Los codificadores conquistan la seguridad: Share & Learn Series - Broken Access Control
Cuando construyes una aplicación empresarial, ya sea para uso interno o externo por parte de tus clientes, probablemente no permites que cada usuario realice todas las funciones. Si lo hace, puede ser vulnerable a un control de acceso roto.
Veamos qué es un control de acceso defectuoso, por qué es tan peligroso y cómo solucionarlo.
Comprender el control de acceso roto
El control de acceso roto se produce cuando el código de la aplicación no tiene las comprobaciones de seguridad o de acceso adecuadas. También puede ocurrir cuando una aplicación está mal configurada de alguna manera, permitiendo el acceso a funciones o páginas a las que el usuario no debería tener acceso.
Si usted maneja las finanzas de su empresa, puede tener acceso a depositar dinero en determinadas cuentas o a transferir dinero entre las cuentas de su empresa. Sin embargo, no debería tener acceso para retirar dinero de esas cuentas o transferir dinero a otras cuentas. Si no existen los controles de acceso adecuados, es posible que sus empleados puedan realizar más funciones de las necesarias.
Estas comprobaciones pueden realizarse dentro del código o en archivos de configuración. Por ejemplo, puede haber archivos de configuración XML que indiquen al marco de la aplicación web qué usuarios pueden acceder a qué páginas. Esto garantiza que los usuarios sólo puedan acceder a las funciones que están autorizados a utilizar.
Por qué es peligroso un control de acceso roto
Considere este ejemplo: Un atacante se ha dado cuenta de que su código de creación de cuentas de usuario puede ser manipulado, permitiendo al atacante crear un usuario administrador con una simple petición de correo. Pueden enviar una solicitud con el nombre de usuario y la contraseña, y luego cambiarla en el camino para incluir el rol de administrador en la URL como un parámetro, o en el cuerpo de la solicitud. El atacante entra en la aplicación y recibe instantáneamente derechos de administrador.
No siempre tiene que ser un atacante malicioso el que penetre en un sistema. Sin los controles de acceso adecuados, puede filtrarse información sensible que no debería compartirse entre departamentos. Imagínese que cualquier empleado de la empresa pudiera ver los datos de las nóminas de Recursos Humanos o los datos financieros. ¿Qué pasaría si cualquier empleado pudiera ver que se avecinan despidos por la mala situación financiera de la empresa? Esto podría ser perjudicial para la moral y la reputación de la empresa.
También podría perderse información sensible de los clientes. Las empresas suelen almacenar información personal de los clientes que utilizan sus servicios. Tenga cuidado de no exponerla accidentalmente por falta de control de acceso. Por ejemplo, si su sistema ofrece a los usuarios la posibilidad de solicitar su historial médico, ¿tienen también la posibilidad de solicitar y ver la información médica de otros? Si la URL contiene un número de identificación de cliente, los atacantes podrían incrementar ese número de identificación de cliente una y otra vez hasta encontrar uno que coincida con otro cliente, revelando así sus datos personales.
Derrotar el control de acceso roto
El control de acceso basado en roles (RBAC) es una herramienta muy eficaz para implementar un buen control de acceso. Aquellos que utilizan Active Directory pueden estar familiarizados con la idea de crear grupos y dar acceso a ciertos elementos a través del grupo, en lugar de al individuo. Las aplicaciones funcionan de la misma manera, utilizando roles para definir quién puede ver qué.
Esto tiene dos ventajas. En primer lugar, no es necesario cambiar una función cuando alguien deja el rol de administrador. Si alguien era previamente un administrador y ahora ya no debe serlo, entonces simplemente se coloca una nueva persona en el rol de administrador y se elimina a la persona anterior del rol. El código comprueba si el usuario tiene el rol de administrador en lugar de comprobar si cada usuario individual tiene acceso a una determinada página o función.
