Una forma segura de mejorar la postura de seguridad de su organización es a través de la capacitación de los desarrolladores en las mejores prácticas de codificación segura, proporcionadas en un marco que incluya líneas de base y puntos de referencia diseñados para dar a los desarrolladores las vías de aprendizaje específicas que necesitan. La codificación segura, sin embargo, no es una solución de una sola vez: debe convertirse en una forma de vida, codificada en el ADN de una organización. Los desarrolladores no sólo tienen que cambiar a la izquierda, o empezar por la izquierda, sino que tienen que permanecer en ella. 

No basta con impartir formación. Las organizaciones necesitan confirmar que los desarrolladores han asimilado completamente su formación y siguen las mejores prácticas al principio del ciclo de vida de desarrollo de software (SDLC) como parte de sus rutinas diarias. Es necesario realizar un seguimiento del rendimiento de los desarrolladores y medir su progreso tanto con respecto a los estándares internos como a los puntos de referencia del sector, midiendo de forma eficaz el ROI de la inversión en formación.

Secure Code Warrior's Trust Score proporciona visibilidad sobre el rendimiento de los desarrolladores individuales y agrega los datos para proporcionar una assessment del rendimiento general de su organización. Muestra la eficacia de los programas de mejora de las competencias e identifica las áreas que necesitan mejoras. Y, ayuda a garantizar el cumplimiento de la gama de requisitos de cumplimiento normativo, ya provengan del Reglamento General de Protección de Datos(GDPR), el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago(PCI DSS), la Ley de Privacidad del Consumidor de California(CCPA) u otros.

Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.

La formación mejora la seguridad, si los desarrolladores la reciben 

Durante años, el uso de las mejores prácticas de seguridad al inicio del SDLC parecía ser una aspiración en la industria del software, algo a lo que se podía aspirar algún día, pero que no era una prioridad en la actualidad. Pero la velocidad cada vez mayor del desarrollo de software, junto con el ritmo acelerado de las ciberamenazas sofisticadas y destructivas -a menudo basadas en vulnerabilidades de software- han hecho que la codificación segura sea esencial. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras(CISA) pone el código seguro en primer plano con su iniciativa Secure-by-Design, que se está convirtiendo en un movimiento internacional. 

Nuestra investigación ha demostrado que la correlación entre un enfoque de seguridad por diseño y una reducción de las vulnerabilidades del software es clara. Analizamos los datos de reducción de vulnerabilidades del 26% de la base de clientes de SCW y descubrimos que la formación de desarrolladores se traducía en reducciones de vulnerabilidades de software que oscilaban entre el 22% y el 84%. Ese rango era el resultado de variables como el tamaño de las empresas implicadas (las empresas más pequeñas con relativamente pocos desarrolladores producían un rango más dramático de resultados), y si un grupo de aprendizaje se centraba en un problema específico, en cuyo caso eliminaban un mayor porcentaje de fallos.

Los resultados de las grandes empresas fueron bastante coherentes. Las empresas con 7.000 desarrolladores o más pueden esperar que las vulnerabilidades se reduzcan entre un 47% y un 53% como resultado de la mejora de las competencias de los desarrolladores en materia de seguridad. Por ejemplo, una empresa estadísticamente media con más de 10.000 desarrolladores -que no es una de las de mayor rendimiento en la plataforma ni una de las de mayor referencia- obtuvo una reducción del 53% en vulnerabilidades. 

Por supuesto, la formación más eficaz no adopta un enfoque amplio y único. Debe adaptarse a los entornos de trabajo de los desarrolladores y a los tipos de desarrollo que realizan.

Las empresas deben empezar por establecer los conocimientos básicos que deben tener los desarrolladores para que escribir código seguro les resulte tan natural como escribir código sin más. Los programas de perfeccionamiento deben consistir en una formación práctica y ágil en escenarios reales que se ajusten al tipo de trabajo que realizan y a los lenguajes que utilizan. Y deben ser lo suficientemente flexibles para que las sesiones de formación se adapten a sus horarios de trabajo. 

Para los desarrolladores, el conjunto de habilidades implica algo más que escribir código. Tienen que ser capaces de comprobar el software creado por asistentes de inteligencia artificial y terceros, como los repositorios de código abierto. Los desarrolladores han hecho un uso ávido de los modelos generativos de IA y, en general, han alabado sus ventajas a la hora de ayudarles a crear más código con mayor rapidez. Sin embargo, aunque el 76% de los participantes en una encuesta de Snyk afirmaron que el código generado por IA era más seguro que el producido por humanos, el 56,4% seguía afirmando que la IA introduce errores a veces o con frecuencia. Y la misma encuesta reveló que el 80% de los desarrolladores omiten la aplicación de políticas de seguridad del código de IA, lo que sugiere que no se están abordando los problemas del código de IA.

En un enfoque de seguridad por diseño, los desarrolladores -trabajando con los equipos de seguridad, en lugar de por separado- abordarán estos problemas en una fase temprana del SDLC, identificando y corrigiendo los fallos antes de que el código pase a producción.

La puntuación de confianza mide el rendimiento individual y empresarial

También es fundamental que la formación sea continua. Las empresas deben adoptar una cultura que dé prioridad a la seguridad y que se aplique en todas partes, desde los niveles más altos de la empresa hasta los más bajos. Debe centrarse en la mejora continua y en la aplicación de las mejores prácticas de seguridad en todo el SDLC. La tecnología y los ciberdelincuentes no dejan de evolucionar; la ciberseguridad tampoco debería hacerlo. Para las organizaciones que producen software, los desarrolladores formados en seguridad son la base.

Por eso, demostrar que la formación se ha asentado de forma efectiva es tan importante como la propia formación. Trust Score no sólo ofrece visibilidad del rendimiento de los desarrolladores individualmente y de la organización en general, sino que permite a las organizaciones desglosar los datos de rendimiento para centrarse en lenguajes específicos, equipos de desarrolladores o categorías de software. Los datos de los resultados de rendimiento individuales y agregados también ayudan a identificar las áreas en las que es necesario mejorar la formación, por ejemplo, si no está teniendo el efecto deseado en el rendimiento diario de los desarrolladores.

Trust Score ha permitido a las organizaciones evaluar el rendimiento de los desarrolladores y confirmar si han adquirido -y están utilizando- los conocimientos de seguridad necesarios, garantizando que se han ganado su licencia para codificar. Permite a las organizaciones conceder con confianza a los desarrolladores cualificados acceso a sus datos más confidenciales y proyectos de software críticos, mientras que deniega ese acceso a aquellos que aún no están preparados.

