OWASP AppSec Day 2019: Cómo alimentar a los desarrolladores seguros
OWASP AppSec Day 2019: Cómo alimentar a los desarrolladores seguros
A principios de este mes, tuve la oportunidad de asistir al OWASP AppSec Day 2019 en la hermosa Melbourne. Estos eventos centrados en los desarrolladores están entre mis favoritos del calendario; proporcionan un humilde recordatorio de la comunidad que trabaja incansablemente para educar y empoderar a los ingenieros y especialistas de software para defender la seguridad en su trabajo.
El cartel de invitados fue sensacional -por no hablar de su refrescante diversidad- y es una gran sensación que, incluso después de todos estos años en el sector, yo también pueda salir inspirado. Personas como Tanya Janca, Toni James y Teri Radichel ofrecieron presentaciones increíbles, mientras que Wireghoul'Eldar Marcussen puso a prueba a todo el auditorio con desafíos de codificación segura en el acto, pero fue genial ser testigo de tanta conciencia de seguridad entre los asistentes.
Este año, Secure Code Warrior fue un patrocinador platino del evento. Tuve que sonreír al recordar que hace sólo cuatro años, era el equipo detrás de OWASP AppSec Day el que ayudaba a nuestra startup de arranque con un stand gratuito y promoción. Fue un momento de orgullo al ver lo lejos que habíamos llegado como empresa, y un momento para agradecer que exista una comunidad tan generosa de gente increíble.
Toni James: La seguridad desde la perspectiva del desarrollador
Si hay algo que debemos cultivar más en este mundo, es la empatía. Y cuando se trata de hacer que el software sea más seguro en todos los ámbitos, es esencial comprender la difícil situación del desarrollador.
Me gustó mucho la presentación de Toni, y estoy seguro de que todos los desarrolladores pudieron identificarla al instante. Hay mucho más en la historia que simplemente "escribir código seguro", y aunque ciertamente creo que los desarrolladores formados eficazmente en seguridad son nuestra mejor oportunidad en la lucha contra las vulnerabilidades, es imperativo considerar sus desafíos diarios.
El trabajo de un desarrollador de software puede estar a la vista de millones de usuarios, dar soporte a infraestructuras críticas y ser la fuerza motriz de servicios que damos por sentado. La creación de características, la ejecución de innovaciones empresariales y el cumplimiento de plazos de entrega ajustados suponen una gran presión, y eso antes de que un equipo de AppSec se asome a su trabajo. Toni habló de cómo es la vida en este entorno, y de cómo una buena dosis de empatía por parte de todos puede conducir a procesos y resultados de seguridad mucho mejores. Me complace mucho ver que se están dando pasos tan saludables para salvar la brecha entre los desarrolladores y los equipos de AppSec; al fin y al cabo, este es un elemento crítico en una cultura de seguridad positiva y próspera, y Toni es un excelente ejemplo de que este proceso funciona increíblemente bien.
Tanya Janca y Teri Radichel: Superhéroes de la seguridad
No es que sea una competición, pero las contribuciones de Tanya Janca y Teri Radichel a la conferencia estuvieron entre mis favoritas. A los diez minutos de su tutorial sobre evaluaciones de seguridad en la nube DIY, se puso de manifiesto su increíble amplitud de experiencia, cualificaciones y conocimientos, pero también su genuina calidez y deseo de compartir conocimientos y apoyar a la comunidad de desarrolladores. Juntos, presentaron acciones realistas y ejecutables para garantizar que las implementaciones de Azure fueran seguras, incluyendo consejos prácticos para establecer políticas de seguridad y medidas de mínimo privilegio.
Una rápida búsqueda en Google le dirá todo lo que necesita saber sobre su dedicación a apoyar a los desarrolladores a nivel de base, con una gran cantidad de recursos gratuitos, oportunidades de tutoría y entrevistas para promover el lado divertido y atractivo de la seguridad del software. Son campeones inspiradores y vitales de nuestra comunidad; si intervienen en la próxima conferencia de seguridad a la que asistas, estarías loco si te perdieras su sesión.
Clientes en el gran escenario
Fue brillante ver a tantos de nuestros clientes no sólo en la asistencia, sino también siendo dueños del escenario y compartiendo sus inmensos conocimientos de seguridad con la audiencia.
Conseguimos ver a Andrew Bailey, de Telstra, dando una importante charla, "Añadiendo el "Sec" a DevOps". Su gran experiencia como ingeniero de software senior, ahora centrado en la seguridad de las aplicaciones y la codificación segura, fue una perspectiva excelente para destacar. Dio consejos de principio a fin sobre cómo inyectar la seguridad en cada etapa del SDLC (incluyendo, por supuesto, justo al principio, formando a más desarrolladores en la codificación segura).
Ken Johnson forma parte del equipo de seguridad de GitHub, y me encantó verlo unirse al panel de expertos al final de la conferencia. Él, junto con los demás panelistas, estuvo encantado de responder a las preguntas urgentes del público, incluidas aquellas que no reciben necesariamente la atención que merecen en los medios de comunicación. Además de varias ideas del sector, hizo que el panel hablara de la importancia del bienestar y del equilibrio entre el trabajo y la vida privada, algo muy importante en esta época de agotamiento de los desarrolladores.
Me gustaría extender un enorme agradecimiento a Julian Berton y a todo el equipo de OWASP Melbourne por otra increíble conferencia. Nos vemos el año que viene (con más pegatinas).
Pieter Danhieux
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Artículos relacionados que recomendamos
Artículos relacionados que recomendamos
Sumérjase en nuestras últimas ideas sobre codificación segura en el blog.
Nuestra amplia biblioteca de recursos tiene como objetivo potenciar el enfoque humano de la mejora de la codificación segura.