La segunda ventaja es evitar una pesadilla de mantenimiento. Un control de acceso tan granular que cada persona tenga asociaciones con todas las funciones o páginas posibles será imposible de gestionar con el tiempo. Los roles facilitan mucho las cosas, porque se pueden añadir varias personas a un rol. Un rol puede incluir a toda la empresa, mientras que otro puede tener sólo cinco personas. Esto hace que la gestión de los roles sea más eficiente, ya que habrá menos roles que gestionar. Una empresa de 10.000 personas podría tener sólo 100 roles en lugar de 10.000 veces el número de funciones de su aplicación. Investigue el marco de trabajo de su aplicación elegida para ver qué opciones existen para un control de acceso sólido.
También es fundamental utilizar el control de acceso a nivel de función. Proteja el acceso a todas las funciones exigiendo a los usuarios que pasen ciertas comprobaciones de control de acceso. Utilice el principio del mínimo privilegio, denegando el acceso por defecto y abriendo el acceso sólo cuando sea necesario. Puede ser difícil recordar la aplicación del control de acceso para cada función. Utilice un componente central para gestionar y aplicar el control de acceso.
Proteja sus funciones sensibles
Un control de acceso defectuoso puede dejar sus datos y su aplicación muy abiertos a los ataques y a la explotación. Los datos de los clientes que no están protegidos adecuadamente podrían dar lugar a una filtración masiva de datos, perjudicando su reputación y sus ingresos.
Un control de acceso roto también podría conducir a la toma de posesión de cuentas si los atacantes son capaces de acceder a la funcionalidad a la que no deberían acceder. Utilice un control de acceso de nivel funcional adecuado y mantendrá su aplicación a salvo de atacantes malintencionados, e incluso de personas con acceso interno accidental.
¿Cree que ya ha superado el nivel de acceso funcional? Ahora puedes desafiarte a ti mismo para reparar el control de acceso roto: [Comience aquí]
Cuando construyes una aplicación empresarial, ya sea para uso interno o externo por parte de tus clientes, probablemente no permites que cada usuario realice todas las funciones. Si lo hace, puede ser vulnerable a un control de acceso roto.
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Cuando construyes una aplicación empresarial, ya sea para uso interno o externo por parte de tus clientes, probablemente no permites que cada usuario realice todas las funciones. Si lo hace, puede ser vulnerable a un control de acceso roto.
Veamos qué es un control de acceso defectuoso, por qué es tan peligroso y cómo solucionarlo.
Comprender el control de acceso roto
El control de acceso roto se produce cuando el código de la aplicación no tiene las comprobaciones de seguridad o de acceso adecuadas. También puede ocurrir cuando una aplicación está mal configurada de alguna manera, permitiendo el acceso a funciones o páginas a las que el usuario no debería tener acceso.
Si usted maneja las finanzas de su empresa, puede tener acceso a depositar dinero en determinadas cuentas o a transferir dinero entre las cuentas de su empresa. Sin embargo, no debería tener acceso para retirar dinero de esas cuentas o transferir dinero a otras cuentas. Si no existen los controles de acceso adecuados, es posible que sus empleados puedan realizar más funciones de las necesarias.
Estas comprobaciones pueden realizarse dentro del código o en archivos de configuración. Por ejemplo, puede haber archivos de configuración XML que indiquen al marco de la aplicación web qué usuarios pueden acceder a qué páginas. Esto garantiza que los usuarios sólo puedan acceder a las funciones que están autorizados a utilizar.
Por qué es peligroso un control de acceso roto
Considere este ejemplo: Un atacante se ha dado cuenta de que su código de creación de cuentas de usuario puede ser manipulado, permitiendo al atacante crear un usuario administrador con una simple petición de correo. Pueden enviar una solicitud con el nombre de usuario y la contraseña, y luego cambiarla en el camino para incluir el rol de administrador en la URL como un parámetro, o en el cuerpo de la solicitud. El atacante entra en la aplicación y recibe instantáneamente derechos de administrador.