Prueba del cambio de la cultura de seguridad

La ciberseguridad ya no es sólo una cuestión de seguridad. Es una cuestión empresarial, que afecta a la integridad del activo más valioso de muchas organizaciones: sus datos. Una violación grave afecta a las operaciones de una organización, a su reputación y, potencialmente, a su viabilidad. La importancia de la ciberseguridad no ha pasado desapercibida para los organismos reguladores, que han ido aplicando normativas cada vez más estrictas y se han mostrado dispuestos a perseguir a los CISO y, potencialmente, a otros miembros de la alta dirección, incluso hasta el punto de presentar cargos penales, como en los casos de Uber y SolarWinds. 

Adoptar una cultura de seguridad en toda la empresa es esencial en el entorno actual. Y dado que gran parte del valor de una empresa reside en sus datos, aplicaciones y servicios, la codificación segura es un elemento esencial de esa cultura. La formación y el perfeccionamiento específicos como parte de una mentalidad cultural, junto con pruebas de que la formación ha ayudado a cambiar la cultura, pueden encaminar a las organizaciones hacia el fortalecimiento de sus posturas de seguridad. 

Los programas de seguridad impulsados por los desarrolladores tienen valor. La prueba está en la puntuación de confianza.

Los equipos de seguridad tienen dificultades para seguir el ritmo de la oleada de nuevas innovaciones en el mundo actual de DevOps impulsado por la nube, por lo que es lógico que sean igualmente incapaces de seguir el ritmo de la miríada de formas en que los atacantes explotan las debilidades que inevitablemente surgen con tanto código generado constantemente. 

Sin embargo, a pesar del ritmo acelerado de las violaciones de seguridad importantes -desde la violación de datos de Equifax y el ataque a la cadena de suministro de SolarWinds hasta más incidentes en los últimos años, como los ataques con éxito a Change Healthcare, AT&T y otros-, muchas organizaciones siguen centrándose en un enfoque reactivo de la seguridad. Dedican la mayor parte de sus recursos de seguridad a encontrar y corregir vulnerabilidades y a responder a los incidentes a medida que se producen. Este enfoque podría haber sido adecuado en otra época, pero la rápida evolución del software, las capacidades tecnológicas y la infraestructura de TI es demasiado para que los equipos de seguridad, faltos de personal y sobrecargados de trabajo, puedan seguir el ritmo.

Para evitar estar continuamente en desventaja, tienen que dejar de perseguir amenazas de seguridad que se mueven demasiado rápido para ellos o esperar a que el caballo de la violación de datos esté fuera del establo. En lugar de ello, deben adelantarse al problema adoptando un enfoque preventivo, en lugar de reactivo. Mejorar la seguridad tanto de las aplicaciones heredadas como de las nuevas requiere un enfoque de seguridad por diseño -reforzado por una formación eficaz de los desarrolladores- para garantizar que se emplean las mejores prácticas de seguridad al principio del ciclo de vida de desarrollo del software (SDLC) y que se corrigen las vulnerabilidades antes de que pasen a producción.

Hasta la fecha, esto ha resultado mucho más fácil de decir que de hacer. 

Escasean los programadores seguros

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) ha intentado impulsar la prevención como política clave con su iniciativa Secure-by-Design, que promueve la codificación segura junto con otras buenas prácticas -desde la autenticación multifactor (MFA) hasta la reducción de clases de vulnerabilidades- y anima a las organizaciones a asumir el Compromiso Secure-by-Design. Otros países, como Australia, Canadá, Alemania y el Reino Unido, han puesto en marcha programas similares. Sin embargo, nuestra investigación muestra que muy pocas organizaciones se han subido al carro hasta ahora.

Si combinamos todos los desarrolladores de Secure Code Warrior's Learning Platform con los de los competidores de SCW que trabajan en la vena de Secure-by-Design, hay entre 500.000 y 1 millón de desarrolladores que están adoptando este enfoque. Según la estimación más generosa, esto supone alrededor del 3,5% del número total de desarrolladores en todo el mundo, que se prevé que alcance los 28,7 millones a finales de 2024. Son muchos desarrolladores produciendo más código que nunca, especialmente con programas de inteligencia artificial generativa que aceleran enorm emente el ritmo de desarrollo, y muy pocos aprendiendo a empezar con código seguro. 

Por lo general, a los ingenieros de software no se les enseña ciberseguridad porque el modelo tradicional ha exigido que los desarrolladores y los profesionales de la seguridad trabajen como entidades separadas, y que los equipos de seguridad se ocupen de los problemas de seguridad después de que se haya creado el software. Pero los profesionales de la seguridad están lamentablemente superados en número en el entorno actual. El informe más reciente de Building Security in Maturity Model, BSIMM14, muestra que hay, de media, 3,87 profesionales de AppSec por cada 100 desarrolladores en todo el mundo. Contar con menos de cuatro especialistas formados para tratar de proteger los resultados de 100 desarrolladores que trabajan a una velocidad de vértigo no es una receta para conseguir un código seguro. 

El descuido de la seguridad de las aplicaciones es igualmente evidente cuando se compara su tamaño de mercado con otros sectores de la seguridad. Los componentes que conforman un enfoque Secure-by-Design entran en el mercado de la seguridad de las aplicaciones, que se espera que crezca de 6.080 millones de dólares en 2023 a 17.510 millones en 2031. Parece un crecimiento rápido, pero palidece cuando se compara con el dinero que se gasta en seguridad de redes, que se prevé que aumente de 23.570 millones de dólares en 2023 a 67.330 millones en 2032, o en seguridad de tecnología operativa, que se prevé que crezca de 18.030 millones en 2023 a 57.510 millones en 2031. 

Teniendo en cuenta la creciente importancia del código y las aplicaciones seguras, este ámbito está infradotado. De hecho, si las empresas invierten más en la seguridad de las aplicaciones y en un enfoque Secure-by-Design, podrían ahorrar en otras áreas de seguridad. 

Hay otros factores que contribuyen a la opinión de que la seguridad preventiva es más difícil de implantar y, por tanto, de vender a los altos ejecutivos. Por un lado, las empresas que llevan mucho tiempo funcionando, como las del sector de servicios financieros, cargan con viejos sistemas heredados, algunos de los cuales datan de mediados del siglo pasado, cuando COBOL era el lenguaje de programación preferido. 

La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad. 

