Para los desarrolladores que deseen ayudar en la lucha contra la ciberdelincuencia, la formación consta de dos partes.
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y sindicado aquí.
El campo de juego entre los héroes y los villanos de la ciberseguridad es notoriamente injusto. Los datos sensibles son el nuevo oro, y los atacantes se adaptan rápidamente para burlar las defensas, explotando los fallos de seguridad grandes y pequeños para obtener un potencial botín.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad -cada vez más escasos- puedan enfrentarse a él, y el creciente coste de las violaciones de datos es la prueba de que algo tiene que ceder. Afortunadamente, por el bien de nuestra seguridad digital y la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a incorporar a los desarrolladores en el viaje de la seguridad desde el principio del proceso de desarrollo de software. Se les está reconociendo como la primera línea de defensa contra los ciberatacantes, con el poder de eliminar las vulnerabilidades comunes a su alcance.
Sin embargo, sus capacidades defensivas sólo son tan buenas como la formación que reciben, y eso es otro guante que los equipos de seguridad deben correr. Para muchos desarrolladores que reciben formación en codificación segura en el trabajo, su principal desafío es mantenerse despiertos durante las actividades que no requieren intervención y que no son efectivas, ni les inspiran a mantener la seguridad en primer plano. El vídeo sin alma courses no nos está llevando a ese punto, los eventos anuales simbólicos de "marcar la casilla" son una pérdida de tiempo, y nadie está ganando contra el potencial actor de la amenaza maliciosa que está esperando para saltar en una pequeña ventana de oportunidad.
En esta etapa de nuestra industria, hemos descubierto que la educación contextual y práctica que se imparte en lenguajes y marcos de programación relevantes, con retos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a acabar con las vulnerabilidades comunes, pero la segunda fase es donde los escenarios deben ser reales para una fuerza defensiva supercargada y consciente de la seguridad.
El aprendizaje con andamios es fundamental en la educación de adultos
Cuando se trata de una formación extracurricular courses o en el puesto de trabajo, a menudo se pasa por alto que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación se suma a esta base y está estructurada de manera que permite una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamiaje es un método de aprendizaje potente y positivo que trata de activar y mejorar la experiencia previa, al tiempo que continúa construyendo nuevas habilidades -en trozos manejables- que permiten al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, se trata de una metodología que se complementa con buenas dosis de demostración, ayudas visuales y exploración dirigida por el alumno.
Si relacionamos este enfoque con la formación en seguridad de los desarrolladores, no es de extrañar que se prefiera desde hace tiempo el método dinámico de aprender haciendo en lugar de la monotonía del aprendizaje estático basado en la teoría. Los desarrolladores son libres de ser los dueños de su dominio, y deben ver que su tiempo está bien empleado.
En ese sentido, aprender a codificar de forma segura en un entorno hiperrelevante y contextual es clave, pero el "nivel superior" de este paso es ver un exploit de código vulnerable en acción. Con el contexto de las vistas del frontend y del backend una al lado de la otra, hay un vínculo tangible entre las acciones realizadas durante el proceso de codificación, y lo que un atacante puede hacer potencialmente con esquinas cortadas, configuraciones erróneas, o accidentes que no son detectados y remediados.
Pase de la retirada a la aplicación para un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas de la educación, y es una bestia bastante rara, incluso con las opciones de formación de seguridad más modernas para los desarrolladores. El trabajo fundacional dedicado a perfeccionar las habilidades para detectar y remediar las vulnerabilidades, y recordar esa experiencia para eliminar los mismos errores en el código a medida que se escribe es extremadamente importante, pero no es el cuadro completo. Ver cómo un código vulnerable es explotado por un actor malintencionado añade una poderosa capa de contexto, que realmente hace hincapié en la importancia de asegurar el código, y aplicar los conocimientos de seguridad ganados con esfuerzo para cerrar cada ventana de oportunidad.
Está generalmente aceptado que a los desarrolladores no les gusta la seguridad, y les gusta aún menos la formación en seguridad. Sus experiencias con los especialistas en seguridad de las aplicaciones pueden ser muy frías, y el retrabajo causado por el equipo de seguridad que devuelve el código vulnerable a los desarrolladores para que lo corrijan es la perdición de su existencia. Para un equipo de ingenieros que ya está muy disperso, la seguridad es un problema ajeno, no su prioridad, y un obstáculo para su creatividad natural y su objetivo principal de crear funcionalidades. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiado riesgo para los datos del mundo para que esta mentalidad continúe.
