Ha sido alentador ver cómo el movimiento Secure-By-Design (SBD) de CISA ha cobrado impulso en todo el mundo, ya que Estados Unidos, Australia, Nueva Zelanda, Canadá, Singapur, Japón, Alemania y el Reino Unido se han comprometido a incorporar directrices similares en sus estrategias de ciberseguridad más amplias, y muchas de estas naciones también han contribuido a las recomendaciones originales.

Desde abril de 2024, más de 200 empresas, entre ellas Secure Code WarriorDesde abril de 2024, más de 200 empresas, entre las que se incluye el Reino Unido, han firmado el compromiso "Secure-by-Design", lo que indica un compromiso más amplio de la industria para mejorar la calidad del software y las normas de seguridad. Vemos estas directrices como un momento crucial para los líderes de la ciberseguridad que, por primera vez, cuentan con el apoyo de un gobierno mundial para un cambio cultural significativo en el desarrollo de software. Aunque estas recomendaciones aún no son obligatorias fuera de los proveedores de software que venden directamente al gobierno de EE.UU., veo esto no sólo como el futuro, sino como una oportunidad de oro para empezar a luchar contra los actores de amenazas. Un aspecto central de las directrices es el esfuerzo por eliminar las categorías de vulnerabilidades, y la concentración de toda la industria en este objetivo podría suponer el impacto positivo más significativo en la seguridad digital en décadas.

Creemos que este movimiento es fundamental, y nuestro último documento de investigación, Benchmarking Security Skills: Racionalización de la seguridad por diseño en la empresa es el resultado de un análisis en profundidad de iniciativas reales de Secure-by-Design a nivel empresarial, y de la derivación de enfoques de mejores prácticas basados en conclusiones basadas en datos. 

Medición del ROI de los esfuerzos de seguridad por diseño de las organizaciones

La revisión de las prácticas de desarrollo de software establecidas desde hace mucho tiempo no es una tarea fácil. Los CISO suelen enfrentarse a desafíos cuando intentan demostrar el retorno de la inversión (ROI) y el valor comercial de las actividades del programa de seguridad, tanto a nivel de personal como de empresa, y muchos expresan una creciente frustración por la reducción presupuestaria y la falta de aceptación por parte de los altos ejecutivos de las nuevas iniciativas cibernéticas. Sin embargo, una propuesta respaldada por datos marcará la diferencia en este caso. 

En los últimos años, la ausencia de un parámetro de referencia de habilidades que permita a las organizaciones evaluar su desempeño en relación con los estándares de la industria ha sido un desafío clave. Esto ha dificultado enormemente la creación e implementación de programas de seguridad que impacten en las áreas adecuadas y fomenten la mejora continua del grupo de desarrollo, un elemento crucial para el éxito de las prácticas de seguridad de software. 

La clave para que las iniciativas de seguridad por diseño funcionen no es solo brindarles a los desarrolladores las habilidades necesarias para garantizar la seguridad del código, sino también garantizarles a los reguladores que esas habilidades están en su lugar. Por eso, decidimos analizar la preparación del equipo de desarrolladores y los resultados pueden sorprender.

Cómo las empresas que intentan acelerar sus iniciativas de SBD pueden aprovechar el índice de confianza

Es prácticamente imposible mejorar de manera eficiente sin una idea clara de dónde se comienza y hacia dónde se debe llegar. Sin embargo, cientos de clientes empresariales utilizan de manera eficaz SCW Trust Score (una referencia global que cuantifica las competencias de seguridad de los equipos de desarrolladores) para proporcionar estos puntos de datos útiles y granulares. Estos conocimientos dan forma a programas de seguridad altamente efectivos, impulsados por los desarrolladores, que favorecen el éxito de las iniciativas Secure-by-Design.

El análisis revelado en nuestro informe técnico muestra que las organizaciones de las principales industrias de infraestructura crítica están avanzando en la preparación de sus desarrolladores para avanzar en sus iniciativas de SBD. También descubrimos que los equipos de desarrolladores de estas industrias poseen una postura de seguridad promedio.

Secure Code Warrior El análisis de la capacitación de desarrolladores en las industrias de infraestructura crítica se basa en información obtenida de más de 20 millones de puntos de datos, de 600 clientes empresariales y más de 250.000 desarrolladores activos en todo el mundo. El análisis concluyó que:

• El número total de desarrolladores que actualmente participan en iniciativas de capacitación de SBD centradas en el desarrollador es menos del 4% de todos los desarrolladores a nivel mundial;
• La industria de servicios financieros tuvo el puntaje de confianza más alto, 336;
• La mayoría de las iniciativas de capacitación a gran escala de Secure-by-Design tienen éxito, mientras que las iniciativas a menor escala tienden a ser dispersas. Sin embargo, cuando se les da un mandato, se ha demostrado que ofrecen un retorno de la inversión (ROI) mensurable más rápidamente;
• Cuando las iniciativas de capacitación están firmemente en marcha, los riesgos introducidos por los desarrolladores en las aplicaciones son considerablemente menores. El análisis determinó que los desarrolladores que participan en grandes iniciativas de capacitación (más de 7000 desarrolladores en una sola empresa) pueden reducir de manera previsible las vulnerabilidades entre un 47 y un 53 %.