Crear una cultura de prevención

Puede que la transición hacia un enfoque preventivo de la seguridad esté teniendo un comienzo lento, pero el impulso para adoptar prácticas de seguridad por diseño no va a desaparecer porque la necesidad apremiante de ello en el entorno actual de ciberamenazas tampoco va a desaparecer. A la industria del automóvil se le echaría la culpa si decidiera invertir en más ambulancias y paramédicos en lugar de hacer coches más seguros, pero muchas organizaciones siguen ese modelo cuando se trata de ciberseguridad.

Las organizaciones deben adoptar un enfoque preventivo y proactivo para reducir el riesgo. Deben crear programas para capacitar a los desarrolladores en la escritura de código seguro y la corrección de errores (como los introducidos por asistentes de IA o código de terceros) en una fase temprana del SDLC. Estos programas deben incluir programas de formación ágiles e interactivos que se ajusten a los horarios de los desarrolladores y puedan adaptarse a sus entornos de trabajo y a los lenguajes de programación que utilizan. El perfeccionamiento debe incluir formación práctica que aborde problemas del mundo real.

Y lo que es más importante, debe incluir un medio de medir sus progresos para garantizar que han convertido las mejores prácticas de seguridad en una parte vital de sus rutinas diarias. Una herramienta como Trust Score de SCW utiliza puntos de referencia para medir el progreso tanto internamente como en comparación con los estándares del sector, al tiempo que identifica las áreas que deben mejorarse. 

Un planteamiento de seguridad desde el diseño sería holístico y reflejaría una mentalidad de la organización en la que la seguridad es lo primero, una prioridad empresarial. No cabe duda de que la respuesta y la recuperación son partes esenciales de la postura global de seguridad de una organización. Pero si se centran en la prevención, las empresas pueden hacer grandes progresos en la reducción del riesgo y tal vez evitar el tipo de brechas importantes que pueden amenazar la viabilidad de un negocio.

Obtenga más información sobre cómo Secure Code Warrior puede ayudarle a realizar una iniciativa viable de Secure-by-Design hoy mismo.

Con unas amenazas cibernéticas cada vez más frecuentes y sofisticadas, la atención de la ciberseguridad se centra en la importancia del código seguro. La Estrategia Nacional de Ciberseguridad de la Casa Blanca y la iniciativa Secure-by-Design de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), junto con las iniciativas y la legislación de otros países, ponen la responsabilidad de la seguridad directamente sobre el hombro de los productores de software. Cambiar a la izquierda -o más exactamente, empezar por la izquierda- para garantizar la seguridad en una fase temprana del ciclo de vida de desarrollo de software (SDLC), que antes se consideraba algo agradable de tener, es ahora esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas tras una infracción.

La clave para garantizar unas prácticas de codificación seguras está en la formación de los desarrolladores. Los ingenieros de software suelen recibir poca o ninguna formación en ciberseguridad. Su trabajo, especialmente en el entorno acelerado de DevOps de hoy en día, ha consistido en crear nuevas aplicaciones, actualizaciones y servicios lo más rápidamente posible -cada vez más con la ayuda de modelos generativos de IA de rápido funcionamiento- y dejar que los equipos de seguridad se ocupen de los problemas de ciberseguridad en algún momento posterior del SDLC. Esta es una forma ineficaz de abordar la plétora de fallos que surgen con la creación de tanto código, lo que a menudo da lugar a que se liberen vulnerabilidades de software en el ecosistema.

Los desarrolladores deben recibir formación para escribir código seguro desde el principio y ser capaces de detectar el código inseguro generado por la IA o cuando está presente en el software de código abierto y de terceros que utilizan. Para muchos equipos de desarrollo y organizaciones, este es un territorio desconocido. ¿Cómo saben que los desarrolladores están recibiendo la formación que necesitan? ¿Y se aplica esa formación con regularidad?

Algunas empresas que se dedican a la formación de desarrolladores han considerado beneficioso establecer un conjunto de competencias de referencia que los desarrolladores deben adquirir y medir su progreso en función de unos puntos de referencia claramente definidos. Para ayudar en este esfuerzo, Secure Code Warrior ha lanzado un punto de referencia diseñado para medir con precisión el progreso de los desarrolladores en la formación en seguridad. El SCW Trust Score permite a las organizaciones medir hasta qué punto se está aplicando la formación en el trabajo y facilita la colaboración entre los equipos de seguridad, desarrollo e ingeniería.

Es una forma de comprobar que la formación en código seguro está arraigando, al tiempo que se identifican las áreas susceptibles de mejora.

Razones para un diseño seguro

Los productores de software tienen motivos de sobra para introducir la seguridad en el SDLC al principio del proceso. La creciente demanda de aplicaciones y servicios y la velocidad que la IA aporta al proceso de desarrollo ha demostrado ser útil para los desarrolladores, que adoptaron rápidamente la IA generativa, pero también da lugar inevitablemente a que se libere software con errores. Cuanto más código se genera, más fallos hay, y un estudio reciente ha descubierto que casi tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos un fallo de seguridad, y casi el 20% de ellos se consideran críticos. 

Ponerse al día con las vulnerabilidades más tarde en el SDLC se está convirtiendo en algo prohibitivamente lento y costoso. El Instituto Nacional de Estándares y Tecnología (NIST) ha descubierto que corregir los defectos durante las pruebas lleva 15 veces más tiempo que asegurar el software al principio del SDLC, y corregirlos durante la fase de despliegue/mantenimiento puede llevar de 30 a 100 veces más. 

Todo esto subraya la importancia de aplicar la seguridad al principio del ciclo de desarrollo, lo que ha demostrado ser no sólo la forma más eficaz de reducir el riesgo, sino también la más rentable. Los desarrolladores -trabajando con equipos de seguridad en lugar de tenerlos funcionando como entidades separadas- están en la mejor posición para introducir la seguridad al principio del SDLC. Y los desarrolladores formados en las mejores prácticas de seguridad han sido eficaces a la hora de reducir las vulnerabilidades. El problema es que muy pocos de ellos han recibido formación.

La belleza de los puntos de referencia 

El camino básico para las empresas consiste en establecer una base de competencias en materia de seguridad, impartir formación y verificar, tanto ante las organizaciones como ante los organismos reguladores, que los desarrolladores han adquirido las competencias necesarias. Esto ha resultado difícil para muchas organizaciones de todos los sectores económicos, pero no tiene por qué serlo.

