Los codificadores conquistan la seguridad: Share & Learn Series - Problemas de lógica empresarial
A diferencia de la mayoría de las otras vulnerabilidades que hemos cubierto en esta serie de Share & Learn, los problemas de lógica de negocio no están directamente asociados con errores de codificación. Aunque los problemas de codificación pueden ser parte del problema, los errores de lógica de negocio son más frecuentemente el resultado de defectos de diseño o de suposiciones lógicas incorrectas cuando se crea una aplicación por primera vez.
Los problemas de lógica de negocio pueden ocurrir si un usuario realiza una acción imprevista al utilizar una aplicación. Esto puede ser casi cualquier cosa: desde cancelar inesperadamente un pedido, aplicar un código de cupón demasiadas veces o simplemente saltarse un paso esperado y realizar una acción que la aplicación no sabe cómo manejar. Explotar los fallos de la lógica de negocio no requiere ni siquiera formación, sólo un usuario malintencionado con una mente inquisitiva dispuesta a pensar fuera de la caja.
En este episodio, aprenderemos:
- Cómo aprovechan los atacantes los fallos en la lógica empresarial
- Por qué son peligrosas las aplicaciones con fallos en la lógica de negocio
- Técnicas que pueden evitar errores de lógica empresarial.
¿Cómo aprovechan los atacantes los problemas de lógica empresarial?
A diferencia de la mayoría de los exploits, no podemos señalar cadenas de código específicas que puedan causar esta vulnerabilidad. En su lugar, se trata de que los usuarios realicen acciones que no se han previsto y que los programas no saben cómo manejar. Como ejemplo, digamos que una aplicación bancaria permite a los usuarios transferir dinero a otras cuentas. Pero en lugar de enviar dinero, un usuario malicioso intenta enviar una cantidad negativa a otra cuenta. ¿Cómo reaccionará la aplicación bancaria? ¿Se bloqueará? ¿Rechazará la transferencia? ¿O podría devolver el dinero al usuario que inició la transferencia para equilibrar ese número negativo?
Los sitios de comercio electrónico son especialmente susceptibles, aunque no exclusivamente, a los fallos de la lógica empresarial porque están diseñados para que interactúen con ellos muchos usuarios y tienen muchos componentes. Los usuarios que cancelan sus pedidos de forma inesperada, que intentan aplicar cupones únicos varias veces o incluso que sobrecargan sus carritos de la compra pueden presentar a las aplicaciones condiciones que no se han previsto. Realmente no hay forma de saber cómo reaccionará un programa cuando se enfrente a una situación desconocida. En el mejor de los casos, podría generarse un mensaje de error, pero no hay garantía de que una aplicación no vaya a realizar una acción peor, como por ejemplo proporcionar mercancía de forma gratuita.
¿Por qué son peligrosos los problemas de lógica empresarial?
Los problemas de lógica de negocio pueden ser extremadamente peligrosos porque pueden ser explotados por cualquiera, incluso por alguien sin formación en programación o hacking. En realidad, sólo se requiere experimentación y tiempo, haciendo clic y tratando de encontrar fallas en la forma en que una aplicación está diseñada para responder. Y una vez que un usuario malintencionado descubre un fallo en la lógica de negocio de un sitio, puedes apostar que lo explotará al máximo.
El mayor peligro suele ser financiero, que un usuario compre 20 televisores de pantalla grande sin pagarlos, o algo así. Pero los fallos de lógica empresarial también pueden causar otros problemas. Por ejemplo, si la función de contraseña que protege un sitio no sabe qué hacer si un usuario pulsa constantemente la opción de cancelar, puede dejar que se salte el proceso de inicio de sesión.
Realmente no hay forma de anticipar el daño que puede causar un problema de lógica empresarial. A menudo, el primer indicio de un problema llega mucho después de que los usuarios lo hayan explotado.