La solución | Conclusión

SCW Trust Score es una herramienta poderosa en el arsenal de cualquier líder de seguridad, que permite un análisis exhaustivo de áreas específicas dentro de una organización. Los informes se pueden filtrar según idiomas, equipos o categorías, lo que genera informes personalizados que permiten a las empresas abordar las necesidades específicas de los desarrolladores o equipos e identificar las áreas en las que se necesita capacitación o entrenamiento adicional. Después de todo, la seguridad es una tarea interminable; una evaluación comparativa eficaz del rendimiento ayudará a identificar oportunidades para la mejora continua.

El desarrollo y la implementación acelerados de software, junto con un panorama de amenazas cibernéticas cada vez más amenazador y unos reguladores cada vez más atentos, han puesto la ciberseguridad en primer plano. Las organizaciones, si aún no lo han hecho, deben priorizar el desarrollo de una cultura de seguridad en toda la empresa.

Los usuarios de Linux no lo han tenido fácil últimamente, con varias vulnerabilidades de alta gravedad que han afectado al sistema de diversas maneras en los últimos años. Los investigadores de seguridad tienen ahora otro grupo de vulnerabilidades que desentrañar, todas ellas relacionadas con la función Common UNIX Printing System (CUPS) dirigida a sistemas GNU/Linux con una vía potencial para una potente Ejecución Remota de Código (RCE).

El 27 de septiembre de 2024, Simone Margaritelli de evilsocket.net publicó información crítica sobre varias vulnerabilidades explotables en CUPS, con CVEs posteriormente asignados a cuatro de ellas. Este número podría aumentar, pero en el momento de escribir estas líneas, la comunidad de seguridad está debatiendo la gravedad real de estos descubrimientos. Mientras que uno de los CVEs, CVE-2024-47177, tiene una calificación actual de gravedad crítica de 9.1 de MITRE, la manipulación exitosa de este fallo de inyección de comandos depende de servidores con el servicio CUPS habilitado y, además, requiere acceso al puerto UDP 631 o DNS-SD. RedHat señala, sin embargo, que es posible reasignar CUPS a un puerto diferente. 

El exhaustivo desglose del incidente realizado por Margaritelli revela una insidiosa y compleja cadena de ataques que, a pesar de los desacuerdos de la comunidad, no debe ignorarse. Nos ofrece una lección sobre dependencias aparentemente inocuas que pueden explotarse en profundidad si un actor de la amenaza está lo suficientemente decidido y si se han dejado pequeñas ventanas de oportunidad abiertas por patrones de codificación deficientes.

El escenario de CUPS es un poco diferente de lo que muchos desarrolladores y profesionales de AppSec pueden haber experimentado previamente, así que vamos a echar un vistazo y poner a prueba tus habilidades en el camino.

La vulnerabilidad: Ejecución remota de código (RCE) a través de CUPS

El blog Evilsocket proporciona una información inigualable y exhaustiva sobre estos exploits, y es un recurso que seguiremos de cerca. Margaritelli también cita una fuente anónima en su artículo, que no parece optimista sobre la solidez general de la seguridad de Linux:

‍

"Desde un punto de vista de seguridad genérico, todo un sistema Linux tal y como es hoy en día no es más que un lío interminable y sin remedio de agujeros de seguridad esperando a ser explotados."

Se trata de un recordatorio aleccionador de los riesgos de seguridad inherentes que siguen prevaleciendo en los entornos de código abierto, por no mencionar la urgente necesidad de una mayor concienciación en materia de seguridad y de conocimientos de codificación segura entre la comunidad mundial de desarrolladores.

Echemos un vistazo a los CVE:

• CVE-2024-47177
• CVE-2024-47176
• CVE-2024-47076
• CVE-2024-47175

‍Lacadena de vulnerabilidades está muy extendida, y actualmente afecta a todas las versiones actuales y anteriores de los siguientes paquetes:

• distrotech/tazas-filtros
• OpenPrinting/tazas-filtros
• Cups-browsed
• libcupsfilters
• libppd
  
  

CUPS ha sido un componente heredado de los sistemas operativos UNIX y Linux durante más de dos décadas. Su función como dependencia de servicios de impresión hace que esté ansioso por realizar peticiones de red, lo que lo convierte en un objetivo principal para las vulnerabilidades de clase RCE.

En este caso, sin embargo, hay algo de ingenio en la forma en que los ataques se combinan para proporcionar un resultado exitoso. Se trata esencialmente de la capacidad de un atacante no autenticado y no detectado para sustituir las URL del Protocolo de Impresión por Internet (IPP) por otras maliciosas, además de modificar directivas que pueden provocar la inyección de comandos en el "archivo PPD (PostScript Printer Description)", que es un archivo utilizado para describir las características de la impresora recién añadida. Esto resulta en un ataque de ejecución de comandos una vez que se activa un trabajo de impresión, y se basa en una falta de validación de entrada dentro de los componentes de CUPS.