Uno de los retos a los que se enfrentan los responsables de seguridad es la dificultad de ampliar un programa de formación a toda la empresa. Pero la investigación de SCW muestra que las organizaciones, especialmente las que cuentan con grandes cuadros de desarrolladores, pueden aplicar con éxito un enfoque de diseño seguro. Los resultados de las organizaciones más pequeñas tienden a mostrar una gran variación en la aplicación de los principios de diseño seguro. Aún así, también pueden beneficiarse de un enfoque que incluya Trust Scores, y probablemente mostrarán mejoras más rápidamente.

Trust Score utiliza métricas de evaluación comparativa para medir el progreso de los alumnos individuales, agrega sus puntuaciones para evaluar el rendimiento del equipo en general y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. No sólo realiza un seguimiento de la formación, sino que muestra hasta qué punto los desarrolladores aplican sus nuevas habilidades en el día a día. También pone de relieve las áreas que deben mejorarse, lo que permite a la organización optimizar sus programas de formación. 

En todos los sectores de infraestructuras críticas de CISA para los que se disponía de datos, la mayoría de las organizaciones se encuentran más o menos al mismo nivel en la aplicación de principios de diseño seguro. Las puntuaciones de confianza de sectores que van desde los servicios financieros y la base industrial de defensa hasta la sanidad, las TI y la fabricación crítica se situaron en el mismo rango, un poco por encima de 300 en una escala de 1.000 puntos. Ningún sector supera a los demás, a pesar de la creencia generalizada de que los servicios financieros, al ser el más regulado, estarían muy por delante.

Los sectores de infraestructuras críticas no incluidos en la clasificación Trust Score -como las operaciones químicas, energéticas y nucleares- no suelen crear su propio software, sino que confían en otros sectores, especialmente en el de TI. Sin embargo, la importancia de mantener sistemas seguros dentro de estos sectores (nadie quiere ver comprometida una central nuclear) sólo demuestra lo esencial que es asegurar el software que utilizan en primer lugar.

Conclusión:

El aumento de la presión normativa y la realidad del panorama de las ciberamenazas han hecho imperativo un enfoque de seguridad desde el diseño para las organizaciones que desean proteger sus datos, sistemas, operaciones empresariales y reputación. En gran parte, la creación de software seguro está en manos de los desarrolladores, pero necesitan ayuda en forma de un programa de formación y actualización exhaustivo que les proporcione la educación que necesitan y les muestre cómo se aplica. 

Un programa que incluya puntos de referencia, respaldado por una herramienta como Trust Score, puede proporcionar una visión clara del progreso crítico de un equipo de desarrollo. Se trata de un nuevo enfoque vital que tanto los desarrolladores como las empresas para las que trabajan necesitan para garantizar que mejoran constantemente sus habilidades de desarrollo de software seguro, al tiempo que cumplen los nuevos requisitos de Secure-by-Design.

‍

Ha sido alentador ver cómo el movimiento Secure-By-Design (SBD) de CISA ha cobrado impulso en todo el mundo, ya que Estados Unidos, Australia, Nueva Zelanda, Canadá, Singapur, Japón, Alemania y el Reino Unido se han comprometido a incorporar directrices similares en sus estrategias de ciberseguridad más amplias, y muchas de estas naciones también han contribuido a las recomendaciones originales.

Desde abril de 2024, más de 200 empresas, entre ellas Secure Code WarriorDesde abril de 2024, más de 200 empresas, entre las que se incluye el Reino Unido, han firmado el compromiso "Secure-by-Design", lo que indica un compromiso más amplio de la industria para mejorar la calidad del software y las normas de seguridad. Vemos estas directrices como un momento crucial para los líderes de la ciberseguridad que, por primera vez, cuentan con el apoyo de un gobierno mundial para un cambio cultural significativo en el desarrollo de software. Aunque estas recomendaciones aún no son obligatorias fuera de los proveedores de software que venden directamente al gobierno de EE.UU., veo esto no sólo como el futuro, sino como una oportunidad de oro para empezar a luchar contra los actores de amenazas. Un aspecto central de las directrices es el esfuerzo por eliminar las categorías de vulnerabilidades, y la concentración de toda la industria en este objetivo podría suponer el impacto positivo más significativo en la seguridad digital en décadas.

Creemos que este movimiento es fundamental, y nuestro último documento de investigación, Benchmarking Security Skills: Racionalización de la seguridad por diseño en la empresa es el resultado de un análisis en profundidad de iniciativas reales de Secure-by-Design a nivel empresarial, y de la derivación de enfoques de mejores prácticas basados en conclusiones basadas en datos. 

Medición del ROI de los esfuerzos de seguridad por diseño de las organizaciones

La revisión de las prácticas de desarrollo de software establecidas desde hace mucho tiempo no es una tarea fácil. Los CISO suelen enfrentarse a desafíos cuando intentan demostrar el retorno de la inversión (ROI) y el valor comercial de las actividades del programa de seguridad, tanto a nivel de personal como de empresa, y muchos expresan una creciente frustración por la reducción presupuestaria y la falta de aceptación por parte de los altos ejecutivos de las nuevas iniciativas cibernéticas. Sin embargo, una propuesta respaldada por datos marcará la diferencia en este caso. 

En los últimos años, la ausencia de un parámetro de referencia de habilidades que permita a las organizaciones evaluar su desempeño en relación con los estándares de la industria ha sido un desafío clave. Esto ha dificultado enormemente la creación e implementación de programas de seguridad que impacten en las áreas adecuadas y fomenten la mejora continua del grupo de desarrollo, un elemento crucial para el éxito de las prácticas de seguridad de software. 

La clave para que las iniciativas de seguridad por diseño funcionen no es solo brindarles a los desarrolladores las habilidades necesarias para garantizar la seguridad del código, sino también garantizarles a los reguladores que esas habilidades están en su lugar. Por eso, decidimos analizar la preparación del equipo de desarrolladores y los resultados pueden sorprender.

Cómo las empresas que intentan acelerar sus iniciativas de SBD pueden aprovechar el índice de confianza

Es prácticamente imposible mejorar de manera eficiente sin una idea clara de dónde se comienza y hacia dónde se debe llegar. Sin embargo, cientos de clientes empresariales utilizan de manera eficaz SCW Trust Score (una referencia global que cuantifica las competencias de seguridad de los equipos de desarrolladores) para proporcionar estos puntos de datos útiles y granulares. Estos conocimientos dan forma a programas de seguridad altamente efectivos, impulsados por los desarrolladores, que favorecen el éxito de las iniciativas Secure-by-Design.