Solución de problemas de lógica empresarial
Desafortunadamente, el uso de herramientas comunes como los escáneres de vulnerabilidad no ayudará a identificar o arreglar los problemas de lógica de negocio, ya que las pruebas para los problemas de lógica de negocio no se pueden automatizar fácilmente. La mejor manera de evitarlos es implementar una buena planificación, manejo de errores y pruebas para casos de prueba negativos mientras se desarrolla una aplicación. Esto requiere en primer lugar un conjunto claramente definido de reglas de negocio que incluya todas las acciones posibles y deseadas que una aplicación está diseñada para realizar.
Armado con un plan de reglas de negocio, una de las mejores maneras de evitar que se produzcan fallos en la lógica de negocio es crear un diagrama de flujo que muestre todas las formas posibles en que los datos y las transacciones deben fluir dentro de una aplicación. Esto incluye modelar el comportamiento para cada instancia en la que un usuario puede hacer una elección o introducir datos. Compruebe constantemente que las posibles acciones en el diagrama de flujo coinciden con las funciones en el plan de reglas de negocio.
Por último, utilice el modelado de amenazas para ayudar a identificar los fallos en la lógica empresarial durante las fases de diseño, implementación y prueba. Como medida de seguridad, cree una acción que el programa deba realizar si se encuentra con alguna situación no prevista específicamente. Esto podría ser tan simple como negar la acción y alertar a un administrador sobre el problema encontrado.
Más información sobre los problemas de lógica empresarial
Para más información, puedes echar un vistazo a las páginas de OWASP sobre problemas de lógica empresarial. También puedes poner a prueba tus nuevos conocimientos defensivos con la demostración gratuita de la plataforma Secure Code Warrior , que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para saber más sobre cómo derrotar esta vulnerabilidad, y una galería de pícaros de otras amenazas, visite el blogSecure Code Warrior .
¿Preparado para buscar y destruir vulnerabilidades de la lógica empresarial ahora mismo? Dirígete a la plataforma y pon a prueba tus habilidades: [Empieza aquí]
Aunque los problemas de codificación pueden ser parte del problema, los errores de lógica de negocio son, con mayor frecuencia, el resultado de defectos de diseño o de suposiciones lógicas incorrectas cuando se crea una aplicación por primera vez.
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
A diferencia de la mayoría de las otras vulnerabilidades que hemos cubierto en esta serie de Share & Learn, los problemas de lógica de negocio no están directamente asociados con errores de codificación. Aunque los problemas de codificación pueden ser parte del problema, los errores de lógica de negocio son más frecuentemente el resultado de defectos de diseño o de suposiciones lógicas incorrectas cuando se crea una aplicación por primera vez.
Los problemas de lógica de negocio pueden ocurrir si un usuario realiza una acción imprevista al utilizar una aplicación. Esto puede ser casi cualquier cosa: desde cancelar inesperadamente un pedido, aplicar un código de cupón demasiadas veces o simplemente saltarse un paso esperado y realizar una acción que la aplicación no sabe cómo manejar. Explotar los fallos de la lógica de negocio no requiere ni siquiera formación, sólo un usuario malintencionado con una mente inquisitiva dispuesta a pensar fuera de la caja.
En este episodio, aprenderemos:
- Cómo aprovechan los atacantes los fallos en la lógica empresarial
- Por qué son peligrosas las aplicaciones con fallos en la lógica de negocio
- Técnicas que pueden evitar errores de lógica empresarial.
¿Cómo aprovechan los atacantes los problemas de lógica empresarial?
A diferencia de la mayoría de los exploits, no podemos señalar cadenas de código específicas que puedan causar esta vulnerabilidad. En su lugar, se trata de que los usuarios realicen acciones que no se han previsto y que los programas no saben cómo manejar. Como ejemplo, digamos que una aplicación bancaria permite a los usuarios transferir dinero a otras cuentas. Pero en lugar de enviar dinero, un usuario malicioso intenta enviar una cantidad negativa a otra cuenta. ¿Cómo reaccionará la aplicación bancaria? ¿Se bloqueará? ¿Rechazará la transferencia? ¿O podría devolver el dinero al usuario que inició la transferencia para equilibrar ese número negativo?