Además, solucionar esta vulnerabilidad en particular crea una especie de arma de doble filo, como señala Evilsocket. CUPS incluye el filtro foomatic-rip, un ejecutable con un historial previo como componente explotable de alto riesgo. Las CVE relacionadas con este componente se remontan a 2011, y aunque se ha establecido que foomatic-rip puede aprovecharse para ejecutar comandos del sistema operativo, solucionarlo causa problemas de estabilidad y pérdida de compatibilidad con muchas impresoras antiguas. Se trata de un problema complejo de superar.

1. El actor de la amenaza inicia el ataque
   1. CVE-2024-47176: cups-browsed <= 2.0.1 is vulnerable because it binds to UDP port 631 using INADDR_ANY, which means it trusts any packet received from any source. This allows an unauthenticated remote attacker to send a malicious UDP packet with a manipulated IPP URL (pointing to the attacker-controlled IPP server), triggering the vulnerability. The victim’s machine now thinks it’s connecting to a new printer and sends a request asking for printer attributes.
2. El sistema víctima procesa los atributos de la impresora
   1. CVE-2024-47076: libcupsfilters <= 2.1b1 has a vulnerability in cfGetPrinterAttributes5, which does not properly validate or sanitize the IPP attributes returned from an IPP server. When cups-browsed processes the packet, it can be tricked into reading malicious attributes sent by the attacker.
3. El sistema víctima se conecta al servidor IPP del atacante-controlador
   1. CVE-2024-47175: libppd <= 2.1b1 in the ppdCreatePPDFromIPP2 function does not properly validate or sanitize IPP attributes when saving them to a temporary PPD (PostScript Printer Description) file. This allows the attacker to inject arbitrary data into a PPD file, including the FoomaticRIPCommandLine directive, which the printing system can later execute.
4. Victim system initiates print job and attacker’s code is executed
   CVE-2024-47177: cups-filters <= 2.0.1 is vulnerable because the foomatic-rip filter executes arbitrary commands through the FoomaticRIPCommandLine directive, allowing the attacker to run commands as the cups-browsed process. The attacker waits for the victim’s machine to initiate a print job. The moment this happens, the attacker’s malicious code will be executed (Remote Code Execution).

¿Cómo mitigar el riesgo de RCE?

Las empresas que utilicen CUPS como parte de sus operaciones comerciales deben seguir los consejos de corrección recomendados por Evilsocket y RedHat. Esto incluye, pero no se limita a, la aplicación de parches de seguridad como una prioridad de nivel de emergencia.

Para la inyección de comandos en general, consulte nuestra guía completa.

Si está interesado en obtener más directrices de codificación gratuitas, consulte Secure Code Coach, que le ayudará a mantenerse al día de las mejores prácticas de codificación segura.

Información práctica para medir sus esfuerzos de aprendizaje de código seguro 

Maximizar el valor de su programa de aprendizaje de código seguro depende en gran medida del compromiso de sus usuarios. El mundo de la ciberseguridad es un paisaje en constante evolución con nuevas amenazas, así como oportunidades para fortalecer su postura general de seguridad. Adoptar un enfoque proactivo de la seguridad de su código requiere un aprendizaje continuo del código seguro para maximizar la eficacia y relevancia del programa. Para ello, los responsables de los programas deben tener un conocimiento claro de la participación de los usuarios, no sólo en un momento determinado, sino a lo largo de periodos prolongados, con el fin de identificar tendencias y optimizar el rendimiento del programa.

Por eso nos complace anunciar un nuevo informe diseñado para medir el compromiso de sus usuarios que facilita la detección de tendencias clave y la identificación de cuándo tomar medidas dentro de su organización. Con esta nueva información, las organizaciones no solo pueden hacer más para maximizar el retorno de la inversión en aprendizaje seguro de código, sino también mejorar de forma duradera su postura de ciberseguridad.

Novedades de este informe

El informe Engagement Insights presenta una serie de estadísticas clave relevantes para su programa de aprendizaje ágil, durante el período de tiempo seleccionado (por defecto, los últimos 12 meses), todo lo cual también es accesible a través de la API de informes. El informe de participación proporciona una visión rápida y sencilla del número de nuevos alumnos que han participado activamente en el programa ágil de SCW learning platform durante este periodo de tiempo, los alumnos activos que han participado en la plataforma y el número actual de alumnos habilitados.

‍

‍

Estos totales son sólo el principio. Puede desglosar cómo han interactuado sus alumnos con la plataforma y descubrir las tendencias de los alumnos activos durante el periodo de tiempo seleccionado. Con esta información puedes planificar comunicaciones (boletines internos, blogs) u otras actividades de compromiso para que los desarrolladores vuelvan a perfeccionar sus habilidades.

