El creciente número de ataques a la ciberseguridad, así como su mayor sofisticación, ha impulsado el cambio en todos los sectores e industrias del mundo. Todo el mundo está tratando de "cambiar a la izquierda", introduciendo la seguridad en todos sus procesos y procedimientos lo antes posible. La situación ha fomentado incluso movimientos totalmente nuevos destinados a mejorar las ciberdefensas , como el DevSecOps, en el que la seguridad se incorpora al propio tejido de la creación de nuevos programas y aplicaciones. 

Muchos de estos cambios están llegando a los pies de la comunidad de desarrolladores. Dado que son ellos quienes crean, escriben y codifican los nuevos programas y aplicaciones, pedirles que adopten prácticas de codificación más seguras parece una gran idea. Al fin y al cabo, no se puede cambiar más a la izquierda que cuando se crean las nuevas aplicaciones.

Pero, ¿qué opina la comunidad de desarrolladores de esta responsabilidad? Tradicionalmente se les ha evaluado casi exclusivamente en función de la rapidez con la que podían codificar, pero ¿qué piensan ahora los desarrolladores sobre su nuevo papel como defensores de la seguridad? ¿Y sienten que la dirección de sus empresas apoya estos esfuerzos con una formación de calidad, mejores recompensas y el reconocimiento que merecen por asumir esta nueva responsabilidad crítica?

Por segundo año, nos asociamos con Evans Data Corp. para llevar a cabo una encuesta exhaustiva de la comunidad global de desarrolladores en relación con las habilidades, percepciones y comportamientos cuando se trata de prácticas de codificación segura, y su impacto y relevancia percibidos en el ciclo de vida de desarrollo de software (SDLC). Los resultados fueron bastante sorprendentes en muchos aspectos.

Encuesta sobre el estado de la seguridad impulsada por los desarrolladores en 2022  

La encuesta Secure Code Warrior State of Developer-Driven Security Survey fue realizada por Evans Data Corp en diciembre de 2021. Se formularon preguntas sobre la codificación del software, la concienciación sobre la seguridad, la formación, el apoyo, las motivaciones y otras cuestiones a 1.200 desarrolladores de software activos que trabajan en la región de Asia-Pacífico, Europa y Norteamérica. La encuesta se realizó en inglés y se tradujo cuando fue necesario para obtener una perspectiva global precisa. Entre los encuestados se encontraban desarrolladores que están creando nuevas aplicaciones, así como directivos de la comunidad de desarrolladores.

Algunos hallazgos sorprendentes

Ellunes 11 de abril se publicará un libro blanco detallado (Los retos (y oportunidades) para mejorar la seguridad del software) y un informe (El estado de la seguridad impulsada por los desarrolladores, 2022) que profundiza en todos los aspectos de la encuesta. El libro blanco incluye nuestro análisis de las conclusiones y las preocupaciones planteadas por la comunidad en relación con las prácticas de codificación segura, con recomendaciones para que las organizaciones capaciten a los equipos de desarrolladores para mejorar la seguridad del software. 

Es probable que algunos de estos retos planteen preguntas a cualquier persona que trabaje con desarrolladores en sus organizaciones, así como a aquellos que están dentro de la propia comunidad de desarrolladores; ciertamente lo hicieron para nosotros. 

Por ejemplo, sólo el 14% de los encuestados considera que la seguridad de las aplicaciones es una de las principales prioridades en la actualidad. En cambio, las métricas más tradicionales, como el rendimiento de las aplicaciones y la priorización de las características y la funcionalidad, siguen siendo su objetivo general.

La seguridad tenía tan poca prioridad que el 67% de los desarrolladores encuestados admitieron que dejaban habitualmente vulnerabilidades y exploits conocidos en su código. Lo hacían bien por los ajustados plazos, por dar prioridad a la funcionalidad sobre la seguridad, o porque simplemente no tenían la formación o los conocimientos necesarios sobre cómo solucionar los problemas de seguridad.

En muchos casos, los desarrolladores afirmaron que sus organizaciones no definían lo que constituía un código seguro y no proporcionaban la formación o el apoyo adecuados para cambiar esa situación.

Sin embargo, a pesar de algunos de los resultados negativos, también quedó claro que las actitudes están cambiando. Una gran mayoría de los desarrolladores (66%) espera que la seguridad se convierta en una prioridad en los próximos 12 a 18 meses, mientras que el 82% de los directores de contratación que participaron en la encuesta expresaron su interés en contratar a desarrolladores que conocieran la seguridad frente a los que no.

Aunque de los resultados de la encuesta se desprende que la comunidad de desarrolladores y las organizaciones con las que trabajan se enfrentan a una gran cantidad de cambios, los planes para el futuro próximo y a largo plazo, afortunadamente, también están tomando forma rápidamente.

Esté atento al libro blanco y al informe que detalla los resultados completos de la encuesta, así como a los comentarios de los expertos sobre los retos que plantean las prácticas actuales de codificación segura y las oportunidades que las organizaciones pueden aprovechar para mejorar las habilidades de seguridad de los desarrolladores y, en última instancia, la seguridad del software.

Consulte las páginas del Secure Code Warrior para obtener más información sobre la ciberseguridad, el panorama cada vez más peligroso de las amenazas, y para saber cómo puede emplear tecnología innovadora y formación para proteger mejor a su organización y a sus clientes.

‍