Establecer un enfoque coherente de la seguridad dirigida por los desarrolladores
En respuesta a importantes violaciones de la seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18.000 usuarios del popular software de gestión Orion, entre los que se encontraban muchas de las principales empresas y organismos gubernamentales, se está produciendo un aumento de la presión para que los desarrolladores realicen esfuerzos de seguridad más eficaces. Organizaciones de todos los tamaños están empezando a cuestionar su "cadena de suministro de software", y a exigir que los desarrolladores que elaboran su software tengan conocimientos y conciencia de seguridad verificados.
Incluso el gobierno de los Estados Unidos pide que se mejoren las prácticas de seguridad dirigidas por los desarrolladores y que se refuerce la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva sobre la mejora de la ciberseguridad de la nación emitida por el Presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a las primeras fases del ciclo de vida del desarrollo de software (SDLC) a través de programas y movimientos como DevSecOps.
Las vulnerabilidades del software siguen siendo explotadas, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que la escritura de código de calidad era una de las principales prioridades de la comunidad de desarrolladores. Sin embargo, la encuesta también identificó varias razones por las que la formación que se imparte a los desarrolladores, aunque se considera valiosa, no alcanza el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de la formación impartida, seguía sin saber cómo identificar o solucionar las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más formación.
Está claro que la comunidad de desarrolladores valora cualquier tipo de formación que se les imparta. Sin embargo, cuando se les pregunta por los obstáculos que impiden la adopción de prácticas de codificación seguras, se cita la falta de tiempo como la razón número uno, seguida por una quinta parte de los encuestados que citan como culpable la falta de un enfoque cohesivo. La formación se considera más bien un acontecimiento puntual en lugar de formar parte de un esfuerzo estratégico continuo para incorporar la seguridad a los flujos de trabajo de los desarrolladores y utilizarla a diario.
De este modo, los desarrolladores no están capacitados para crear y mantener habilidades de codificación segura como parte de un programa cohesivo y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es especialmente eficaz ni completa, dado que muchos desarrolladores afirman que todavía no pueden identificar y solucionar las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en materia de seguridad, mientras que el 92% dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para arreglar la situación?
Resulta interesante que los desarrolladores afirmen mayoritariamente que necesitan más formación en materia de seguridad. Y aunque valoraban la formación que recibían, podría tratarse de una situación en la que simplemente se conforman con lo que puedan conseguir.
Cuando se les pidió que comentaran las formas de mejorar su formación, empezaron a aflorar sus verdaderas ideas sobre el tema. En general, la mayor parte de la formación que recibían los desarrolladores era limitada, no interactiva, sólo se dirigía en cierta medida a sus responsabilidades laborales, y no formaba parte de un plan general o continuo para ayudar a mejorar las habilidades y la concienciación sobre la seguridad de su organización.Según los desarrolladores encuestados, si las organizaciones quieren mejorar la eficacia de la formación que se ofrece, ésta debería presentarse como una parte de un enfoque global para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían peticiones específicas para que la formación fuera más valiosa. Una de las sugerencias más populares fue la de incluir más casos de uso y ejemplos prácticos de situaciones con las que probablemente se encontrarían desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que la formación cubriera con el tiempo escenarios cada vez más complejos o difíciles, algo que probablemente también requeriría un enfoque más cohesivo y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades.Los desarrolladores también destacaron la necesidad de más interactividad e incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios se limitan a ver un vídeo o a escuchar una conferencia sin oportunidad de aprendizaje práctico y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil como la codificación segura.
Los desarrolladores también destacaron la necesidad de una mayor interactividad e incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad cohesiva?
La formación es, por supuesto, fundamental cuando se trata de mejorar la concienciación y las habilidades en materia de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Pero un enfoque verdaderamente cohesivo para mejorar la concienciación en materia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores. Por ejemplo, los desarrolladores han sido evaluados tradicionalmente en función de la rapidez con la que podían codificar. Pero un enfoque cohesivo de la seguridad podría implicar el cambio de esas métricas y valores mantenidos durante mucho tiempo. En su lugar, las evaluaciones podrían dejar de recompensar la velocidad bruta y recompensar a los desarrolladores que puedan crear un código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría implicar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarse a imponer la seguridad a los desarrolladores, considere la posibilidad de crear o nombrar a campeones de seguridad de la comunidad. Se trataría de desarrolladores con talento y concienciados con la seguridad, que se distingan en la formación o como parte de las evaluaciones de métricas recién enfocadas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrollo desde dentro.