‍

Del mismo modo, el desglose de la última actividad de aprendizaje muestra la última vez que sus alumnos han utilizado la plataforma SCW. Como en cualquier forma de aprendizaje, el recuerdo de los conceptos se desvanece con el tiempo. Lo ideal es que la mayor parte de los alumnos estén agrupados en los dos primeros grupos de actividad reciente. Este tipo de agrupación no sólo mantiene frescas las habilidades de los desarrolladores, sino que mejora la puntuación de confianza de SCW de su organización al evitar la pérdida de habilidades con el paso del tiempo.

‍

‍

Y la información va más allá de la frecuencia y la recurrencia. El informe de compromiso ofrece un desglose de la cantidad de tiempo que los alumnos han pasado en las diferentes partes de la plataforma Secure Code Warrior durante el período de tiempo seleccionado. Los administradores pueden utilizar esta información para identificar los factores que impulsan la participación de los usuarios. ¿Ha pasado algún tiempo desde la última vez que organizó un SCW tournament, podría ser una oportunidad para volver a involucrar a una parte de su cohorte de desarrolladores? ¿Los alumnos utilizan el módulo Explorar para ampliar sus horizontes fuera del contenido de aprendizaje estructurado en Courses o Evaluaciones? Identificar los tipos de alto compromiso, así como los usuarios de alto nivel, ofrece oportunidades para diseñar programas que encantarán a los desarrolladores y celebrar a sus líderes activos.

‍

Como puede ver, hay muchas formas de medir el compromiso de sus alumnos con su programa de aprendizaje ágil. Seguimos dedicados a proporcionar nuevas perspectivas e informes para impulsar los resultados de aprendizaje más eficaces y las mejoras en la postura de ciberseguridad de su organización. Permanezca atento a las próximas novedades y háganos saber si tiene preguntas, comentarios o datos específicos que le gustaría ver para optimizar su programa.

‍

Reducir la deuda de seguridad es algo que todas las empresas se esfuerzan por conseguir. ¿Cómo minimizar la cantidad de vulnerabilidades de seguridad? ¿Cómo se acelera el tiempo de comercialización al tiempo que se garantiza que el código que se genera es de primera clase?  

Al igual que muchas empresas, DigitalOcean eligió Secure Code Warrior para impulsar la innovación digital y la modernización mediante la creación y publicación de código de calidad desde el principio con desarrolladores conscientes de la seguridad.  

DigitalOcean, que ofrece recursos informáticos escalables y un conjunto de soluciones en la nube que permiten a los desarrolladores desplegar, gestionar y escalar aplicaciones sin esfuerzo, recurrió a Secure Code Warrior cuando la empresa amplió y aumentó sus equipos de ingeniería. En el vertiginoso sector de la tecnología, la empresa necesitaba asegurarse de que sus desarrolladores pudieran identificar los patrones de codificación deficientes más comunes que surgían en las revisiones de diseño para poder evitar de forma proactiva que se repitieran. 

Como señaló Ari Kalfus, director senior de seguridad de productos, "Necesitábamos una solución específica para los desarrolladores, práctica y centrada en los riesgos a los que se enfrentaba nuestra organización". Secure Code Warrior cumplió este requisito, y uno de los resultados más notables fue la capacidad de reforzar rápida y regularmente las prácticas de codificación segura. Esto condujo a una marcada disminución de la deuda de seguridad en todos los equipos. En general, DigitalOcean ha descubierto que los equipos formados con SCW no solo eran más expertos en identificar y mitigar los problemas de seguridad, sino que ahora también tienen la confianza para ampliar los límites de la innovación sin comprometer la seguridad.

Lea más aquí sobre cómo DigitalOcean redujo su deuda global de seguridad... y ahora está utilizando su excedente de seguridad para ampliar aún más los límites de la productividad y la innovación.

Secure-by-Design es la última iniciativa en boca de todos, y el gobierno australiano, colaborando con CISA en los niveles más altos de la gobernanza mundial, está guiando un estándar más alto de calidad de software y seguridad de los vendedores.

Un repunte significativo en la seguridad del software requerirá una oleada de apoyo para la creación de habilidades de seguridad y, cuando se trata de desarrolladores, un énfasis en el aprendizaje continuo en torno a las mejores prácticas de codificación segura. Resulta reconfortante asistir a un nuevo capítulo de la industria, en el que los gobiernos de todo el mundo están dando ejemplo y proporcionando orientaciones adecuadas para mitigar las insidiosas vulnerabilidades a nivel de código.

La Australian Women in Security Network (AWSN) ha trabajado incansablemente para promover la presencia de más mujeres en puestos de ciberseguridad en Australia. Nosotros, junto con el Commonwealth Bank (CBA), organizamos recientemente un concurso de codificación segura tournament para que desarrolladores y profesionales expertos en seguridad mostraran sus habilidades en un entorno amistoso y competitivo.

El acto del 17 de julio contó con una nutrida asistencia de mujeres increíbles que representaban a múltiples verticales, y es seguro decir que sus contribuciones ayudarán a convertir a Australia en una de las naciones más ciberseguras del mundo en 2030.

