La frase "se necesita una aldea" es un antiguo proverbio africano, que abarca muchas culturas africanas diversas, dialectos y ubicaciones geográficas. Aunque el lenguaje utilizado para transmitir esta perla de sabiduría puede ser diferente, el sentimiento es el mismo: se necesita la aportación de toda la comunidad para crear un entorno seguro, positivo e instructivo para criar a las futuras generaciones en adultos bien formados.

Puede parecer un arco muy largo de dibujar, pero realmente, la comunidad de desarrolladores ha prosperado durante décadas sobre este mismo principio. La noción del friki antisocial y "lobo solitario" detrás de un ordenador es como la mayoría de los estereotipos: exagerada y no es la mejor manera de saber cómo funcionamos. Hay desarrolladores de todo tipo, de todas las clases sociales, y siempre ha habido un sentido de comunidad en todo lo que hacemos.

Mucho antes de que Internet se convirtiera en la norma, estábamos en los tablones de anuncios compartiendo consejos, resolviendo los problemas de los demás y discutiendo sobre las mejores prácticas (y, ciertamente en mi lado de la valla, trabajando duro para romper cosas). Este sentimiento no ha cambiado. Internet es ahora una bestia diferente, con más trolls bajo el puente y mucho más ruido, pero un rápido salto a lugares como Reddit y Stack Overflow te dará una sensación inmediata de voluntad de ayuda, camaradería y una gran cantidad de información.

Sin embargo, algo que todos podríamos apoyar son esas conexiones en el mundo real con personas que pasan por lo mismo. Hay una nueva capa de significado cuando se interactúa en el mundo real, y facilitar una comunidad "IRL" puede acelerar el intercambio de conocimientos, la clarificación y ampliar los horizontes de manera maravillosa.

¿Cómo apoya la comunidad de desarrolladores la seguridad?

Organizaciones como OWASP están haciendo un trabajo increíble en la comunidad de seguridad, con abundantes recursos gratuitos sobre vulnerabilidades, noticias y alertas críticas. Fuera de línea, hay capítulos de OWASP en ciudades de todo el mundo, que organizan eventos regulares para que la gente se reúna, hable de seguridad y comparta consejos para hacer nuestro software más seguro. Es realmente impresionante, y para mí, es lo que significa la comunidad de desarrollo.

Una de las cosas que estas comunidades, ya sean en línea o en persona, ayudan a resolver es la brecha de habilidades y conocimientos entre los desarrolladores. Muchos desarrolladores experimentados están encantados de transmitir información, ayudar a alguien a empezar o indicarle la dirección correcta (cualquier buen Jedi sabe que necesita ayudar a un padawan de vez en cuando).

Por eso, siempre es un verdadero placer cuando nos asociamos con ellos para organizar cosas como la codificación segura tournaments. Hasta ahora, hemos apoyado encuentros en Australia, Inglaterra, India y Estados Unidos, y espero que haya muchos más por venir.

¿Cómo es una reunión de OWASP tournament ? Echa un vistazo a este vídeo de un OWASP tournament celebrado en Londres en los emblemáticos estudios de la BBC:

Estos eventos contribuyen sin duda a la concienciación, y este impulso puede aprovecharse dentro de las organizaciones cuando apoyen estas iniciativas de base, introduzcan una formación de codificación segura completa y se comprometan a operar con una cultura de seguridad positiva.

¿Cómo ayudan la gamificación y tournaments a crear desarrolladores más seguros?

Los encuentros de OWASP se basan en la socialización, el intercambio de conocimientos y la discusión de ideas con una amplia gama de personas conscientes de la seguridad. Sin embargo, para aquellos que son nuevos en el mundo de la seguridad (o que aún no tienen interés en ella), estos eventos pueden pasar desapercibidos.

Cuando las organizaciones desempeñan un papel activo en la concienciación sobre la seguridad y despiertan un interés real entre la cohorte de desarrolladores, esto puede tener el efecto positivo de inculcar una búsqueda permanente de conocimientos sobre seguridad en el interior, del tipo que necesitamos para que todo el mundo se tome más en serio la codificación segura.

Los métodos típicos de formación no suelen motivar mucho (piense en sentarse en un aula mientras las tareas de su trabajo se acumulan, o en tratar de mantenerse despierto viendo vídeos interminables), pero encender un sentido de competencia, diversión y gamificación del proceso puede hacer que el aprendizaje sea mucho menos pesado. Los métodos de aprendizaje gamificado hacen que el conocimiento técnico (y, a veces, árido) sea mucho más digerible, dividiéndolo en trozos más pequeños que son contextuales, memorables y fomentan la repetición del aprendizaje. Secure Code Warrior se construyó sobre una base de accesibilidad, permitiendo a los desarrolladores seguir añadiendo a sus aprendizajes anteriores paso a paso, de una manera que habla de su creatividad e instinto general para resolver problemas.

Las evaluaciones ayudan a mantener a todo el mundo en el buen camino y a identificar las áreas de mejora, pero una codificación segura tournament puede servir como catalizador para la concienciación sobre la seguridad de la organización y para un cambio positivo, así como para que los participantes muestren sus sólidas habilidades. Al fin y al cabo, cuando se ve una tabla de clasificación de tournament que se actualiza en tiempo real, uno se siente motivado para seguir esforzándose por conseguir más puntos y demostrar realmente su destreza en materia de seguridad.

¿Qué aspecto tiene un tournament de éxito?

El objetivo de nuestros encuentros con OWASP es siempre invertir en la salud continua de la comunidad de seguridad, ayudándoles a promover el concepto de que aprender sobre seguridad puede ser realmente divertido.

La codificación segura tournaments es una opción obvia cuando se trata de involucrar a los desarrolladores, ayudándoles a perfeccionar y realizar sus habilidades en un entorno social con personas de ideas afines. Ayudan a derribar los muros artificiales que pueden existir en torno a la idea de "seguridad", quizás por una experiencia poco agradable en el trabajo o la educación.

Un verdadero gran tournament suele consistir en lo siguiente:

• Un poco de fanfarria en la organización; que la gente fuera de los equipos de desarrollo sepa lo que está pasando y por qué
• Un entorno libre de juicios de valor, que apoya a los desarrolladores de todos los niveles
• Unas cuantas ventajas especiales; pide comida y bebida, dale un tema y fomenta la autoexpresión
• Recompensas y reconocimiento; a los desarrolladores nos encanta el botín, y los premios para los ganadores son un extra: recuerde que sus futuros campeones de seguridad podrían ser descubiertos durante este proceso
• Un sentido de comunidad y camaradería.

Nos estamos convirtiendo en un mundo de DevSecOps, y con la seguridad finalmente enfocada desde el principio de los proyectos de desarrollo de software, los desarrolladores necesitan participar desde el principio con una formación eficaz. Son parte integral de la protección de una organización contra las vulnerabilidades desde el momento en que se escribe el código, y en una cultura de seguridad próspera, todo el mundo puede estar más tranquilo.