Un enfoque verdaderamente cohesionado debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores.
Para más información
Libro blanco: Los retos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: Cómo los campeones de la seguridad pueden apoyar a su equipo a la victoria contra las vulnerabilidades de última hora
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
En respuesta a importantes violaciones de la seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18.000 usuarios del popular software de gestión Orion, entre los que se encontraban muchas de las principales empresas y organismos gubernamentales, se está produciendo un aumento de la presión para que los desarrolladores realicen esfuerzos de seguridad más eficaces. Organizaciones de todos los tamaños están empezando a cuestionar su "cadena de suministro de software", y a exigir que los desarrolladores que elaboran su software tengan conocimientos y conciencia de seguridad verificados.
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
En respuesta a importantes violaciones de la seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18.000 usuarios del popular software de gestión Orion, entre los que se encontraban muchas de las principales empresas y organismos gubernamentales, se está produciendo un aumento de la presión para que los desarrolladores realicen esfuerzos de seguridad más eficaces. Organizaciones de todos los tamaños están empezando a cuestionar su "cadena de suministro de software", y a exigir que los desarrolladores que elaboran su software tengan conocimientos y conciencia de seguridad verificados.
Incluso el gobierno de los Estados Unidos pide que se mejoren las prácticas de seguridad dirigidas por los desarrolladores y que se refuerce la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva sobre la mejora de la ciberseguridad de la nación emitida por el Presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a las primeras fases del ciclo de vida del desarrollo de software (SDLC) a través de programas y movimientos como DevSecOps.
Las vulnerabilidades del software siguen siendo explotadas, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que la escritura de código de calidad era una de las principales prioridades de la comunidad de desarrolladores. Sin embargo, la encuesta también identificó varias razones por las que la formación que se imparte a los desarrolladores, aunque se considera valiosa, no alcanza el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de la formación impartida, seguía sin saber cómo identificar o solucionar las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más formación.
Está claro que la comunidad de desarrolladores valora cualquier tipo de formación que se les imparta. Sin embargo, cuando se les pregunta por los obstáculos que impiden la adopción de prácticas de codificación seguras, se cita la falta de tiempo como la razón número uno, seguida por una quinta parte de los encuestados que citan como culpable la falta de un enfoque cohesivo. La formación se considera más bien un acontecimiento puntual en lugar de formar parte de un esfuerzo estratégico continuo para incorporar la seguridad a los flujos de trabajo de los desarrolladores y utilizarla a diario.
De este modo, los desarrolladores no están capacitados para crear y mantener habilidades de codificación segura como parte de un programa cohesivo y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es especialmente eficaz ni completa, dado que muchos desarrolladores afirman que todavía no pueden identificar y solucionar las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en materia de seguridad, mientras que el 92% dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para arreglar la situación?
Resulta interesante que los desarrolladores afirmen mayoritariamente que necesitan más formación en materia de seguridad. Y aunque valoraban la formación que recibían, podría tratarse de una situación en la que simplemente se conforman con lo que puedan conseguir.
Cuando se les pidió que comentaran las formas de mejorar su formación, empezaron a aflorar sus verdaderas ideas sobre el tema. En general, la mayor parte de la formación que recibían los desarrolladores era limitada, no interactiva, sólo se dirigía en cierta medida a sus responsabilidades laborales, y no formaba parte de un plan general o continuo para ayudar a mejorar las habilidades y la concienciación sobre la seguridad de su organización.Según los desarrolladores encuestados, si las organizaciones quieren mejorar la eficacia de la formación que se ofrece, ésta debería presentarse como una parte de un enfoque global para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían peticiones específicas para que la formación fuera más valiosa. Una de las sugerencias más populares fue la de incluir más casos de uso y ejemplos prácticos de situaciones con las que probablemente se encontrarían desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que la formación cubriera con el tiempo escenarios cada vez más complejos o difíciles, algo que probablemente también requeriría un enfoque más cohesivo y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades.Los desarrolladores también destacaron la necesidad de más interactividad e incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios se limitan a ver un vídeo o a escuchar una conferencia sin oportunidad de aprendizaje práctico y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil como la codificación segura.