Aval para un futuro más seguro

Tuvimos la suerte de contar con la presencia de la Teniente General Michelle McGuiness, Coordinadora de Ciberseguridad de Australia, en el evento conjunto AWSN/CBA/SCW tournament . Sus palabras, que se refirieron directamente a las iniciativas australianas Six Cyber Shields (Seis escudos cibernéticos) y respaldaron los principios de seguridad por diseño, resonaron en la sala de dedicados profesionales cibernéticos comprometidos con los cambios positivos y los estándares más altos de diseño y ejecución de software:

‍

‍

Queremosque todo el país participe en la resolución de los problemas [de ciberseguridad], y eso incluye asegurarnos de que creamos una mano de obra cibernética fuerte y diversa y, por supuesto, integradora y acogedora".

Nuestra estrategia se articula en torno a seis escudos cibernéticos que ayudan a proteger nuestras empresas, nuestras organizaciones y nuestros ciudadanos. Quizá lo más pertinente para el acto de hoy sea nuestro trabajo en el marco de la estrategia que se centra en la seguridad desde el diseño y la seguridad por defecto. Deberíamos confiar plenamente en que no nos expondremos a riesgos innecesarios cuando compremos dispositivos digitales o programas informáticos.

Y, por supuesto, la industria tiene un gran papel que desempeñar a la hora de ayudarnos a fomentar, hacer crecer y apoyar estas vías en beneficio de su empresa, en beneficio de nuestra economía... y de la seguridad de nuestra nación... Felicito a Secure Code Warrior y a la CBA, así como a... la AWSN, por su liderazgo a la hora de reunir el actode hoy".

¿Qué pasa cuando codificas como una chica?

Siempre me ha llamado la atención algo increíble cada vez que celebramos eventos a gran escala como éste en tournament . Suelen participar en ellos decenas de miles de desarrolladores y, como ocurre estadísticamente en todo el sector, un porcentaje bastante pequeño de los participantes son mujeres.

Sin embargo, a menudo una participante femenina acaba en el podio de los ganadores y comparte la bolsa de premios. Creo que esto dice mucho a favor de la inclusión de las mujeres en espacios tradicionalmente dominados por hombres. No sólo pertenecen a ellos, sino que pueden sobresalir y ser una fuerza de aspiración dentro de sus equipos.

La competencia fue feroz en este evento, y nuestras ganadoras absolutas, Bella Howard y Shanelle Haire, tienen claramente un futuro brillante en la vanguardia de las prácticas de seguridad impulsadas por los desarrolladores. Comentaron su victoria:

"Estamos encantados de haber ganado. Trabajar en equipo ha sido fundamental para nuestro éxito: creemos que nuestras diversas habilidades y experiencias se complementan a la perfección.

También queremos reconocer que todo el mundo tuvo una actuación excepcional. Nos sentimos muy honrados de haber ganado y disfrutamos mucho del evento. Esperamos veros en la próxima".

Conozcámoslos un poco mejor:

‍

• ¿Cuánto tiempo lleva trabajando en sus habilidades de codificación segura?

Los dos estudiamos una doble licenciatura en informática, donde empezaron a tomar forma nuestras aptitudes para la codificación segura. Bella se interesó mucho por la ciberseguridad y ambos asistimos a eventos y talleres para ampliar nuestros conocimientos en este campo.

A través de nuestro empleo, hemos tenido la oportunidad de utilizar Secure Code Warrior, que ha sido fundamental en nuestro desarrollo. El enfoque de Bella en las prácticas de codificación segura mejora sus conocimientos como analista de seguridad, mientras que el papel de Shanelle como ingeniera de software exige una mentalidad segura, por lo que la codificación segura es una parte esencial de sus responsabilidades.

• ¿Tiene algún consejo para las mujeres en el campo de las ciencias, la tecnología y la ingeniería que están empezando su carrera profesional?

Recomendamos encarecidamente participar en comunidades de seguridad y aprender de quienes ya trabajan en este campo. Unirse a comunidades dirigidas por mujeres también es una forma fantástica de obtener el apoyo de mujeres que han estado en tu lugar y pueden ofrecerte una valiosa orientación y aliento.

Asista a eventos como Secure Coding Tournament y otros talleres relacionados con el sector para aprender y establecer contactos mientras se divierte. Busca mentores que puedan guiarte a lo largo de tu carrera y ofrecerte valiosas ideas. No espere a sentir que lo sabe todo antes de empezar: la experiencia práctica es la mejor manera de aprender.

• ¿Qué haría para promover la importancia de las buenas prácticas de ciberseguridad?

Es crucial subrayar que la seguridad es responsabilidad de todos. Para que la seguridad sea eficaz en profundidad, todas las personas que trabajan en la pila tecnológica, así como todos los usuarios de la tecnología, deben ser conscientes de las mejores prácticas de seguridad y adherirse a ellas. Si fomentamos una cultura en la que la seguridad se considere una responsabilidad colectiva, podremos proteger mejor nuestros sistemas y datos.

‍

Damos las gracias a todos los participantes y esperamos colaborar con la AWSN en futuros proyectos.