Los sitios de comercio electrónico son especialmente susceptibles, aunque no exclusivamente, a los fallos de la lógica empresarial porque están diseñados para que interactúen con ellos muchos usuarios y tienen muchos componentes. Los usuarios que cancelan sus pedidos de forma inesperada, que intentan aplicar cupones únicos varias veces o incluso que sobrecargan sus carritos de la compra pueden presentar a las aplicaciones condiciones que no se han previsto. Realmente no hay forma de saber cómo reaccionará un programa cuando se enfrente a una situación desconocida. En el mejor de los casos, podría generarse un mensaje de error, pero no hay garantía de que una aplicación no vaya a realizar una acción peor, como por ejemplo proporcionar mercancía de forma gratuita.
¿Por qué son peligrosos los problemas de lógica empresarial?
Los problemas de lógica de negocio pueden ser extremadamente peligrosos porque pueden ser explotados por cualquiera, incluso por alguien sin formación en programación o hacking. En realidad, sólo se requiere experimentación y tiempo, haciendo clic y tratando de encontrar fallas en la forma en que una aplicación está diseñada para responder. Y una vez que un usuario malintencionado descubre un fallo en la lógica de negocio de un sitio, puedes apostar que lo explotará al máximo.
El mayor peligro suele ser financiero, que un usuario compre 20 televisores de pantalla grande sin pagarlos, o algo así. Pero los fallos de lógica empresarial también pueden causar otros problemas. Por ejemplo, si la función de contraseña que protege un sitio no sabe qué hacer si un usuario pulsa constantemente la opción de cancelar, puede dejar que se salte el proceso de inicio de sesión.
Realmente no hay forma de anticipar el daño que puede causar un problema de lógica empresarial. A menudo, el primer indicio de un problema llega mucho después de que los usuarios lo hayan explotado.
Solución de problemas de lógica empresarial
Desafortunadamente, el uso de herramientas comunes como los escáneres de vulnerabilidad no ayudará a identificar o arreglar los problemas de lógica de negocio, ya que las pruebas para los problemas de lógica de negocio no se pueden automatizar fácilmente. La mejor manera de evitarlos es implementar una buena planificación, manejo de errores y pruebas para casos de prueba negativos mientras se desarrolla una aplicación. Esto requiere en primer lugar un conjunto claramente definido de reglas de negocio que incluya todas las acciones posibles y deseadas que una aplicación está diseñada para realizar.
Armado con un plan de reglas de negocio, una de las mejores maneras de evitar que se produzcan fallos en la lógica de negocio es crear un diagrama de flujo que muestre todas las formas posibles en que los datos y las transacciones deben fluir dentro de una aplicación. Esto incluye modelar el comportamiento para cada instancia en la que un usuario puede hacer una elección o introducir datos. Compruebe constantemente que las posibles acciones en el diagrama de flujo coinciden con las funciones en el plan de reglas de negocio.
Por último, utilice el modelado de amenazas para ayudar a identificar los fallos en la lógica empresarial durante las fases de diseño, implementación y prueba. Como medida de seguridad, cree una acción que el programa deba realizar si se encuentra con alguna situación no prevista específicamente. Esto podría ser tan simple como negar la acción y alertar a un administrador sobre el problema encontrado.
Más información sobre los problemas de lógica empresarial
Para más información, puedes echar un vistazo a las páginas de OWASP sobre problemas de lógica empresarial. También puedes poner a prueba tus nuevos conocimientos defensivos con la demostración gratuita de la plataforma Secure Code Warrior , que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para saber más sobre cómo derrotar esta vulnerabilidad, y una galería de pícaros de otras amenazas, visite el blogSecure Code Warrior .
