En respuesta a importantes violaciones de la seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18.000 usuarios del popular software de gestión Orion, entre los que se encontraban muchas de las principales empresas y organismos gubernamentales, se está produciendo un aumento de la presión para que los desarrolladores realicen esfuerzos de seguridad más eficaces. Organizaciones de todos los tamaños están empezando a cuestionar su "cadena de suministro de software", y a exigir que los desarrolladores que elaboran su software tengan conocimientos y conciencia de seguridad verificados.

Incluso el gobierno de los Estados Unidos pide que se mejoren las prácticas de seguridad dirigidas por los desarrolladores y que se refuerce la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva sobre la mejora de la ciberseguridad de la nación emitida por el Presidente Biden.

En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a las primeras fases del ciclo de vida del desarrollo de software (SDLC) a través de programas y movimientos como DevSecOps.

Las vulnerabilidades del software siguen siendo explotadas, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.

¿Por qué?

La encuesta confirmó que la escritura de código de calidad era una de las principales prioridades de la comunidad de desarrolladores. Sin embargo, la encuesta también identificó varias razones por las que la formación que se imparte a los desarrolladores, aunque se considera valiosa, no alcanza el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de la formación impartida, seguía sin saber cómo identificar o solucionar las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más formación.

Está claro que la comunidad de desarrolladores valora cualquier tipo de formación que se les imparta. Sin embargo, cuando se les pregunta por los obstáculos que impiden la adopción de prácticas de codificación seguras, se cita la falta de tiempo como la razón número uno, seguida por una quinta parte de los encuestados que citan como culpable la falta de un enfoque cohesivo. La formación se considera más bien un acontecimiento puntual en lugar de formar parte de un esfuerzo estratégico continuo para incorporar la seguridad a los flujos de trabajo de los desarrolladores y utilizarla a diario.

De este modo, los desarrolladores no están capacitados para crear y mantener habilidades de codificación segura como parte de un programa cohesivo y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es especialmente eficaz ni completa, dado que muchos desarrolladores afirman que todavía no pueden identificar y solucionar las vulnerabilidades más comunes.

El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en materia de seguridad, mientras que el 92% dijo que se necesitaba mucha más formación.

¿Qué pueden hacer las organizaciones para arreglar la situación?

Resulta interesante que los desarrolladores afirmen mayoritariamente que necesitan más formación en materia de seguridad. Y aunque valoraban la formación que recibían, podría tratarse de una situación en la que simplemente se conforman con lo que puedan conseguir.

Cuando se les pidió que comentaran las formas de mejorar su formación, empezaron a aflorar sus verdaderas ideas sobre el tema. En general, la mayor parte de la formación que recibían los desarrolladores era limitada, no interactiva, sólo se dirigía en cierta medida a sus responsabilidades laborales, y no formaba parte de un plan general o continuo para ayudar a mejorar las habilidades y la concienciación sobre la seguridad de su organización.Según los desarrolladores encuestados, si las organizaciones quieren mejorar la eficacia de la formación que se ofrece, ésta debería presentarse como una parte de un enfoque global para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían peticiones específicas para que la formación fuera más valiosa. Una de las sugerencias más populares fue la de incluir más casos de uso y ejemplos prácticos de situaciones con las que probablemente se encontrarían desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que la formación cubriera con el tiempo escenarios cada vez más complejos o difíciles, algo que probablemente también requeriría un enfoque más cohesivo y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades.Los desarrolladores también destacaron la necesidad de más interactividad e incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios se limitan a ver un vídeo o a escuchar una conferencia sin oportunidad de aprendizaje práctico y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil como la codificación segura.

Los desarrolladores también destacaron la necesidad de una mayor interactividad e incluso de añadir un elemento competitivo.

¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad cohesiva?

La formación es, por supuesto, fundamental cuando se trata de mejorar la concienciación y las habilidades en materia de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Pero un enfoque verdaderamente cohesivo para mejorar la concienciación en materia de seguridad va incluso más allá.

Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores. Por ejemplo, los desarrolladores han sido evaluados tradicionalmente en función de la rapidez con la que podían codificar. Pero un enfoque cohesivo de la seguridad podría implicar el cambio de esas métricas y valores mantenidos durante mucho tiempo. En su lugar, las evaluaciones podrían dejar de recompensar la velocidad bruta y recompensar a los desarrolladores que puedan crear un código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.

También podría implicar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarse a imponer la seguridad a los desarrolladores, considere la posibilidad de crear o nombrar a campeones de seguridad de la comunidad. Se trataría de desarrolladores con talento y concienciados con la seguridad, que se distingan en la formación o como parte de las evaluaciones de métricas recién enfocadas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrollo desde dentro.

Un enfoque verdaderamente cohesionado debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores.

Para más información

Libro blanco: Los retos (y las oportunidades) para mejorar la seguridad del software

Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores

Libro blanco: La Superbowl de DevSecOps: Cómo los campeones de la seguridad pueden apoyar a su equipo a la victoria contra las vulnerabilidades de última hora

Informe: El estado de la seguridad impulsada por los desarrolladores 2022