Un proceso funcional de DevSecOps hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de un aprendizaje aplicado en el que puedan interactuar con un exploit simulado y ver el impacto de un código mal protegido contribuye en gran medida a que los desarrolladores se pongan de acuerdo con esos molestos responsables de la seguridad de las aplicaciones (que no son tan malos después de todo).
El aprendizaje interactivo prepara a los desarrolladores para la lucha de jefes
En el momento de redactar este informe, se habían producido dos importantes filtraciones en un periodo de 7 días: Razer anunció que se habían expuesto más de 100.000 registros de datos sensibles, mientras que la cadena de suministros de oficina Staples también informó de una filtración de datos similar. Más de mil millones de registros sensibles han sido expuestos en lo que va de 2020, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores maliciosos tienen la sartén por el mango, y los desarrolladores conscientes de la seguridad son muy necesarios para servir como primera línea de defensa.
Losretos interactivos que se centran en la simulación de tales infracciones hacen que los desarrolladores pasen de la memoria pasiva a la aplicación de habilidades que tienen un impacto en la verdadera lucha de jefes: detener a los atacantes en su camino.
Las condiciones de competencia entre héroes y villanos en materia de ciberseguridad son, como es sabido, injustas. Los datos sensibles son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las medidas de defensa y aprovechan las brechas de seguridad, grandes y pequeñas, para obtener posibles beneficios económicos.
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y sindicado aquí.
El campo de juego entre los héroes y los villanos de la ciberseguridad es notoriamente injusto. Los datos sensibles son el nuevo oro, y los atacantes se adaptan rápidamente para burlar las defensas, explotando los fallos de seguridad grandes y pequeños para obtener un potencial botín.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad -cada vez más escasos- puedan enfrentarse a él, y el creciente coste de las violaciones de datos es la prueba de que algo tiene que ceder. Afortunadamente, por el bien de nuestra seguridad digital y la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a incorporar a los desarrolladores en el viaje de la seguridad desde el principio del proceso de desarrollo de software. Se les está reconociendo como la primera línea de defensa contra los ciberatacantes, con el poder de eliminar las vulnerabilidades comunes a su alcance.
Sin embargo, sus capacidades defensivas sólo son tan buenas como la formación que reciben, y eso es otro guante que los equipos de seguridad deben correr. Para muchos desarrolladores que reciben formación en codificación segura en el trabajo, su principal desafío es mantenerse despiertos durante las actividades que no requieren intervención y que no son efectivas, ni les inspiran a mantener la seguridad en primer plano. El vídeo sin alma courses no nos está llevando a ese punto, los eventos anuales simbólicos de "marcar la casilla" son una pérdida de tiempo, y nadie está ganando contra el potencial actor de la amenaza maliciosa que está esperando para saltar en una pequeña ventana de oportunidad.
En esta etapa de nuestra industria, hemos descubierto que la educación contextual y práctica que se imparte en lenguajes y marcos de programación relevantes, con retos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a acabar con las vulnerabilidades comunes, pero la segunda fase es donde los escenarios deben ser reales para una fuerza defensiva supercargada y consciente de la seguridad.
El aprendizaje con andamios es fundamental en la educación de adultos
Cuando se trata de una formación extracurricular courses o en el puesto de trabajo, a menudo se pasa por alto que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación se suma a esta base y está estructurada de manera que permite una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamiaje es un método de aprendizaje potente y positivo que trata de activar y mejorar la experiencia previa, al tiempo que continúa construyendo nuevas habilidades -en trozos manejables- que permiten al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, se trata de una metodología que se complementa con buenas dosis de demostración, ayudas visuales y exploración dirigida por el alumno.
Si relacionamos este enfoque con la formación en seguridad de los desarrolladores, no es de extrañar que se prefiera desde hace tiempo el método dinámico de aprender haciendo en lugar de la monotonía del aprendizaje estático basado en la teoría. Los desarrolladores son libres de ser los dueños de su dominio, y deben ver que su tiempo está bien empleado.
En ese sentido, aprender a codificar de forma segura en un entorno hiperrelevante y contextual es clave, pero el "nivel superior" de este paso es ver un exploit de código vulnerable en acción. Con el contexto de las vistas del frontend y del backend una al lado de la otra, hay un vínculo tangible entre las acciones realizadas durante el proceso de codificación, y lo que un atacante puede hacer potencialmente con esquinas cortadas, configuraciones erróneas, o accidentes que no son detectados y remediados.