El análisis revelado en nuestro informe técnico muestra que las organizaciones de las principales industrias de infraestructura crítica están avanzando en la preparación de sus desarrolladores para avanzar en sus iniciativas de SBD. También descubrimos que los equipos de desarrolladores de estas industrias poseen una postura de seguridad promedio.

Secure Code Warrior El análisis de la capacitación de desarrolladores en las industrias de infraestructura crítica se basa en información obtenida de más de 20 millones de puntos de datos, de 600 clientes empresariales y más de 250.000 desarrolladores activos en todo el mundo. El análisis concluyó que:

• El número total de desarrolladores que actualmente participan en iniciativas de capacitación de SBD centradas en el desarrollador es menos del 4% de todos los desarrolladores a nivel mundial;
• La industria de servicios financieros tuvo el puntaje de confianza más alto, 336;
• La mayoría de las iniciativas de capacitación a gran escala de Secure-by-Design tienen éxito, mientras que las iniciativas a menor escala tienden a ser dispersas. Sin embargo, cuando se les da un mandato, se ha demostrado que ofrecen un retorno de la inversión (ROI) mensurable más rápidamente;
• Cuando las iniciativas de capacitación están firmemente en marcha, los riesgos introducidos por los desarrolladores en las aplicaciones son considerablemente menores. El análisis determinó que los desarrolladores que participan en grandes iniciativas de capacitación (más de 7000 desarrolladores en una sola empresa) pueden reducir de manera previsible las vulnerabilidades entre un 47 y un 53 %.

La solución | Conclusión

SCW Trust Score es una herramienta poderosa en el arsenal de cualquier líder de seguridad, que permite un análisis exhaustivo de áreas específicas dentro de una organización. Los informes se pueden filtrar según idiomas, equipos o categorías, lo que genera informes personalizados que permiten a las empresas abordar las necesidades específicas de los desarrolladores o equipos e identificar las áreas en las que se necesita capacitación o entrenamiento adicional. Después de todo, la seguridad es una tarea interminable; una evaluación comparativa eficaz del rendimiento ayudará a identificar oportunidades para la mejora continua.

El desarrollo y la implementación acelerados de software, junto con un panorama de amenazas cibernéticas cada vez más amenazador y unos reguladores cada vez más atentos, han puesto la ciberseguridad en primer plano. Las organizaciones, si aún no lo han hecho, deben priorizar el desarrollo de una cultura de seguridad en toda la empresa.

Los usuarios de Linux no lo han tenido fácil últimamente, con varias vulnerabilidades de alta gravedad que han afectado al sistema de diversas maneras en los últimos años. Los investigadores de seguridad tienen ahora otro grupo de vulnerabilidades que desentrañar, todas ellas relacionadas con la función Common UNIX Printing System (CUPS) dirigida a sistemas GNU/Linux con una vía potencial para una potente Ejecución Remota de Código (RCE).

El 27 de septiembre de 2024, Simone Margaritelli de evilsocket.net publicó información crítica sobre varias vulnerabilidades explotables en CUPS, con CVEs posteriormente asignados a cuatro de ellas. Este número podría aumentar, pero en el momento de escribir estas líneas, la comunidad de seguridad está debatiendo la gravedad real de estos descubrimientos. Mientras que uno de los CVEs, CVE-2024-47177, tiene una calificación actual de gravedad crítica de 9.1 de MITRE, la manipulación exitosa de este fallo de inyección de comandos depende de servidores con el servicio CUPS habilitado y, además, requiere acceso al puerto UDP 631 o DNS-SD. RedHat señala, sin embargo, que es posible reasignar CUPS a un puerto diferente. 

El exhaustivo desglose del incidente realizado por Margaritelli revela una insidiosa y compleja cadena de ataques que, a pesar de los desacuerdos de la comunidad, no debe ignorarse. Nos ofrece una lección sobre dependencias aparentemente inocuas que pueden explotarse en profundidad si un actor de la amenaza está lo suficientemente decidido y si se han dejado pequeñas ventanas de oportunidad abiertas por patrones de codificación deficientes.

El escenario de CUPS es un poco diferente de lo que muchos desarrolladores y profesionales de AppSec pueden haber experimentado previamente, así que vamos a echar un vistazo y poner a prueba tus habilidades en el camino.

La vulnerabilidad: Ejecución remota de código (RCE) a través de CUPS

El blog Evilsocket proporciona una información inigualable y exhaustiva sobre estos exploits, y es un recurso que seguiremos de cerca. Margaritelli también cita una fuente anónima en su artículo, que no parece optimista sobre la solidez general de la seguridad de Linux:

‍

"Desde un punto de vista de seguridad genérico, todo un sistema Linux tal y como es hoy en día no es más que un lío interminable y sin remedio de agujeros de seguridad esperando a ser explotados."

Se trata de un recordatorio aleccionador de los riesgos de seguridad inherentes que siguen prevaleciendo en los entornos de código abierto, por no mencionar la urgente necesidad de una mayor concienciación en materia de seguridad y de conocimientos de codificación segura entre la comunidad mundial de desarrolladores.

Echemos un vistazo a los CVE:

• CVE-2024-47177
• CVE-2024-47176
• CVE-2024-47076
• CVE-2024-47175

‍Lacadena de vulnerabilidades está muy extendida, y actualmente afecta a todas las versiones actuales y anteriores de los siguientes paquetes:

• distrotech/tazas-filtros
• OpenPrinting/tazas-filtros
• Cups-browsed
• libcupsfilters
• libppd
  
  

CUPS ha sido un componente heredado de los sistemas operativos UNIX y Linux durante más de dos décadas. Su función como dependencia de servicios de impresión hace que esté ansioso por realizar peticiones de red, lo que lo convierte en un objetivo principal para las vulnerabilidades de clase RCE.

En este caso, sin embargo, hay algo de ingenio en la forma en que los ataques se combinan para proporcionar un resultado exitoso. Se trata esencialmente de la capacidad de un atacante no autenticado y no detectado para sustituir las URL del Protocolo de Impresión por Internet (IPP) por otras maliciosas, además de modificar directivas que pueden provocar la inyección de comandos en el "archivo PPD (PostScript Printer Description)", que es un archivo utilizado para describir las características de la impresora recién añadida. Esto resulta en un ataque de ejecución de comandos una vez que se activa un trabajo de impresión, y se basa en una falta de validación de entrada dentro de los componentes de CUPS.