Los desarrolladores también destacaron la necesidad de una mayor interactividad e incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad cohesiva?
La formación es, por supuesto, fundamental cuando se trata de mejorar la concienciación y las habilidades en materia de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Pero un enfoque verdaderamente cohesivo para mejorar la concienciación en materia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores. Por ejemplo, los desarrolladores han sido evaluados tradicionalmente en función de la rapidez con la que podían codificar. Pero un enfoque cohesivo de la seguridad podría implicar el cambio de esas métricas y valores mantenidos durante mucho tiempo. En su lugar, las evaluaciones podrían dejar de recompensar la velocidad bruta y recompensar a los desarrolladores que puedan crear un código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría implicar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarse a imponer la seguridad a los desarrolladores, considere la posibilidad de crear o nombrar a campeones de seguridad de la comunidad. Se trataría de desarrolladores con talento y concienciados con la seguridad, que se distingan en la formación o como parte de las evaluaciones de métricas recién enfocadas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrollo desde dentro.
Un enfoque verdaderamente cohesionado debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores.
Para más información
Libro blanco: Los retos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: Cómo los campeones de la seguridad pueden apoyar a su equipo a la victoria contra las vulnerabilidades de última hora
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
En respuesta a importantes violaciones de la seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18.000 usuarios del popular software de gestión Orion, entre los que se encontraban muchas de las principales empresas y organismos gubernamentales, se está produciendo un aumento de la presión para que los desarrolladores realicen esfuerzos de seguridad más eficaces. Organizaciones de todos los tamaños están empezando a cuestionar su "cadena de suministro de software", y a exigir que los desarrolladores que elaboran su software tengan conocimientos y conciencia de seguridad verificados.
Incluso el gobierno de los Estados Unidos pide que se mejoren las prácticas de seguridad dirigidas por los desarrolladores y que se refuerce la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva sobre la mejora de la ciberseguridad de la nación emitida por el Presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a las primeras fases del ciclo de vida del desarrollo de software (SDLC) a través de programas y movimientos como DevSecOps.
Las vulnerabilidades del software siguen siendo explotadas, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que la escritura de código de calidad era una de las principales prioridades de la comunidad de desarrolladores. Sin embargo, la encuesta también identificó varias razones por las que la formación que se imparte a los desarrolladores, aunque se considera valiosa, no alcanza el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de la formación impartida, seguía sin saber cómo identificar o solucionar las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más formación.
Está claro que la comunidad de desarrolladores valora cualquier tipo de formación que se les imparta. Sin embargo, cuando se les pregunta por los obstáculos que impiden la adopción de prácticas de codificación seguras, se cita la falta de tiempo como la razón número uno, seguida por una quinta parte de los encuestados que citan como culpable la falta de un enfoque cohesivo. La formación se considera más bien un acontecimiento puntual en lugar de formar parte de un esfuerzo estratégico continuo para incorporar la seguridad a los flujos de trabajo de los desarrolladores y utilizarla a diario.
De este modo, los desarrolladores no están capacitados para crear y mantener habilidades de codificación segura como parte de un programa cohesivo y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es especialmente eficaz ni completa, dado que muchos desarrolladores afirman que todavía no pueden identificar y solucionar las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en materia de seguridad, mientras que el 92% dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para arreglar la situación?
Resulta interesante que los desarrolladores afirmen mayoritariamente que necesitan más formación en materia de seguridad. Y aunque valoraban la formación que recibían, podría tratarse de una situación en la que simplemente se conforman con lo que puedan conseguir.
Cuando se les pidió que comentaran las formas de mejorar su formación, empezaron a aflorar sus verdaderas ideas sobre el tema. En general, la mayor parte de la formación que recibían los desarrolladores era limitada, no interactiva, sólo se dirigía en cierta medida a sus responsabilidades laborales, y no formaba parte de un plan general o continuo para ayudar a mejorar las habilidades y la concienciación sobre la seguridad de su organización.Según los desarrolladores encuestados, si las organizaciones quieren mejorar la eficacia de la formación que se ofrece, ésta debería presentarse como una parte de un enfoque global para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían peticiones específicas para que la formación fuera más valiosa. Una de las sugerencias más populares fue la de incluir más casos de uso y ejemplos prácticos de situaciones con las que probablemente se encontrarían desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que la formación cubriera con el tiempo escenarios cada vez más complejos o difíciles, algo que probablemente también requeriría un enfoque más cohesivo y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades.Los desarrolladores también destacaron la necesidad de más interactividad e incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios se limitan a ver un vídeo o a escuchar una conferencia sin oportunidad de aprendizaje práctico y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil como la codificación segura.