No siempre tiene que ser un atacante malicioso el que penetre en un sistema. Sin los controles de acceso adecuados, puede filtrarse información sensible que no debería compartirse entre departamentos. Imagínese que cualquier empleado de la empresa pudiera ver los datos de las nóminas de Recursos Humanos o los datos financieros. ¿Qué pasaría si cualquier empleado pudiera ver que se avecinan despidos por la mala situación financiera de la empresa? Esto podría ser perjudicial para la moral y la reputación de la empresa.
También podría perderse información sensible de los clientes. Las empresas suelen almacenar información personal de los clientes que utilizan sus servicios. Tenga cuidado de no exponerla accidentalmente por falta de control de acceso. Por ejemplo, si su sistema ofrece a los usuarios la posibilidad de solicitar su historial médico, ¿tienen también la posibilidad de solicitar y ver la información médica de otros? Si la URL contiene un número de identificación de cliente, los atacantes podrían incrementar ese número de identificación de cliente una y otra vez hasta encontrar uno que coincida con otro cliente, revelando así sus datos personales.
Derrotar el control de acceso roto
El control de acceso basado en roles (RBAC) es una herramienta muy eficaz para implementar un buen control de acceso. Aquellos que utilizan Active Directory pueden estar familiarizados con la idea de crear grupos y dar acceso a ciertos elementos a través del grupo, en lugar de al individuo. Las aplicaciones funcionan de la misma manera, utilizando roles para definir quién puede ver qué.
Esto tiene dos ventajas. En primer lugar, no es necesario cambiar una función cuando alguien deja el rol de administrador. Si alguien era previamente un administrador y ahora ya no debe serlo, entonces simplemente se coloca una nueva persona en el rol de administrador y se elimina a la persona anterior del rol. El código comprueba si el usuario tiene el rol de administrador en lugar de comprobar si cada usuario individual tiene acceso a una determinada página o función.
La segunda ventaja es evitar una pesadilla de mantenimiento. Un control de acceso tan granular que cada persona tenga asociaciones con todas las funciones o páginas posibles será imposible de gestionar con el tiempo. Los roles facilitan mucho las cosas, porque se pueden añadir varias personas a un rol. Un rol puede incluir a toda la empresa, mientras que otro puede tener sólo cinco personas. Esto hace que la gestión de los roles sea más eficiente, ya que habrá menos roles que gestionar. Una empresa de 10.000 personas podría tener sólo 100 roles en lugar de 10.000 veces el número de funciones de su aplicación. Investigue el marco de trabajo de su aplicación elegida para ver qué opciones existen para un control de acceso sólido.
También es fundamental utilizar el control de acceso a nivel de función. Proteja el acceso a todas las funciones exigiendo a los usuarios que pasen ciertas comprobaciones de control de acceso. Utilice el principio del mínimo privilegio, denegando el acceso por defecto y abriendo el acceso sólo cuando sea necesario. Puede ser difícil recordar la aplicación del control de acceso para cada función. Utilice un componente central para gestionar y aplicar el control de acceso.
Proteja sus funciones sensibles
Un control de acceso defectuoso puede dejar sus datos y su aplicación muy abiertos a los ataques y a la explotación. Los datos de los clientes que no están protegidos adecuadamente podrían dar lugar a una filtración masiva de datos, perjudicando su reputación y sus ingresos.
Un control de acceso roto también podría conducir a la toma de posesión de cuentas si los atacantes son capaces de acceder a la funcionalidad a la que no deberían acceder. Utilice un control de acceso de nivel funcional adecuado y mantendrá su aplicación a salvo de atacantes malintencionados, e incluso de personas con acceso interno accidental.
¿Cree que ya ha superado el nivel de acceso funcional? Ahora puedes desafiarte a ti mismo para reparar el control de acceso roto: [Comience aquí]
Cuando construyes una aplicación empresarial, ya sea para uso interno o externo por parte de tus clientes, probablemente no permites que cada usuario realice todas las funciones. Si lo hace, puede ser vulnerable a un control de acceso roto.
Veamos qué es un control de acceso defectuoso, por qué es tan peligroso y cómo solucionarlo.