Además, solucionar esta vulnerabilidad en particular crea una especie de arma de doble filo, como señala Evilsocket. CUPS incluye el filtro foomatic-rip, un ejecutable con un historial previo como componente explotable de alto riesgo. Las CVE relacionadas con este componente se remontan a 2011, y aunque se ha establecido que foomatic-rip puede aprovecharse para ejecutar comandos del sistema operativo, solucionarlo causa problemas de estabilidad y pérdida de compatibilidad con muchas impresoras antiguas. Se trata de un problema complejo de superar.

1. El actor de la amenaza inicia el ataque
   1. CVE-2024-47176: cups-browsed <= 2.0.1 is vulnerable because it binds to UDP port 631 using INADDR_ANY, which means it trusts any packet received from any source. This allows an unauthenticated remote attacker to send a malicious UDP packet with a manipulated IPP URL (pointing to the attacker-controlled IPP server), triggering the vulnerability. The victim’s machine now thinks it’s connecting to a new printer and sends a request asking for printer attributes.
2. El sistema víctima procesa los atributos de la impresora
   1. CVE-2024-47076: libcupsfilters <= 2.1b1 has a vulnerability in cfGetPrinterAttributes5, which does not properly validate or sanitize the IPP attributes returned from an IPP server. When cups-browsed processes the packet, it can be tricked into reading malicious attributes sent by the attacker.
3. El sistema víctima se conecta al servidor IPP del atacante-controlador
   1. CVE-2024-47175: libppd <= 2.1b1 in the ppdCreatePPDFromIPP2 function does not properly validate or sanitize IPP attributes when saving them to a temporary PPD (PostScript Printer Description) file. This allows the attacker to inject arbitrary data into a PPD file, including the FoomaticRIPCommandLine directive, which the printing system can later execute.
4. Victim system initiates print job and attacker’s code is executed
   CVE-2024-47177: cups-filters <= 2.0.1 is vulnerable because the foomatic-rip filter executes arbitrary commands through the FoomaticRIPCommandLine directive, allowing the attacker to run commands as the cups-browsed process. The attacker waits for the victim’s machine to initiate a print job. The moment this happens, the attacker’s malicious code will be executed (Remote Code Execution).

¿Cómo mitigar el riesgo de RCE?

Las empresas que utilicen CUPS como parte de sus operaciones comerciales deben seguir los consejos de corrección recomendados por Evilsocket y RedHat. Esto incluye, pero no se limita a, la aplicación de parches de seguridad como una prioridad de nivel de emergencia.

Para la inyección de comandos en general, consulte nuestra guía completa.

Si está interesado en obtener más directrices de codificación gratuitas, consulte Secure Code Coach, que le ayudará a mantenerse al día de las mejores prácticas de codificación segura.

Información práctica para medir sus esfuerzos de aprendizaje de código seguro 

Maximizar el valor de su programa de aprendizaje de código seguro depende en gran medida del compromiso de sus usuarios. El mundo de la ciberseguridad es un paisaje en constante evolución con nuevas amenazas, así como oportunidades para fortalecer su postura general de seguridad. Adoptar un enfoque proactivo de la seguridad de su código requiere un aprendizaje continuo del código seguro para maximizar la eficacia y relevancia del programa. Para ello, los responsables de los programas deben tener un conocimiento claro de la participación de los usuarios, no sólo en un momento determinado, sino a lo largo de periodos prolongados, con el fin de identificar tendencias y optimizar el rendimiento del programa.

Por eso nos complace anunciar un nuevo informe diseñado para medir el compromiso de sus usuarios que facilita la detección de tendencias clave y la identificación de cuándo tomar medidas dentro de su organización. Con esta nueva información, las organizaciones no solo pueden hacer más para maximizar el retorno de la inversión en aprendizaje seguro de código, sino también mejorar de forma duradera su postura de ciberseguridad.

Novedades de este informe

El informe Engagement Insights presenta una serie de estadísticas clave relevantes para su programa de aprendizaje ágil, durante el período de tiempo seleccionado (por defecto, los últimos 12 meses), todo lo cual también es accesible a través de la API de informes. El informe de participación proporciona una visión rápida y sencilla del número de nuevos alumnos que han participado activamente en el programa ágil de SCW learning platform durante este periodo de tiempo, los alumnos activos que han participado en la plataforma y el número actual de alumnos habilitados.

‍

‍

Estos totales son sólo el principio. Puede desglosar cómo han interactuado sus alumnos con la plataforma y descubrir las tendencias de los alumnos activos durante el periodo de tiempo seleccionado. Con esta información puedes planificar comunicaciones (boletines internos, blogs) u otras actividades de compromiso para que los desarrolladores vuelvan a perfeccionar sus habilidades.

‍

Del mismo modo, el desglose de la última actividad de aprendizaje muestra la última vez que sus alumnos han utilizado la plataforma SCW. Como en cualquier forma de aprendizaje, el recuerdo de los conceptos se desvanece con el tiempo. Lo ideal es que la mayor parte de los alumnos estén agrupados en los dos primeros grupos de actividad reciente. Este tipo de agrupación no sólo mantiene frescas las habilidades de los desarrolladores, sino que mejora la puntuación de confianza de SCW de su organización al evitar la pérdida de habilidades con el paso del tiempo.

‍

‍

Y la información va más allá de la frecuencia y la recurrencia. El informe de compromiso ofrece un desglose de la cantidad de tiempo que los alumnos han pasado en las diferentes partes de la plataforma Secure Code Warrior durante el período de tiempo seleccionado. Los administradores pueden utilizar esta información para identificar los factores que impulsan la participación de los usuarios. ¿Ha pasado algún tiempo desde la última vez que organizó un SCW tournament, podría ser una oportunidad para volver a involucrar a una parte de su cohorte de desarrolladores? ¿Los alumnos utilizan el módulo Explorar para ampliar sus horizontes fuera del contenido de aprendizaje estructurado en Courses o Evaluaciones? Identificar los tipos de alto compromiso, así como los usuarios de alto nivel, ofrece oportunidades para diseñar programas que encantarán a los desarrolladores y celebrar a sus líderes activos.

‍

Como puede ver, hay muchas formas de medir el compromiso de sus alumnos con su programa de aprendizaje ágil. Seguimos dedicados a proporcionar nuevas perspectivas e informes para impulsar los resultados de aprendizaje más eficaces y las mejoras en la postura de ciberseguridad de su organización. Permanezca atento a las próximas novedades y háganos saber si tiene preguntas, comentarios o datos específicos que le gustaría ver para optimizar su programa.

‍

Reducir la deuda de seguridad es algo que todas las empresas se esfuerzan por conseguir. ¿Cómo minimizar la cantidad de vulnerabilidades de seguridad? ¿Cómo se acelera el tiempo de comercialización al tiempo que se garantiza que el código que se genera es de primera clase?  