‍

Las organizaciones entienden que los principios de seguridad desde el diseño sólo se aplican con éxito a través de la seguridad impulsada por los desarrolladores. Después de todo, los desarrolladores son los que diseñan, construyen y, en última instancia, comprometen el código que alimenta el software de una organización. Garantizar que estos inestimables colaboradores tengan los conocimientos y habilidades necesarios para aplicar las mejores prácticas de código seguro es absolutamente fundamental. Sin embargo, el desafío de implementar esto a menudo se reduce a alinear el conocimiento y las habilidades de código seguro de los desarrolladores con los lenguajes de programación que utilizan cuando construyen software.

Este reto se complica aún más por el gran volumen y la mezcla de lenguajes de programación que se utilizan en la base de código de una organización, a menudo con total desconocimiento de los equipos de seguridad. Entonces, ¿cómo pueden los CISO, los responsables de seguridad de aplicaciones y los responsables de ingeniería garantizar que el código que se produce y se confirma está respaldado por el conocimiento y las habilidades de un desarrollador en el lenguaje de programación específico de esa confirmación?
‍

Presentación de SCW Trust Agent

Secure Code Warrior ha lanzado SCW Trust Agent para responder a esta difícil pregunta. SCW Trust Agent ofrece a los responsables de seguridad la visibilidad y el control necesarios para ampliar la seguridad impulsada por los desarrolladores, lo que permite a estos y a los equipos entregar código con mayor rapidez y, al mismo tiempo, mantener y mejorar la seguridad de lo comprometido.
‍

¿Cómo funciona el agente fiduciario SCW?

SCW Trust Agent se conecta a su repositorio de código para evaluar los metadatos de cada confirmación de código. Inspecciona al desarrollador que realizó la confirmación, los lenguajes de programación utilizados y la fecha exacta en que se envió el código. A continuación, combina este análisis con los datos y la información de SCW's agile learning platform para determinar si el desarrollador tiene suficientes conocimientos de seguridad en ese lenguaje de programación específico. Basándose en esta información, devuelve una calificación sobre la salud de esa confirmación de acuerdo con la configuración de su política. Estas políticas son personalizables y configurables por los usuarios administradores, que pueden establecer directrices y requisitos específicos para los commits que pueden tener un umbral de requisitos mayor o menor en función de la sensibilidad general de ese proyecto o repositorio.
‍

Reforzar su postura de seguridad

Disponer de esta visibilidad y de un control personalizable no sólo proporciona a una organización información sobre el estado general de las confirmaciones en todos sus repositorios, sino también las herramientas que necesita para reforzar su postura de seguridad, mitigando el riesgo mediante un enfoque proactivo. SCW Trust Agent trata de garantizar que los desarrolladores conozcan y sepan las implicaciones de seguridad del lenguaje de codificación específico que utilizan cuando van a realizar una confirmación. Esta garantía reduce la probabilidad de introducir inadvertidamente una vulnerabilidad en el código que pueda ser explotada.
‍

Optimizar el ciclo de vida del desarrollo

Este enfoque proactivo no sólo mejora la postura global de seguridad de una organización, sino que también puede impulsar nuevas optimizaciones en el ciclo de vida del desarrollo. Al garantizar que los desarrolladores tienen conocimientos y habilidades de código seguro en el lenguaje de su compromiso, se reduce el número de vulnerabilidades introducidas que más tarde tendrían que ser identificadas y remediadas. La remediación y el retrabajo tienden a ser grandes pérdidas de tiempo para los desarrolladores, a menudo interrumpiendo su flujo de trabajo y afectando a su velocidad. La reducción de vulnerabilidades a través de un enfoque proactivo minimiza estos ciclos de remediación manteniendo a los equipos de desarrollo enfocados en la entrega de código y capacidades de alto valor.
‍

Ampliación de la seguridad impulsada por los desarrolladores

SCW Trust Agent proporciona a las organizaciones las herramientas que necesitan para ampliar sus programas de seguridad impulsados por los desarrolladores. Los CISO y los equipos de seguridad de aplicaciones tienen la visibilidad y el control que necesitan para aplicar una gobernanza adecuada, cumplir e incluso superar las normas de cumplimiento con información detallada sobre el diseño, la aplicación y el cumplimiento de las políticas. Por su parte, los desarrolladores están capacitados para entregar código seguro con mayor rapidez gracias a la formación en código seguro específica para los lenguajes que utilizan en el código que entregan.

SCW Trust Agent funciona con cualquier herramienta de gestión de código fuente basada en Git y la conexión de su repositorio de código es sencilla gracias a las múltiples opciones de conectividad, que incluyen la carga local, basada en la nube y manual. Para obtener más información, visite www.scwtrustagent.com o póngase en contacto con nosotros, nos encantaría hablar sobre cómo podemos ayudar a su organización a fortalecer su postura de seguridad y escalar la seguridad impulsada por los desarrolladores.

‍

Nos complace continuar la conversación sobre la última mejora de la plataforma SCW: SCW Trust Score. Esta innovadora función se lanzó oficialmente en mayo y representa un avance fundamental en nuestra misión de dotar a los desarrolladores y las organizaciones de las herramientas que necesitan para escribir código seguro.