Comprender el control de acceso roto
El control de acceso roto se produce cuando el código de la aplicación no tiene las comprobaciones de seguridad o de acceso adecuadas. También puede ocurrir cuando una aplicación está mal configurada de alguna manera, permitiendo el acceso a funciones o páginas a las que el usuario no debería tener acceso.
Si usted maneja las finanzas de su empresa, puede tener acceso a depositar dinero en determinadas cuentas o a transferir dinero entre las cuentas de su empresa. Sin embargo, no debería tener acceso para retirar dinero de esas cuentas o transferir dinero a otras cuentas. Si no existen los controles de acceso adecuados, es posible que sus empleados puedan realizar más funciones de las necesarias.
Estas comprobaciones pueden realizarse dentro del código o en archivos de configuración. Por ejemplo, puede haber archivos de configuración XML que indiquen al marco de la aplicación web qué usuarios pueden acceder a qué páginas. Esto garantiza que los usuarios sólo puedan acceder a las funciones que están autorizados a utilizar.
Por qué es peligroso un control de acceso roto
Considere este ejemplo: Un atacante se ha dado cuenta de que su código de creación de cuentas de usuario puede ser manipulado, permitiendo al atacante crear un usuario administrador con una simple petición de correo. Pueden enviar una solicitud con el nombre de usuario y la contraseña, y luego cambiarla en el camino para incluir el rol de administrador en la URL como un parámetro, o en el cuerpo de la solicitud. El atacante entra en la aplicación y recibe instantáneamente derechos de administrador.
No siempre tiene que ser un atacante malicioso el que penetre en un sistema. Sin los controles de acceso adecuados, puede filtrarse información sensible que no debería compartirse entre departamentos. Imagínese que cualquier empleado de la empresa pudiera ver los datos de las nóminas de Recursos Humanos o los datos financieros. ¿Qué pasaría si cualquier empleado pudiera ver que se avecinan despidos por la mala situación financiera de la empresa? Esto podría ser perjudicial para la moral y la reputación de la empresa.
También podría perderse información sensible de los clientes. Las empresas suelen almacenar información personal de los clientes que utilizan sus servicios. Tenga cuidado de no exponerla accidentalmente por falta de control de acceso. Por ejemplo, si su sistema ofrece a los usuarios la posibilidad de solicitar su historial médico, ¿tienen también la posibilidad de solicitar y ver la información médica de otros? Si la URL contiene un número de identificación de cliente, los atacantes podrían incrementar ese número de identificación de cliente una y otra vez hasta encontrar uno que coincida con otro cliente, revelando así sus datos personales.
Derrotar el control de acceso roto
El control de acceso basado en roles (RBAC) es una herramienta muy eficaz para implementar un buen control de acceso. Aquellos que utilizan Active Directory pueden estar familiarizados con la idea de crear grupos y dar acceso a ciertos elementos a través del grupo, en lugar de al individuo. Las aplicaciones funcionan de la misma manera, utilizando roles para definir quién puede ver qué.
Esto tiene dos ventajas. En primer lugar, no es necesario cambiar una función cuando alguien deja el rol de administrador. Si alguien era previamente un administrador y ahora ya no debe serlo, entonces simplemente se coloca una nueva persona en el rol de administrador y se elimina a la persona anterior del rol. El código comprueba si el usuario tiene el rol de administrador en lugar de comprobar si cada usuario individual tiene acceso a una determinada página o función.
La segunda ventaja es evitar una pesadilla de mantenimiento. Un control de acceso tan granular que cada persona tenga asociaciones con todas las funciones o páginas posibles será imposible de gestionar con el tiempo. Los roles facilitan mucho las cosas, porque se pueden añadir varias personas a un rol. Un rol puede incluir a toda la empresa, mientras que otro puede tener sólo cinco personas. Esto hace que la gestión de los roles sea más eficiente, ya que habrá menos roles que gestionar. Una empresa de 10.000 personas podría tener sólo 100 roles en lugar de 10.000 veces el número de funciones de su aplicación. Investigue el marco de trabajo de su aplicación elegida para ver qué opciones existen para un control de acceso sólido.