Los desarrolladores también destacaron la necesidad de una mayor interactividad e incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad cohesiva?
La formación es, por supuesto, fundamental cuando se trata de mejorar la concienciación y las habilidades en materia de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Pero un enfoque verdaderamente cohesivo para mejorar la concienciación en materia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores. Por ejemplo, los desarrolladores han sido evaluados tradicionalmente en función de la rapidez con la que podían codificar. Pero un enfoque cohesivo de la seguridad podría implicar el cambio de esas métricas y valores mantenidos durante mucho tiempo. En su lugar, las evaluaciones podrían dejar de recompensar la velocidad bruta y recompensar a los desarrolladores que puedan crear un código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría implicar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarse a imponer la seguridad a los desarrolladores, considere la posibilidad de crear o nombrar a campeones de seguridad de la comunidad. Se trataría de desarrolladores con talento y concienciados con la seguridad, que se distingan en la formación o como parte de las evaluaciones de métricas recién enfocadas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrollo desde dentro.
Un enfoque verdaderamente cohesionado debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores.
Para más información
Libro blanco: Los retos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: Cómo los campeones de la seguridad pueden apoyar a su equipo a la victoria contra las vulnerabilidades de última hora
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
En respuesta a importantes violaciones de la seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18.000 usuarios del popular software de gestión Orion, entre los que se encontraban muchas de las principales empresas y organismos gubernamentales, se está produciendo un aumento de la presión para que los desarrolladores realicen esfuerzos de seguridad más eficaces. Organizaciones de todos los tamaños están empezando a cuestionar su "cadena de suministro de software", y a exigir que los desarrolladores que elaboran su software tengan conocimientos y conciencia de seguridad verificados.
Incluso el gobierno de los Estados Unidos pide que se mejoren las prácticas de seguridad dirigidas por los desarrolladores y que se refuerce la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva sobre la mejora de la ciberseguridad de la nación emitida por el Presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a las primeras fases del ciclo de vida del desarrollo de software (SDLC) a través de programas y movimientos como DevSecOps.
Las vulnerabilidades del software siguen siendo explotadas, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que la escritura de código de calidad era una de las principales prioridades de la comunidad de desarrolladores. Sin embargo, la encuesta también identificó varias razones por las que la formación que se imparte a los desarrolladores, aunque se considera valiosa, no alcanza el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de la formación impartida, seguía sin saber cómo identificar o solucionar las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más formación.
Está claro que la comunidad de desarrolladores valora cualquier tipo de formación que se les imparta. Sin embargo, cuando se les pregunta por los obstáculos que impiden la adopción de prácticas de codificación seguras, se cita la falta de tiempo como la razón número uno, seguida por una quinta parte de los encuestados que citan como culpable la falta de un enfoque cohesivo. La formación se considera más bien un acontecimiento puntual en lugar de formar parte de un esfuerzo estratégico continuo para incorporar la seguridad a los flujos de trabajo de los desarrolladores y utilizarla a diario.
De este modo, los desarrolladores no están capacitados para crear y mantener habilidades de codificación segura como parte de un programa cohesivo y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es especialmente eficaz ni completa, dado que muchos desarrolladores afirman que todavía no pueden identificar y solucionar las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en materia de seguridad, mientras que el 92% dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para arreglar la situación?
Resulta interesante que los desarrolladores afirmen mayoritariamente que necesitan más formación en materia de seguridad. Y aunque valoraban la formación que recibían, podría tratarse de una situación en la que simplemente se conforman con lo que puedan conseguir.