Al igual que muchas empresas, DigitalOcean eligió Secure Code Warrior para impulsar la innovación digital y la modernización mediante la creación y publicación de código de calidad desde el principio con desarrolladores conscientes de la seguridad.  

DigitalOcean, que ofrece recursos informáticos escalables y un conjunto de soluciones en la nube que permiten a los desarrolladores desplegar, gestionar y escalar aplicaciones sin esfuerzo, recurrió a Secure Code Warrior cuando la empresa amplió y aumentó sus equipos de ingeniería. En el vertiginoso sector de la tecnología, la empresa necesitaba asegurarse de que sus desarrolladores pudieran identificar los patrones de codificación deficientes más comunes que surgían en las revisiones de diseño para poder evitar de forma proactiva que se repitieran. 

Como señaló Ari Kalfus, director senior de seguridad de productos, "Necesitábamos una solución específica para los desarrolladores, práctica y centrada en los riesgos a los que se enfrentaba nuestra organización". Secure Code Warrior cumplió este requisito, y uno de los resultados más notables fue la capacidad de reforzar rápida y regularmente las prácticas de codificación segura. Esto condujo a una marcada disminución de la deuda de seguridad en todos los equipos. En general, DigitalOcean ha descubierto que los equipos formados con SCW no solo eran más expertos en identificar y mitigar los problemas de seguridad, sino que ahora también tienen la confianza para ampliar los límites de la innovación sin comprometer la seguridad.

Lea más aquí sobre cómo DigitalOcean redujo su deuda global de seguridad... y ahora está utilizando su excedente de seguridad para ampliar aún más los límites de la productividad y la innovación.

Secure-by-Design es la última iniciativa en boca de todos, y el gobierno australiano, colaborando con CISA en los niveles más altos de la gobernanza mundial, está guiando un estándar más alto de calidad de software y seguridad de los vendedores.

Un repunte significativo en la seguridad del software requerirá una oleada de apoyo para la creación de habilidades de seguridad y, cuando se trata de desarrolladores, un énfasis en el aprendizaje continuo en torno a las mejores prácticas de codificación segura. Resulta reconfortante asistir a un nuevo capítulo de la industria, en el que los gobiernos de todo el mundo están dando ejemplo y proporcionando orientaciones adecuadas para mitigar las insidiosas vulnerabilidades a nivel de código.

La Australian Women in Security Network (AWSN) ha trabajado incansablemente para promover la presencia de más mujeres en puestos de ciberseguridad en Australia. Nosotros, junto con el Commonwealth Bank (CBA), organizamos recientemente un concurso de codificación segura tournament para que desarrolladores y profesionales expertos en seguridad mostraran sus habilidades en un entorno amistoso y competitivo.

El acto del 17 de julio contó con una nutrida asistencia de mujeres increíbles que representaban a múltiples verticales, y es seguro decir que sus contribuciones ayudarán a convertir a Australia en una de las naciones más ciberseguras del mundo en 2030.

Aval para un futuro más seguro

Tuvimos la suerte de contar con la presencia de la Teniente General Michelle McGuiness, Coordinadora de Ciberseguridad de Australia, en el evento conjunto AWSN/CBA/SCW tournament . Sus palabras, que se refirieron directamente a las iniciativas australianas Six Cyber Shields (Seis escudos cibernéticos) y respaldaron los principios de seguridad por diseño, resonaron en la sala de dedicados profesionales cibernéticos comprometidos con los cambios positivos y los estándares más altos de diseño y ejecución de software:

‍

‍

Queremosque todo el país participe en la resolución de los problemas [de ciberseguridad], y eso incluye asegurarnos de que creamos una mano de obra cibernética fuerte y diversa y, por supuesto, integradora y acogedora".

Nuestra estrategia se articula en torno a seis escudos cibernéticos que ayudan a proteger nuestras empresas, nuestras organizaciones y nuestros ciudadanos. Quizá lo más pertinente para el acto de hoy sea nuestro trabajo en el marco de la estrategia que se centra en la seguridad desde el diseño y la seguridad por defecto. Deberíamos confiar plenamente en que no nos expondremos a riesgos innecesarios cuando compremos dispositivos digitales o programas informáticos.

Y, por supuesto, la industria tiene un gran papel que desempeñar a la hora de ayudarnos a fomentar, hacer crecer y apoyar estas vías en beneficio de su empresa, en beneficio de nuestra economía... y de la seguridad de nuestra nación... Felicito a Secure Code Warrior y a la CBA, así como a... la AWSN, por su liderazgo a la hora de reunir el actode hoy".

¿Qué pasa cuando codificas como una chica?

Siempre me ha llamado la atención algo increíble cada vez que celebramos eventos a gran escala como éste en tournament . Suelen participar en ellos decenas de miles de desarrolladores y, como ocurre estadísticamente en todo el sector, un porcentaje bastante pequeño de los participantes son mujeres.

Sin embargo, a menudo una participante femenina acaba en el podio de los ganadores y comparte la bolsa de premios. Creo que esto dice mucho a favor de la inclusión de las mujeres en espacios tradicionalmente dominados por hombres. No sólo pertenecen a ellos, sino que pueden sobresalir y ser una fuerza de aspiración dentro de sus equipos.

La competencia fue feroz en este evento, y nuestras ganadoras absolutas, Bella Howard y Shanelle Haire, tienen claramente un futuro brillante en la vanguardia de las prácticas de seguridad impulsadas por los desarrolladores. Comentaron su victoria:

"Estamos encantados de haber ganado. Trabajar en equipo ha sido fundamental para nuestro éxito: creemos que nuestras diversas habilidades y experiencias se complementan a la perfección.

También queremos reconocer que todo el mundo tuvo una actuación excepcional. Nos sentimos muy honrados de haber ganado y disfrutamos mucho del evento. Esperamos veros en la próxima".

Conozcámoslos un poco mejor:

‍

• ¿Cuánto tiempo lleva trabajando en sus habilidades de codificación segura?

Los dos estudiamos una doble licenciatura en informática, donde empezaron a tomar forma nuestras aptitudes para la codificación segura. Bella se interesó mucho por la ciberseguridad y ambos asistimos a eventos y talleres para ampliar nuestros conocimientos en este campo.