También es fundamental utilizar el control de acceso a nivel de función. Proteja el acceso a todas las funciones exigiendo a los usuarios que pasen ciertas comprobaciones de control de acceso. Utilice el principio del mínimo privilegio, denegando el acceso por defecto y abriendo el acceso sólo cuando sea necesario. Puede ser difícil recordar la aplicación del control de acceso para cada función. Utilice un componente central para gestionar y aplicar el control de acceso.
Proteja sus funciones sensibles
Un control de acceso defectuoso puede dejar sus datos y su aplicación muy abiertos a los ataques y a la explotación. Los datos de los clientes que no están protegidos adecuadamente podrían dar lugar a una filtración masiva de datos, perjudicando su reputación y sus ingresos.
Un control de acceso roto también podría conducir a la toma de posesión de cuentas si los atacantes son capaces de acceder a la funcionalidad a la que no deberían acceder. Utilice un control de acceso de nivel funcional adecuado y mantendrá su aplicación a salvo de atacantes malintencionados, e incluso de personas con acceso interno accidental.
¿Cree que ya ha superado el nivel de acceso funcional? Ahora puedes desafiarte a ti mismo para reparar el control de acceso roto: [Comience aquí]
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Cuando construyes una aplicación empresarial, ya sea para uso interno o externo por parte de tus clientes, probablemente no permites que cada usuario realice todas las funciones. Si lo hace, puede ser vulnerable a un control de acceso roto.
Veamos qué es un control de acceso defectuoso, por qué es tan peligroso y cómo solucionarlo.
Comprender el control de acceso roto
El control de acceso roto se produce cuando el código de la aplicación no tiene las comprobaciones de seguridad o de acceso adecuadas. También puede ocurrir cuando una aplicación está mal configurada de alguna manera, permitiendo el acceso a funciones o páginas a las que el usuario no debería tener acceso.
Si usted maneja las finanzas de su empresa, puede tener acceso a depositar dinero en determinadas cuentas o a transferir dinero entre las cuentas de su empresa. Sin embargo, no debería tener acceso para retirar dinero de esas cuentas o transferir dinero a otras cuentas. Si no existen los controles de acceso adecuados, es posible que sus empleados puedan realizar más funciones de las necesarias.
Estas comprobaciones pueden realizarse dentro del código o en archivos de configuración. Por ejemplo, puede haber archivos de configuración XML que indiquen al marco de la aplicación web qué usuarios pueden acceder a qué páginas. Esto garantiza que los usuarios sólo puedan acceder a las funciones que están autorizados a utilizar.
Por qué es peligroso un control de acceso roto
Considere este ejemplo: Un atacante se ha dado cuenta de que su código de creación de cuentas de usuario puede ser manipulado, permitiendo al atacante crear un usuario administrador con una simple petición de correo. Pueden enviar una solicitud con el nombre de usuario y la contraseña, y luego cambiarla en el camino para incluir el rol de administrador en la URL como un parámetro, o en el cuerpo de la solicitud. El atacante entra en la aplicación y recibe instantáneamente derechos de administrador.
No siempre tiene que ser un atacante malicioso el que penetre en un sistema. Sin los controles de acceso adecuados, puede filtrarse información sensible que no debería compartirse entre departamentos. Imagínese que cualquier empleado de la empresa pudiera ver los datos de las nóminas de Recursos Humanos o los datos financieros. ¿Qué pasaría si cualquier empleado pudiera ver que se avecinan despidos por la mala situación financiera de la empresa? Esto podría ser perjudicial para la moral y la reputación de la empresa.