Pase de la retirada a la aplicación para un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas de la educación, y es una bestia bastante rara, incluso con las opciones de formación de seguridad más modernas para los desarrolladores. El trabajo fundacional dedicado a perfeccionar las habilidades para detectar y remediar las vulnerabilidades, y recordar esa experiencia para eliminar los mismos errores en el código a medida que se escribe es extremadamente importante, pero no es el cuadro completo. Ver cómo un código vulnerable es explotado por un actor malintencionado añade una poderosa capa de contexto, que realmente hace hincapié en la importancia de asegurar el código, y aplicar los conocimientos de seguridad ganados con esfuerzo para cerrar cada ventana de oportunidad.
Está generalmente aceptado que a los desarrolladores no les gusta la seguridad, y les gusta aún menos la formación en seguridad. Sus experiencias con los especialistas en seguridad de las aplicaciones pueden ser muy frías, y el retrabajo causado por el equipo de seguridad que devuelve el código vulnerable a los desarrolladores para que lo corrijan es la perdición de su existencia. Para un equipo de ingenieros que ya está muy disperso, la seguridad es un problema ajeno, no su prioridad, y un obstáculo para su creatividad natural y su objetivo principal de crear funcionalidades. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiado riesgo para los datos del mundo para que esta mentalidad continúe.
Un proceso funcional de DevSecOps hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de un aprendizaje aplicado en el que puedan interactuar con un exploit simulado y ver el impacto de un código mal protegido contribuye en gran medida a que los desarrolladores se pongan de acuerdo con esos molestos responsables de la seguridad de las aplicaciones (que no son tan malos después de todo).
El aprendizaje interactivo prepara a los desarrolladores para la lucha de jefes
En el momento de redactar este informe, se habían producido dos importantes filtraciones en un periodo de 7 días: Razer anunció que se habían expuesto más de 100.000 registros de datos sensibles, mientras que la cadena de suministros de oficina Staples también informó de una filtración de datos similar. Más de mil millones de registros sensibles han sido expuestos en lo que va de 2020, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores maliciosos tienen la sartén por el mango, y los desarrolladores conscientes de la seguridad son muy necesarios para servir como primera línea de defensa.
Losretos interactivos que se centran en la simulación de tales infracciones hacen que los desarrolladores pasen de la memoria pasiva a la aplicación de habilidades que tienen un impacto en la verdadera lucha de jefes: detener a los atacantes en su camino.
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y sindicado aquí.
El campo de juego entre los héroes y los villanos de la ciberseguridad es notoriamente injusto. Los datos sensibles son el nuevo oro, y los atacantes se adaptan rápidamente para burlar las defensas, explotando los fallos de seguridad grandes y pequeños para obtener un potencial botín.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad -cada vez más escasos- puedan enfrentarse a él, y el creciente coste de las violaciones de datos es la prueba de que algo tiene que ceder. Afortunadamente, por el bien de nuestra seguridad digital y la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a incorporar a los desarrolladores en el viaje de la seguridad desde el principio del proceso de desarrollo de software. Se les está reconociendo como la primera línea de defensa contra los ciberatacantes, con el poder de eliminar las vulnerabilidades comunes a su alcance.
Sin embargo, sus capacidades defensivas sólo son tan buenas como la formación que reciben, y eso es otro guante que los equipos de seguridad deben correr. Para muchos desarrolladores que reciben formación en codificación segura en el trabajo, su principal desafío es mantenerse despiertos durante las actividades que no requieren intervención y que no son efectivas, ni les inspiran a mantener la seguridad en primer plano. El vídeo sin alma courses no nos está llevando a ese punto, los eventos anuales simbólicos de "marcar la casilla" son una pérdida de tiempo, y nadie está ganando contra el potencial actor de la amenaza maliciosa que está esperando para saltar en una pequeña ventana de oportunidad.
En esta etapa de nuestra industria, hemos descubierto que la educación contextual y práctica que se imparte en lenguajes y marcos de programación relevantes, con retos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a acabar con las vulnerabilidades comunes, pero la segunda fase es donde los escenarios deben ser reales para una fuerza defensiva supercargada y consciente de la seguridad.
El aprendizaje con andamios es fundamental en la educación de adultos
Cuando se trata de una formación extracurricular courses o en el puesto de trabajo, a menudo se pasa por alto que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación se suma a esta base y está estructurada de manera que permite una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamiaje es un método de aprendizaje potente y positivo que trata de activar y mejorar la experiencia previa, al tiempo que continúa construyendo nuevas habilidades -en trozos manejables- que permiten al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, se trata de una metodología que se complementa con buenas dosis de demostración, ayudas visuales y exploración dirigida por el alumno.