En esencia, SCW Trust Score ofrece información muy valiosa sobre la postura de seguridad de su organización y la eficacia de sus prácticas de codificación segura. Veamos las principales ventajas y beneficios de SCW Trust Score.

• Visibilidad: En los programas de aprendizaje y formación, que dependen de varios factores para tener éxito, surgen diversas habilidades y competencias en los equipos. A pesar de someterse a programas de código seguro idénticos, los equipos a menudo ofrecen un espectro de conocimientos, que abarca a los mejores, a los de rendimiento medio y a los que necesitan apoyo adicional. SCW Trust Score proporciona a las organizaciones una medición basada en datos de la eficacia de su programa de aprendizaje de seguridad mediante la agregación de la postura de seguridad individual de los desarrolladores a medida que utilizan Secure Code Warrior.
  
  
• Métricas de evaluación comparativa: Las organizaciones necesitan un punto de referencia para definir la curva de campana de la posición de seguridad de sus desarrolladores y señalar las áreas que deben optimizarse para crear realmente un equipo de software preparado para la seguridad y de alto rendimiento y productividad. Con SCW Trust Score, las organizaciones pueden evaluar su postura de seguridad en relación con los puntos de referencia y las mejores prácticas del sector. Al aprovechar esta métrica integral, las partes interesadas pueden identificar áreas de fortaleza y oportunidades de mejora con una precisión sin precedentes.
  
  
• Potenciada por los datos: SCW Trust Score aprovecha la potencia de 20 millones de puntos de datos de aprendizaje procedentes de más de 600 empresas y 250.000 desarrolladores. Al analizar todas las actividades de aprendizaje completadas en nuestra plataforma, nuestro algoritmo genera una puntuación exhaustiva. Esta puntuación tiene en cuenta factores como la amplitud y profundidad de las actividades de aprendizaje, la comprensión de la actividad, la frecuencia del aprendizaje, la descripción del trabajo, el ciclo de vida de la incorporación y el número total de desarrolladores formados.
  
  

Estamos orgullosos de haber continuado nuestras conversaciones con clientes y clientes potenciales recientemente en la RSAC, donde despertó un gran interés entre clientes, socios y líderes del sector.

Nos complace anunciar que organizaremos un seminario web el 12 de junio, en el que nuestro Director de Tecnología y Cofundador, Matías Madou, ofrecerá una visión general de SCW Trust Score y sus aplicaciones prácticas en escenarios reales. Esperamos contar con su presencia.

Por último, hacemos extensivo nuestro agradecimiento a todos los miembros de la comunidad de clientes y socios que han contribuido al desarrollo y perfeccionamiento de la puntuación de confianza de SCW. Juntos, nos embarcamos en un viaje hacia la comprensión de cómo es una buena postura de seguridad en todas las organizaciones.

Los desarrolladores se enfrentan a retos constantes para mantener sus habilidades al día y mantenerse a la vanguardia. Con la tecnología avanzando a un ritmo vertiginoso y la aparición periódica de nuevas herramientas y marcos de trabajo, la necesidad de un aprendizaje continuo nunca ha sido tan crítica. En esta era digital, en la que la información está al alcance de la mano, los desarrolladores pueden aprovechar el poder de los contenidos de aprendizaje bajo demanda para impulsar sus carreras y seguir siendo relevantes en el competitivo campo del desarrollo de software.

El aprendizaje de contenidos bajo demanda ofrece a los desarrolladores varias ventajas clave. Los recursos bajo demanda ofrecen una flexibilidad y comodidad sin precedentes, lo que permite a los desarrolladores aprender a su propio ritmo y adaptar la formación a sus apretadas agendas y preferencias personales. Además, las plataformas ágiles suelen ofrecer rutas de aprendizaje específicas adaptadas a los objetivos y niveles de habilidad individuales, lo que maximiza la eficiencia del aprendizaje y garantiza que los desarrolladores adquieran las habilidades necesarias para avanzar en su carrera profesional. En última instancia, el aprendizaje bajo demanda fomenta una cultura de desarrollo continuo de habilidades, lo que permite a los desarrolladores seguir siendo ágiles y resistentes frente a los cambios tecnológicos y garantiza su éxito a largo plazo en el campo del desarrollo de software.

‍

En Secure Code Warrior, nos comprometemos a proporcionar a los desarrolladores el contenido más completo y sólido disponible. Nuestro objetivo no es sólo ofrecer recursos superiores de aprendizaje y desarrollo, sino también entregarlos en el momento adecuado con información relevante para las necesidades actuales de los desarrolladores. Este compromiso se materializa en nuestra pestaña Explorar, una biblioteca de contenidos dentro de la plataforma SCW diseñada para abordar el reto de la dispersión de recursos. Explore consolida todo el contenido de formación en una ubicación centralizada, proporcionando a los usuarios una visión completa de los tipos de contenido disponibles sin esfuerzo. Ya sea que los alumnos busquen dominar un nuevo lenguaje de programación o explorar conceptos intrincados, Explore los tiene cubiertos. Nuestro catálogo de contenidos, meticulosamente seleccionado, satisface una amplia gama de intereses y niveles de habilidad, garantizando que haya algo para todos. Con Explore, los estudiantes descubrirán una gran cantidad de tutoriales interactivos, ejercicios prácticos y escenarios del mundo real, todos ellos diseñados para mejorar la experiencia de aprendizaje y capacitar a los desarrolladores para sobresalir.