Cuando se les pidió que comentaran las formas de mejorar su formación, empezaron a aflorar sus verdaderas ideas sobre el tema. En general, la mayor parte de la formación que recibían los desarrolladores era limitada, no interactiva, sólo se dirigía en cierta medida a sus responsabilidades laborales, y no formaba parte de un plan general o continuo para ayudar a mejorar las habilidades y la concienciación sobre la seguridad de su organización.Según los desarrolladores encuestados, si las organizaciones quieren mejorar la eficacia de la formación que se ofrece, ésta debería presentarse como una parte de un enfoque global para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían peticiones específicas para que la formación fuera más valiosa. Una de las sugerencias más populares fue la de incluir más casos de uso y ejemplos prácticos de situaciones con las que probablemente se encontrarían desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que la formación cubriera con el tiempo escenarios cada vez más complejos o difíciles, algo que probablemente también requeriría un enfoque más cohesivo y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades.Los desarrolladores también destacaron la necesidad de más interactividad e incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios se limitan a ver un vídeo o a escuchar una conferencia sin oportunidad de aprendizaje práctico y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil como la codificación segura.
Los desarrolladores también destacaron la necesidad de una mayor interactividad e incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad cohesiva?
La formación es, por supuesto, fundamental cuando se trata de mejorar la concienciación y las habilidades en materia de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Pero un enfoque verdaderamente cohesivo para mejorar la concienciación en materia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores. Por ejemplo, los desarrolladores han sido evaluados tradicionalmente en función de la rapidez con la que podían codificar. Pero un enfoque cohesivo de la seguridad podría implicar el cambio de esas métricas y valores mantenidos durante mucho tiempo. En su lugar, las evaluaciones podrían dejar de recompensar la velocidad bruta y recompensar a los desarrolladores que puedan crear un código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría implicar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarse a imponer la seguridad a los desarrolladores, considere la posibilidad de crear o nombrar a campeones de seguridad de la comunidad. Se trataría de desarrolladores con talento y concienciados con la seguridad, que se distingan en la formación o como parte de las evaluaciones de métricas recién enfocadas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrollo desde dentro.
Un enfoque verdaderamente cohesionado debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores.
Para más información
Libro blanco: Los retos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: Cómo los campeones de la seguridad pueden apoyar a su equipo a la victoria contra las vulnerabilidades de última hora
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
Índice
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
A por el oro: Aumentar la seguridad del código en Paysafe
Descubra cómo la asociación de Paysafe con Secure Code Warrior permitió aumentar en un 45% la productividad de los desarrolladores y reducir considerablemente las vulnerabilidades del código.
.png)
El poder de la marca en AppSec DevSec DevSecOps (¿Qué hay en un Acrynym?)
En AppSec, el impacto duradero de un programa exige algo más que tecnología: necesita una marca fuerte. Una identidad poderosa garantiza que sus iniciativas resuenen e impulsen un compromiso sostenido dentro de su comunidad de desarrolladores.
Agente de confianza: AI por Secure Code Warrior
Esta página presenta SCW Trust Agent: AI, un nuevo conjunto de capacidades que proporcionan una profunda observabilidad y gobernanza sobre las herramientas de codificación de IA. Descubra cómo nuestra solución correlaciona de forma única el uso de herramientas de IA con las habilidades de los desarrolladores para ayudarle a gestionar el riesgo, optimizar su SDLC y garantizar que cada línea de código generado por IA sea segura.
.avif)
Vibe Coding: Guía práctica para actualizar su estrategia AppSec para la IA
Vea el vídeo a la carta para aprender a capacitar a los administradores de AppSec para que se conviertan en facilitadores de IA, en lugar de bloqueadores, mediante un enfoque práctico que da prioridad a la formación. Le mostraremos cómo aprovechar Secure Code Warrior (SCW) para actualizar estratégicamente su estrategia de AppSec para la era de los asistentes de codificación de IA.
Recursos para empezar
Por qué el Mes de la Concienciación sobre Ciberseguridad debe evolucionar en la era de la IA
Los CISO no pueden confiar en el mismo manual de concienciación de siempre. En la era de la IA, deben adoptar enfoques modernos para proteger el código, los equipos y las organizaciones.
.avif)
Codificación segura en la era de la IA: pruebe nuestros nuevos retos interactivos de IA
La codificación asistida por IA está cambiando el desarrollo. Prueba nuestros nuevos retos de IA al estilo Copilot para revisar, analizar y corregir código de forma segura en flujos de trabajo realistas.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