¿Preparado para buscar y destruir vulnerabilidades de la lógica empresarial ahora mismo? Dirígete a la plataforma y pon a prueba tus habilidades: [Empieza aquí]
A diferencia de la mayoría de las otras vulnerabilidades que hemos cubierto en esta serie de Share & Learn, los problemas de lógica de negocio no están directamente asociados con errores de codificación. Aunque los problemas de codificación pueden ser parte del problema, los errores de lógica de negocio son más frecuentemente el resultado de defectos de diseño o de suposiciones lógicas incorrectas cuando se crea una aplicación por primera vez.
Los problemas de lógica de negocio pueden ocurrir si un usuario realiza una acción imprevista al utilizar una aplicación. Esto puede ser casi cualquier cosa: desde cancelar inesperadamente un pedido, aplicar un código de cupón demasiadas veces o simplemente saltarse un paso esperado y realizar una acción que la aplicación no sabe cómo manejar. Explotar los fallos de la lógica de negocio no requiere ni siquiera formación, sólo un usuario malintencionado con una mente inquisitiva dispuesta a pensar fuera de la caja.
En este episodio, aprenderemos:
- Cómo aprovechan los atacantes los fallos en la lógica empresarial
- Por qué son peligrosas las aplicaciones con fallos en la lógica de negocio
- Técnicas que pueden evitar errores de lógica empresarial.
¿Cómo aprovechan los atacantes los problemas de lógica empresarial?
A diferencia de la mayoría de los exploits, no podemos señalar cadenas de código específicas que puedan causar esta vulnerabilidad. En su lugar, se trata de que los usuarios realicen acciones que no se han previsto y que los programas no saben cómo manejar. Como ejemplo, digamos que una aplicación bancaria permite a los usuarios transferir dinero a otras cuentas. Pero en lugar de enviar dinero, un usuario malicioso intenta enviar una cantidad negativa a otra cuenta. ¿Cómo reaccionará la aplicación bancaria? ¿Se bloqueará? ¿Rechazará la transferencia? ¿O podría devolver el dinero al usuario que inició la transferencia para equilibrar ese número negativo?
Los sitios de comercio electrónico son especialmente susceptibles, aunque no exclusivamente, a los fallos de la lógica empresarial porque están diseñados para que interactúen con ellos muchos usuarios y tienen muchos componentes. Los usuarios que cancelan sus pedidos de forma inesperada, que intentan aplicar cupones únicos varias veces o incluso que sobrecargan sus carritos de la compra pueden presentar a las aplicaciones condiciones que no se han previsto. Realmente no hay forma de saber cómo reaccionará un programa cuando se enfrente a una situación desconocida. En el mejor de los casos, podría generarse un mensaje de error, pero no hay garantía de que una aplicación no vaya a realizar una acción peor, como por ejemplo proporcionar mercancía de forma gratuita.
¿Por qué son peligrosos los problemas de lógica empresarial?
Los problemas de lógica de negocio pueden ser extremadamente peligrosos porque pueden ser explotados por cualquiera, incluso por alguien sin formación en programación o hacking. En realidad, sólo se requiere experimentación y tiempo, haciendo clic y tratando de encontrar fallas en la forma en que una aplicación está diseñada para responder. Y una vez que un usuario malintencionado descubre un fallo en la lógica de negocio de un sitio, puedes apostar que lo explotará al máximo.
El mayor peligro suele ser financiero, que un usuario compre 20 televisores de pantalla grande sin pagarlos, o algo así. Pero los fallos de lógica empresarial también pueden causar otros problemas. Por ejemplo, si la función de contraseña que protege un sitio no sabe qué hacer si un usuario pulsa constantemente la opción de cancelar, puede dejar que se salte el proceso de inicio de sesión.
Realmente no hay forma de anticipar el daño que puede causar un problema de lógica empresarial. A menudo, el primer indicio de un problema llega mucho después de que los usuarios lo hayan explotado.