‍

‍

Los ecosistemas tecnológicos actuales se caracterizan por la innovación y la disrupción constantes, por lo que la necesidad de plataformas de aprendizaje ágiles es cada vez más crítica. Los métodos tradicionales de aprendizaje y desarrollo de habilidades ya no bastan para seguir el ritmo de los rápidos avances tecnológicos y las dinámicas demandas del sector. Como resultado, las organizaciones están recurriendo a las plataformas de aprendizaje ágil para proporcionar a los desarrolladores las herramientas y los recursos que necesitan para adaptarse y prosperar en este entorno vertiginoso en el que la seguridad impulsada por los desarrolladores es esencial.

Una de las principales razones por las que las plataformas de aprendizaje ágil son esenciales es su capacidad para ofrecer contenidos de aprendizaje oportunos y pertinentes. Las plataformas de aprendizaje ágil aprovechan los mecanismos dinámicos de entrega de contenidos, como los módulos de microaprendizaje y los recursos justo a tiempo, para proporcionar a los desarrolladores los conocimientos que necesitan, precisamente cuando los necesitan. Otra gira en torno a su capacidad para ofrecer flexibilidad y personalización, lo que permite a los desarrolladores adaptar sus experiencias de aprendizaje a sus necesidades y preferencias individuales. Tanto si prefieren tutoriales interactivos, laboratorios prácticos o contenidos en vídeo, los desarrolladores pueden elegir el formato que mejor se adapte a su estilo de aprendizaje y a sus horarios.

En general, las plataformas de aprendizaje ágil desempeñan un papel crucial a la hora de capacitar a los desarrolladores para que prosperen en el cambiante y acelerado panorama tecnológico actual. Al ofrecer experiencias de aprendizaje oportunas, relevantes y personalizadas, estas plataformas permiten a los desarrolladores adquirir nuevas habilidades, mantenerse a la vanguardia de las tendencias del sector e impulsar la innovación dentro de sus organizaciones. En Secure Code Warrior, tenemos muy en cuenta a los desarrolladores a la hora de mejorar continuamente nuestra plataforma. Conscientes del papel fundamental que desempeñan los desarrolladores en la creación de software seguro, nos aseguramos de que nuestras mejoras no sólo aborden los retos actuales, sino que también permitan a los desarrolladores crear código resistente con confianza. Estas son algunas de las mejoras de la plataforma para desarrolladores que hemos implementado recientemente para reforzar esta dedicación.

Creemos que podemos ser más eficaces a la hora de involucrar a sus desarrolladores a través de canales de comunicación modernos como Microsoft Teams. Nuestra integración con Microsoft Teams es nuestro primer paso hacia la próxima generación de comunicaciones con los usuarios dentro de la plataforma SCW. Invítelos a nuevas actividades de aprendizaje y envíeles recordatorios personalizados sobre las actividades de aprendizaje del curso. También puede utilizar Teams como un canal de entrega para Nudges, donde puede Nudge participantes del curso para completar su curso a través de la notificación de Teams.

‍

Nuestra pestaña Explorar se suma a nuestra innovación de productos orientada a los desarrolladores. Tanto si los usuarios desean mejorar sus habilidades como sumergirse en nuevas áreas, Explorar garantiza una experiencia de desarrollador fluida y enriquecedora al proporcionar un centro integral para la formación a su propio ritmo y la ampliación de conocimientos. Con más de 7.000 actividades disponibles en 64 idiomas, Explorar permite a los usuarios descubrir, reproducir y repetir sin esfuerzo actividades de aprendizaje adaptadas a sus preferencias. Haga clic aquí para obtener más información sobre Explore y la importancia de los contenidos a la carta.

‍

Por último, los informes son cruciales para que la formación de los desarrolladores sea eficaz y atractiva. No sólo hacen un seguimiento del progreso y garantizan el cumplimiento de las normas de seguridad, sino que también identifican las lagunas en las que los desarrolladores pueden mejorar. Esta información permite una formación a medida que refuerza las defensas de seguridad y mantiene el aprendizaje pertinente y específico. Los informes también ayudan a justificar la inversión en formación demostrando su repercusión, lo que garantiza un apoyo continuo a las iniciativas de seguridad. En general, los informes son herramientas esenciales para mejorar tanto el cumplimiento como el compromiso de los desarrolladores, manteniendo a todos en el buen camino y comprometidos en su viaje de aprendizaje. Esté atento a las próximas novedades sobre los informes de SCW.

‍

Para obtener más información sobre las nuevas funciones, consulte nuestro último seminario web sobre productos o póngase en contacto con nosotros hoy mismo.

‍