A través de nuestro empleo, hemos tenido la oportunidad de utilizar Secure Code Warrior, que ha sido fundamental en nuestro desarrollo. El enfoque de Bella en las prácticas de codificación segura mejora sus conocimientos como analista de seguridad, mientras que el papel de Shanelle como ingeniera de software exige una mentalidad segura, por lo que la codificación segura es una parte esencial de sus responsabilidades.

• ¿Tiene algún consejo para las mujeres en el campo de las ciencias, la tecnología y la ingeniería que están empezando su carrera profesional?

Recomendamos encarecidamente participar en comunidades de seguridad y aprender de quienes ya trabajan en este campo. Unirse a comunidades dirigidas por mujeres también es una forma fantástica de obtener el apoyo de mujeres que han estado en tu lugar y pueden ofrecerte una valiosa orientación y aliento.

Asista a eventos como Secure Coding Tournament y otros talleres relacionados con el sector para aprender y establecer contactos mientras se divierte. Busca mentores que puedan guiarte a lo largo de tu carrera y ofrecerte valiosas ideas. No espere a sentir que lo sabe todo antes de empezar: la experiencia práctica es la mejor manera de aprender.

• ¿Qué haría para promover la importancia de las buenas prácticas de ciberseguridad?

Es crucial subrayar que la seguridad es responsabilidad de todos. Para que la seguridad sea eficaz en profundidad, todas las personas que trabajan en la pila tecnológica, así como todos los usuarios de la tecnología, deben ser conscientes de las mejores prácticas de seguridad y adherirse a ellas. Si fomentamos una cultura en la que la seguridad se considere una responsabilidad colectiva, podremos proteger mejor nuestros sistemas y datos.

‍

Damos las gracias a todos los participantes y esperamos colaborar con la AWSN en futuros proyectos.

‍

Las organizaciones entienden que los principios de seguridad desde el diseño sólo se aplican con éxito a través de la seguridad impulsada por los desarrolladores. Después de todo, los desarrolladores son los que diseñan, construyen y, en última instancia, comprometen el código que alimenta el software de una organización. Garantizar que estos inestimables colaboradores tengan los conocimientos y habilidades necesarios para aplicar las mejores prácticas de código seguro es absolutamente fundamental. Sin embargo, el desafío de implementar esto a menudo se reduce a alinear el conocimiento y las habilidades de código seguro de los desarrolladores con los lenguajes de programación que utilizan cuando construyen software.

Este reto se complica aún más por el gran volumen y la mezcla de lenguajes de programación que se utilizan en la base de código de una organización, a menudo con total desconocimiento de los equipos de seguridad. Entonces, ¿cómo pueden los CISO, los responsables de seguridad de aplicaciones y los responsables de ingeniería garantizar que el código que se produce y se confirma está respaldado por el conocimiento y las habilidades de un desarrollador en el lenguaje de programación específico de esa confirmación?
‍

Presentación de SCW Trust Agent

Secure Code Warrior ha lanzado SCW Trust Agent para responder a esta difícil pregunta. SCW Trust Agent ofrece a los responsables de seguridad la visibilidad y el control necesarios para ampliar la seguridad impulsada por los desarrolladores, lo que permite a estos y a los equipos entregar código con mayor rapidez y, al mismo tiempo, mantener y mejorar la seguridad de lo comprometido.
‍

¿Cómo funciona el agente fiduciario SCW?

SCW Trust Agent se conecta a su repositorio de código para evaluar los metadatos de cada confirmación de código. Inspecciona al desarrollador que realizó la confirmación, los lenguajes de programación utilizados y la fecha exacta en que se envió el código. A continuación, combina este análisis con los datos y la información de SCW's agile learning platform para determinar si el desarrollador tiene suficientes conocimientos de seguridad en ese lenguaje de programación específico. Basándose en esta información, devuelve una calificación sobre la salud de esa confirmación de acuerdo con la configuración de su política. Estas políticas son personalizables y configurables por los usuarios administradores, que pueden establecer directrices y requisitos específicos para los commits que pueden tener un umbral de requisitos mayor o menor en función de la sensibilidad general de ese proyecto o repositorio.
‍

Reforzar su postura de seguridad

Disponer de esta visibilidad y de un control personalizable no sólo proporciona a una organización información sobre el estado general de las confirmaciones en todos sus repositorios, sino también las herramientas que necesita para reforzar su postura de seguridad, mitigando el riesgo mediante un enfoque proactivo. SCW Trust Agent trata de garantizar que los desarrolladores conozcan y sepan las implicaciones de seguridad del lenguaje de codificación específico que utilizan cuando van a realizar una confirmación. Esta garantía reduce la probabilidad de introducir inadvertidamente una vulnerabilidad en el código que pueda ser explotada.
‍

Optimizar el ciclo de vida del desarrollo

Este enfoque proactivo no sólo mejora la postura global de seguridad de una organización, sino que también puede impulsar nuevas optimizaciones en el ciclo de vida del desarrollo. Al garantizar que los desarrolladores tienen conocimientos y habilidades de código seguro en el lenguaje de su compromiso, se reduce el número de vulnerabilidades introducidas que más tarde tendrían que ser identificadas y remediadas. La remediación y el retrabajo tienden a ser grandes pérdidas de tiempo para los desarrolladores, a menudo interrumpiendo su flujo de trabajo y afectando a su velocidad. La reducción de vulnerabilidades a través de un enfoque proactivo minimiza estos ciclos de remediación manteniendo a los equipos de desarrollo enfocados en la entrega de código y capacidades de alto valor.
‍

Ampliación de la seguridad impulsada por los desarrolladores

SCW Trust Agent proporciona a las organizaciones las herramientas que necesitan para ampliar sus programas de seguridad impulsados por los desarrolladores. Los CISO y los equipos de seguridad de aplicaciones tienen la visibilidad y el control que necesitan para aplicar una gobernanza adecuada, cumplir e incluso superar las normas de cumplimiento con información detallada sobre el diseño, la aplicación y el cumplimiento de las políticas. Por su parte, los desarrolladores están capacitados para entregar código seguro con mayor rapidez gracias a la formación en código seguro específica para los lenguajes que utilizan en el código que entregan.

SCW Trust Agent funciona con cualquier herramienta de gestión de código fuente basada en Git y la conexión de su repositorio de código es sencilla gracias a las múltiples opciones de conectividad, que incluyen la carga local, basada en la nube y manual. Para obtener más información, visite www.scwtrustagent.com o póngase en contacto con nosotros, nos encantaría hablar sobre cómo podemos ayudar a su organización a fortalecer su postura de seguridad y escalar la seguridad impulsada por los desarrolladores.

‍