Solución de problemas de lógica empresarial
Desafortunadamente, el uso de herramientas comunes como los escáneres de vulnerabilidad no ayudará a identificar o arreglar los problemas de lógica de negocio, ya que las pruebas para los problemas de lógica de negocio no se pueden automatizar fácilmente. La mejor manera de evitarlos es implementar una buena planificación, manejo de errores y pruebas para casos de prueba negativos mientras se desarrolla una aplicación. Esto requiere en primer lugar un conjunto claramente definido de reglas de negocio que incluya todas las acciones posibles y deseadas que una aplicación está diseñada para realizar.
Armado con un plan de reglas de negocio, una de las mejores maneras de evitar que se produzcan fallos en la lógica de negocio es crear un diagrama de flujo que muestre todas las formas posibles en que los datos y las transacciones deben fluir dentro de una aplicación. Esto incluye modelar el comportamiento para cada instancia en la que un usuario puede hacer una elección o introducir datos. Compruebe constantemente que las posibles acciones en el diagrama de flujo coinciden con las funciones en el plan de reglas de negocio.
Por último, utilice el modelado de amenazas para ayudar a identificar los fallos en la lógica empresarial durante las fases de diseño, implementación y prueba. Como medida de seguridad, cree una acción que el programa deba realizar si se encuentra con alguna situación no prevista específicamente. Esto podría ser tan simple como negar la acción y alertar a un administrador sobre el problema encontrado.
Más información sobre los problemas de lógica empresarial
Para más información, puedes echar un vistazo a las páginas de OWASP sobre problemas de lógica empresarial. También puedes poner a prueba tus nuevos conocimientos defensivos con la demostración gratuita de la plataforma Secure Code Warrior , que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para saber más sobre cómo derrotar esta vulnerabilidad, y una galería de pícaros de otras amenazas, visite el blogSecure Code Warrior .
¿Preparado para buscar y destruir vulnerabilidades de la lógica empresarial ahora mismo? Dirígete a la plataforma y pon a prueba tus habilidades: [Empieza aquí]
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
A diferencia de la mayoría de las otras vulnerabilidades que hemos cubierto en esta serie de Share & Learn, los problemas de lógica de negocio no están directamente asociados con errores de codificación. Aunque los problemas de codificación pueden ser parte del problema, los errores de lógica de negocio son más frecuentemente el resultado de defectos de diseño o de suposiciones lógicas incorrectas cuando se crea una aplicación por primera vez.
Los problemas de lógica de negocio pueden ocurrir si un usuario realiza una acción imprevista al utilizar una aplicación. Esto puede ser casi cualquier cosa: desde cancelar inesperadamente un pedido, aplicar un código de cupón demasiadas veces o simplemente saltarse un paso esperado y realizar una acción que la aplicación no sabe cómo manejar. Explotar los fallos de la lógica de negocio no requiere ni siquiera formación, sólo un usuario malintencionado con una mente inquisitiva dispuesta a pensar fuera de la caja.
En este episodio, aprenderemos:
- Cómo aprovechan los atacantes los fallos en la lógica empresarial
- Por qué son peligrosas las aplicaciones con fallos en la lógica de negocio
- Técnicas que pueden evitar errores de lógica empresarial.
¿Cómo aprovechan los atacantes los problemas de lógica empresarial?
A diferencia de la mayoría de los exploits, no podemos señalar cadenas de código específicas que puedan causar esta vulnerabilidad. En su lugar, se trata de que los usuarios realicen acciones que no se han previsto y que los programas no saben cómo manejar. Como ejemplo, digamos que una aplicación bancaria permite a los usuarios transferir dinero a otras cuentas. Pero en lugar de enviar dinero, un usuario malicioso intenta enviar una cantidad negativa a otra cuenta. ¿Cómo reaccionará la aplicación bancaria? ¿Se bloqueará? ¿Rechazará la transferencia? ¿O podría devolver el dinero al usuario que inició la transferencia para equilibrar ese número negativo?