Si relacionamos este enfoque con la formación en seguridad de los desarrolladores, no es de extrañar que se prefiera desde hace tiempo el método dinámico de aprender haciendo en lugar de la monotonía del aprendizaje estático basado en la teoría. Los desarrolladores son libres de ser los dueños de su dominio, y deben ver que su tiempo está bien empleado.
En ese sentido, aprender a codificar de forma segura en un entorno hiperrelevante y contextual es clave, pero el "nivel superior" de este paso es ver un exploit de código vulnerable en acción. Con el contexto de las vistas del frontend y del backend una al lado de la otra, hay un vínculo tangible entre las acciones realizadas durante el proceso de codificación, y lo que un atacante puede hacer potencialmente con esquinas cortadas, configuraciones erróneas, o accidentes que no son detectados y remediados.
Pase de la retirada a la aplicación para un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas de la educación, y es una bestia bastante rara, incluso con las opciones de formación de seguridad más modernas para los desarrolladores. El trabajo fundacional dedicado a perfeccionar las habilidades para detectar y remediar las vulnerabilidades, y recordar esa experiencia para eliminar los mismos errores en el código a medida que se escribe es extremadamente importante, pero no es el cuadro completo. Ver cómo un código vulnerable es explotado por un actor malintencionado añade una poderosa capa de contexto, que realmente hace hincapié en la importancia de asegurar el código, y aplicar los conocimientos de seguridad ganados con esfuerzo para cerrar cada ventana de oportunidad.
Está generalmente aceptado que a los desarrolladores no les gusta la seguridad, y les gusta aún menos la formación en seguridad. Sus experiencias con los especialistas en seguridad de las aplicaciones pueden ser muy frías, y el retrabajo causado por el equipo de seguridad que devuelve el código vulnerable a los desarrolladores para que lo corrijan es la perdición de su existencia. Para un equipo de ingenieros que ya está muy disperso, la seguridad es un problema ajeno, no su prioridad, y un obstáculo para su creatividad natural y su objetivo principal de crear funcionalidades. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiado riesgo para los datos del mundo para que esta mentalidad continúe.
Un proceso funcional de DevSecOps hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de un aprendizaje aplicado en el que puedan interactuar con un exploit simulado y ver el impacto de un código mal protegido contribuye en gran medida a que los desarrolladores se pongan de acuerdo con esos molestos responsables de la seguridad de las aplicaciones (que no son tan malos después de todo).
El aprendizaje interactivo prepara a los desarrolladores para la lucha de jefes
En el momento de redactar este informe, se habían producido dos importantes filtraciones en un periodo de 7 días: Razer anunció que se habían expuesto más de 100.000 registros de datos sensibles, mientras que la cadena de suministros de oficina Staples también informó de una filtración de datos similar. Más de mil millones de registros sensibles han sido expuestos en lo que va de 2020, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores maliciosos tienen la sartén por el mango, y los desarrolladores conscientes de la seguridad son muy necesarios para servir como primera línea de defensa.
Losretos interactivos que se centran en la simulación de tales infracciones hacen que los desarrolladores pasen de la memoria pasiva a la aplicación de habilidades que tienen un impacto en la verdadera lucha de jefes: detener a los atacantes en su camino.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y sindicado aquí.
El campo de juego entre los héroes y los villanos de la ciberseguridad es notoriamente injusto. Los datos sensibles son el nuevo oro, y los atacantes se adaptan rápidamente para burlar las defensas, explotando los fallos de seguridad grandes y pequeños para obtener un potencial botín.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad -cada vez más escasos- puedan enfrentarse a él, y el creciente coste de las violaciones de datos es la prueba de que algo tiene que ceder. Afortunadamente, por el bien de nuestra seguridad digital y la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a incorporar a los desarrolladores en el viaje de la seguridad desde el principio del proceso de desarrollo de software. Se les está reconociendo como la primera línea de defensa contra los ciberatacantes, con el poder de eliminar las vulnerabilidades comunes a su alcance.