Obtenga las últimas investigaciones sobre la seguridad impulsada por los desarrolladores
Nuestra amplia biblioteca de recursos está repleta de recursos útiles, desde libros blancos hasta seminarios web, que le ayudarán a iniciarse en la codificación segura orientada a los desarrolladores. Explórela ahora.
OWASP AppSec Day 2019: Cómo alimentar a los desarrolladores seguros
A principios de este mes, tuve la oportunidad de asistir al OWASP AppSec Day 2019 en la hermosa Melbourne. Estos eventos centrados en los desarrolladores están entre mis favoritos del calendario; proporcionan un humilde recordatorio de la comunidad que trabaja incansablemente para educar y empoderar a los ingenieros y especialistas de software para defender la seguridad en su trabajo.
El cartel de invitados fue sensacional -por no hablar de su refrescante diversidad- y es una gran sensación que, incluso después de todos estos años en el sector, yo también pueda salir inspirado. Personas como Tanya Janca, Toni James y Teri Radichel ofrecieron presentaciones increíbles, mientras que Wireghoul'Eldar Marcussen puso a prueba a todo el auditorio con desafíos de codificación segura en el acto, pero fue genial ser testigo de tanta conciencia de seguridad entre los asistentes.
Este año, Secure Code Warrior fue un patrocinador platino del evento. Tuve que sonreír al recordar que hace sólo cuatro años, era el equipo detrás de OWASP AppSec Day el que ayudaba a nuestra startup de arranque con un stand gratuito y promoción. Fue un momento de orgullo al ver lo lejos que habíamos llegado como empresa, y un momento para agradecer que exista una comunidad tan generosa de gente increíble.
Toni James: La seguridad desde la perspectiva del desarrollador
Si hay algo que debemos cultivar más en este mundo, es la empatía. Y cuando se trata de hacer que el software sea más seguro en todos los ámbitos, es esencial comprender la difícil situación del desarrollador.
Me gustó mucho la presentación de Toni, y estoy seguro de que todos los desarrolladores pudieron identificarla al instante. Hay mucho más en la historia que simplemente "escribir código seguro", y aunque ciertamente creo que los desarrolladores formados eficazmente en seguridad son nuestra mejor oportunidad en la lucha contra las vulnerabilidades, es imperativo considerar sus desafíos diarios.
El trabajo de un desarrollador de software puede estar a la vista de millones de usuarios, dar soporte a infraestructuras críticas y ser la fuerza motriz de servicios que damos por sentado. La creación de características, la ejecución de innovaciones empresariales y el cumplimiento de plazos de entrega ajustados suponen una gran presión, y eso antes de que un equipo de AppSec se asome a su trabajo. Toni habló de cómo es la vida en este entorno, y de cómo una buena dosis de empatía por parte de todos puede conducir a procesos y resultados de seguridad mucho mejores. Me complace mucho ver que se están dando pasos tan saludables para salvar la brecha entre los desarrolladores y los equipos de AppSec; al fin y al cabo, este es un elemento crítico en una cultura de seguridad positiva y próspera, y Toni es un excelente ejemplo de que este proceso funciona increíblemente bien.
Tanya Janca y Teri Radichel: Superhéroes de la seguridad
No es que sea una competición, pero las contribuciones de Tanya Janca y Teri Radichel a la conferencia estuvieron entre mis favoritas. A los diez minutos de su tutorial sobre evaluaciones de seguridad en la nube DIY, se puso de manifiesto su increíble amplitud de experiencia, cualificaciones y conocimientos, pero también su genuina calidez y deseo de compartir conocimientos y apoyar a la comunidad de desarrolladores. Juntos, presentaron acciones realistas y ejecutables para garantizar que las implementaciones de Azure fueran seguras, incluyendo consejos prácticos para establecer políticas de seguridad y medidas de mínimo privilegio.
Una rápida búsqueda en Google le dirá todo lo que necesita saber sobre su dedicación a apoyar a los desarrolladores a nivel de base, con una gran cantidad de recursos gratuitos, oportunidades de tutoría y entrevistas para promover el lado divertido y atractivo de la seguridad del software. Son campeones inspiradores y vitales de nuestra comunidad; si intervienen en la próxima conferencia de seguridad a la que asistas, estarías loco si te perdieras su sesión.
Clientes en el gran escenario
Fue brillante ver a tantos de nuestros clientes no sólo en la asistencia, sino también siendo dueños del escenario y compartiendo sus inmensos conocimientos de seguridad con la audiencia.
Conseguimos ver a Andrew Bailey, de Telstra, dando una importante charla, "Añadiendo el "Sec" a DevOps". Su gran experiencia como ingeniero de software senior, ahora centrado en la seguridad de las aplicaciones y la codificación segura, fue una perspectiva excelente para destacar. Dio consejos de principio a fin sobre cómo inyectar la seguridad en cada etapa del SDLC (incluyendo, por supuesto, justo al principio, formando a más desarrolladores en la codificación segura).
Ken Johnson forma parte del equipo de seguridad de GitHub, y me encantó verlo unirse al panel de expertos al final de la conferencia. Él, junto con los demás panelistas, estuvo encantado de responder a las preguntas urgentes del público, incluidas aquellas que no reciben necesariamente la atención que merecen en los medios de comunicación. Además de varias ideas del sector, hizo que el panel hablara de la importancia del bienestar y del equilibrio entre el trabajo y la vida privada, algo muy importante en esta época de agotamiento de los desarrolladores.
Me gustaría extender un enorme agradecimiento a Julian Berton y a todo el equipo de OWASP Melbourne por otra increíble conferencia. Nos vemos el año que viene (con más pegatinas).