Los sitios de comercio electrónico son especialmente susceptibles, aunque no exclusivamente, a los fallos de la lógica empresarial porque están diseñados para que interactúen con ellos muchos usuarios y tienen muchos componentes. Los usuarios que cancelan sus pedidos de forma inesperada, que intentan aplicar cupones únicos varias veces o incluso que sobrecargan sus carritos de la compra pueden presentar a las aplicaciones condiciones que no se han previsto. Realmente no hay forma de saber cómo reaccionará un programa cuando se enfrente a una situación desconocida. En el mejor de los casos, podría generarse un mensaje de error, pero no hay garantía de que una aplicación no vaya a realizar una acción peor, como por ejemplo proporcionar mercancía de forma gratuita.
¿Por qué son peligrosos los problemas de lógica empresarial?
Los problemas de lógica de negocio pueden ser extremadamente peligrosos porque pueden ser explotados por cualquiera, incluso por alguien sin formación en programación o hacking. En realidad, sólo se requiere experimentación y tiempo, haciendo clic y tratando de encontrar fallas en la forma en que una aplicación está diseñada para responder. Y una vez que un usuario malintencionado descubre un fallo en la lógica de negocio de un sitio, puedes apostar que lo explotará al máximo.
El mayor peligro suele ser financiero, que un usuario compre 20 televisores de pantalla grande sin pagarlos, o algo así. Pero los fallos de lógica empresarial también pueden causar otros problemas. Por ejemplo, si la función de contraseña que protege un sitio no sabe qué hacer si un usuario pulsa constantemente la opción de cancelar, puede dejar que se salte el proceso de inicio de sesión.
Realmente no hay forma de anticipar el daño que puede causar un problema de lógica empresarial. A menudo, el primer indicio de un problema llega mucho después de que los usuarios lo hayan explotado.
Solución de problemas de lógica empresarial
Desafortunadamente, el uso de herramientas comunes como los escáneres de vulnerabilidad no ayudará a identificar o arreglar los problemas de lógica de negocio, ya que las pruebas para los problemas de lógica de negocio no se pueden automatizar fácilmente. La mejor manera de evitarlos es implementar una buena planificación, manejo de errores y pruebas para casos de prueba negativos mientras se desarrolla una aplicación. Esto requiere en primer lugar un conjunto claramente definido de reglas de negocio que incluya todas las acciones posibles y deseadas que una aplicación está diseñada para realizar.
Armado con un plan de reglas de negocio, una de las mejores maneras de evitar que se produzcan fallos en la lógica de negocio es crear un diagrama de flujo que muestre todas las formas posibles en que los datos y las transacciones deben fluir dentro de una aplicación. Esto incluye modelar el comportamiento para cada instancia en la que un usuario puede hacer una elección o introducir datos. Compruebe constantemente que las posibles acciones en el diagrama de flujo coinciden con las funciones en el plan de reglas de negocio.
Por último, utilice el modelado de amenazas para ayudar a identificar los fallos en la lógica empresarial durante las fases de diseño, implementación y prueba. Como medida de seguridad, cree una acción que el programa deba realizar si se encuentra con alguna situación no prevista específicamente. Esto podría ser tan simple como negar la acción y alertar a un administrador sobre el problema encontrado.
Más información sobre los problemas de lógica empresarial
Para más información, puedes echar un vistazo a las páginas de OWASP sobre problemas de lógica empresarial. También puedes poner a prueba tus nuevos conocimientos defensivos con la demostración gratuita de la plataforma Secure Code Warrior , que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para saber más sobre cómo derrotar esta vulnerabilidad, y una galería de pícaros de otras amenazas, visite el blogSecure Code Warrior .
¿Preparado para buscar y destruir vulnerabilidades de la lógica empresarial ahora mismo? Dirígete a la plataforma y pon a prueba tus habilidades: [Empieza aquí]
Índice
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Recursos para empezar
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
.png)
Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Impulsando iniciativas de seguridad por diseño para empresas con éxito significativo
Nuestro último documento de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de Secure-by-Design a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