Sin embargo, sus capacidades defensivas sólo son tan buenas como la formación que reciben, y eso es otro guante que los equipos de seguridad deben correr. Para muchos desarrolladores que reciben formación en codificación segura en el trabajo, su principal desafío es mantenerse despiertos durante las actividades que no requieren intervención y que no son efectivas, ni les inspiran a mantener la seguridad en primer plano. El vídeo sin alma courses no nos está llevando a ese punto, los eventos anuales simbólicos de "marcar la casilla" son una pérdida de tiempo, y nadie está ganando contra el potencial actor de la amenaza maliciosa que está esperando para saltar en una pequeña ventana de oportunidad.
En esta etapa de nuestra industria, hemos descubierto que la educación contextual y práctica que se imparte en lenguajes y marcos de programación relevantes, con retos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a acabar con las vulnerabilidades comunes, pero la segunda fase es donde los escenarios deben ser reales para una fuerza defensiva supercargada y consciente de la seguridad.
El aprendizaje con andamios es fundamental en la educación de adultos
Cuando se trata de una formación extracurricular courses o en el puesto de trabajo, a menudo se pasa por alto que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación se suma a esta base y está estructurada de manera que permite una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamiaje es un método de aprendizaje potente y positivo que trata de activar y mejorar la experiencia previa, al tiempo que continúa construyendo nuevas habilidades -en trozos manejables- que permiten al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, se trata de una metodología que se complementa con buenas dosis de demostración, ayudas visuales y exploración dirigida por el alumno.
Si relacionamos este enfoque con la formación en seguridad de los desarrolladores, no es de extrañar que se prefiera desde hace tiempo el método dinámico de aprender haciendo en lugar de la monotonía del aprendizaje estático basado en la teoría. Los desarrolladores son libres de ser los dueños de su dominio, y deben ver que su tiempo está bien empleado.
En ese sentido, aprender a codificar de forma segura en un entorno hiperrelevante y contextual es clave, pero el "nivel superior" de este paso es ver un exploit de código vulnerable en acción. Con el contexto de las vistas del frontend y del backend una al lado de la otra, hay un vínculo tangible entre las acciones realizadas durante el proceso de codificación, y lo que un atacante puede hacer potencialmente con esquinas cortadas, configuraciones erróneas, o accidentes que no son detectados y remediados.
Pase de la retirada a la aplicación para un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas de la educación, y es una bestia bastante rara, incluso con las opciones de formación de seguridad más modernas para los desarrolladores. El trabajo fundacional dedicado a perfeccionar las habilidades para detectar y remediar las vulnerabilidades, y recordar esa experiencia para eliminar los mismos errores en el código a medida que se escribe es extremadamente importante, pero no es el cuadro completo. Ver cómo un código vulnerable es explotado por un actor malintencionado añade una poderosa capa de contexto, que realmente hace hincapié en la importancia de asegurar el código, y aplicar los conocimientos de seguridad ganados con esfuerzo para cerrar cada ventana de oportunidad.
Está generalmente aceptado que a los desarrolladores no les gusta la seguridad, y les gusta aún menos la formación en seguridad. Sus experiencias con los especialistas en seguridad de las aplicaciones pueden ser muy frías, y el retrabajo causado por el equipo de seguridad que devuelve el código vulnerable a los desarrolladores para que lo corrijan es la perdición de su existencia. Para un equipo de ingenieros que ya está muy disperso, la seguridad es un problema ajeno, no su prioridad, y un obstáculo para su creatividad natural y su objetivo principal de crear funcionalidades. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiado riesgo para los datos del mundo para que esta mentalidad continúe.
Un proceso funcional de DevSecOps hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de un aprendizaje aplicado en el que puedan interactuar con un exploit simulado y ver el impacto de un código mal protegido contribuye en gran medida a que los desarrolladores se pongan de acuerdo con esos molestos responsables de la seguridad de las aplicaciones (que no son tan malos después de todo).
El aprendizaje interactivo prepara a los desarrolladores para la lucha de jefes
En el momento de redactar este informe, se habían producido dos importantes filtraciones en un periodo de 7 días: Razer anunció que se habían expuesto más de 100.000 registros de datos sensibles, mientras que la cadena de suministros de oficina Staples también informó de una filtración de datos similar. Más de mil millones de registros sensibles han sido expuestos en lo que va de 2020, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores maliciosos tienen la sartén por el mango, y los desarrolladores conscientes de la seguridad son muy necesarios para servir como primera línea de defensa.
Losretos interactivos que se centran en la simulación de tales infracciones hacen que los desarrolladores pasen de la memoria pasiva a la aplicación de habilidades que tienen un impacto en la verdadera lucha de jefes: detener a los atacantes en su camino.
Índice
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
El poder de la seguridad de aplicaciones OpenText + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
.png)