También podría perderse información sensible de los clientes. Las empresas suelen almacenar información personal de los clientes que utilizan sus servicios. Tenga cuidado de no exponerla accidentalmente por falta de control de acceso. Por ejemplo, si su sistema ofrece a los usuarios la posibilidad de solicitar su historial médico, ¿tienen también la posibilidad de solicitar y ver la información médica de otros? Si la URL contiene un número de identificación de cliente, los atacantes podrían incrementar ese número de identificación de cliente una y otra vez hasta encontrar uno que coincida con otro cliente, revelando así sus datos personales.
Derrotar el control de acceso roto
El control de acceso basado en roles (RBAC) es una herramienta muy eficaz para implementar un buen control de acceso. Aquellos que utilizan Active Directory pueden estar familiarizados con la idea de crear grupos y dar acceso a ciertos elementos a través del grupo, en lugar de al individuo. Las aplicaciones funcionan de la misma manera, utilizando roles para definir quién puede ver qué.
Esto tiene dos ventajas. En primer lugar, no es necesario cambiar una función cuando alguien deja el rol de administrador. Si alguien era previamente un administrador y ahora ya no debe serlo, entonces simplemente se coloca una nueva persona en el rol de administrador y se elimina a la persona anterior del rol. El código comprueba si el usuario tiene el rol de administrador en lugar de comprobar si cada usuario individual tiene acceso a una determinada página o función.
La segunda ventaja es evitar una pesadilla de mantenimiento. Un control de acceso tan granular que cada persona tenga asociaciones con todas las funciones o páginas posibles será imposible de gestionar con el tiempo. Los roles facilitan mucho las cosas, porque se pueden añadir varias personas a un rol. Un rol puede incluir a toda la empresa, mientras que otro puede tener sólo cinco personas. Esto hace que la gestión de los roles sea más eficiente, ya que habrá menos roles que gestionar. Una empresa de 10.000 personas podría tener sólo 100 roles en lugar de 10.000 veces el número de funciones de su aplicación. Investigue el marco de trabajo de su aplicación elegida para ver qué opciones existen para un control de acceso sólido.
También es fundamental utilizar el control de acceso a nivel de función. Proteja el acceso a todas las funciones exigiendo a los usuarios que pasen ciertas comprobaciones de control de acceso. Utilice el principio del mínimo privilegio, denegando el acceso por defecto y abriendo el acceso sólo cuando sea necesario. Puede ser difícil recordar la aplicación del control de acceso para cada función. Utilice un componente central para gestionar y aplicar el control de acceso.
Proteja sus funciones sensibles
Un control de acceso defectuoso puede dejar sus datos y su aplicación muy abiertos a los ataques y a la explotación. Los datos de los clientes que no están protegidos adecuadamente podrían dar lugar a una filtración masiva de datos, perjudicando su reputación y sus ingresos.
Un control de acceso roto también podría conducir a la toma de posesión de cuentas si los atacantes son capaces de acceder a la funcionalidad a la que no deberían acceder. Utilice un control de acceso de nivel funcional adecuado y mantendrá su aplicación a salvo de atacantes malintencionados, e incluso de personas con acceso interno accidental.
¿Cree que ya ha superado el nivel de acceso funcional? Ahora puedes desafiarte a ti mismo para reparar el control de acceso roto: [Comience aquí]
Índice
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
El poder de la seguridad de aplicaciones OpenText + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Temas y contenidos de la formación sobre código seguro
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
Ley de Resiliencia Cibernética (CRA) Vías de aprendizaje alineadas
SCW apoya la preparación para la Ley de Resiliencia Cibernética (CRA) con misiones alineadas con la CRA y colecciones de aprendizaje conceptual que ayudan a los equipos de desarrollo a crear habilidades de diseño seguro, SDLC y codificación segura alineadas con los principios de desarrollo seguro de la CRA.
Recursos para empezar
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
La IA puede escribir y revisar código, pero los humanos siguen siendo los responsables del riesgo.
El lanzamiento de Claude Code Security por parte de Anthropic marca un punto de inflexión decisivo entre el desarrollo de software asistido por IA y el rápido avance de nuestro enfoque de la ciberseguridad moderna.