de Resiliencia Cibernética: qué significa para el desarrollo de software seguro desde el diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo pueden prepararse los equipos de ingeniería con prácticas de seguridad desde el diseño, prevención de vulnerabilidades y desarrollo de capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 inicia nuestra serie de 10 partes titulada «Facilitadores del éxito» mostrando cómo vincular la codificación segura con resultados empresariales como la reducción del riesgo y la velocidad para la madurez a largo plazo de los programas.