Establecer un enfoque coherente para la seguridad dirigida por los desarrolladores
En respuesta a las principales brechas de seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18 000 usuarios del popular software de gestión Orion, incluidas muchas de las principales empresas y agencias gubernamentales, hay un creciente impulso en favor de iniciativas de seguridad más eficaces dirigidas por los desarrolladores. Las organizaciones de todos los tamaños están empezando a cuestionar su «cadena de suministro de software» y exigen que los desarrolladores que crean su software posean conocimientos y aptitudes comprobados en materia de seguridad.
Incluso el gobierno de los Estados Unidos pide mejores prácticas de seguridad dirigidas por los desarrolladores y un fortalecimiento de la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva para mejorar la ciberseguridad de la nación emitida por el presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a una fase más temprana del ciclo de vida del desarrollo de software (SDLC) mediante programas y movimientos como DevSecOps. Y, en una encuesta reciente, la comunidad de desarrolladores dijo que valoraba la formación en seguridad que había recibido para respaldar ese esfuerzo.
Vulnerabilidades de siguen siendo explotados, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que escribir código de calidad era una de las principales prioridades de la comunidad de desarrollo. Sin embargo, la encuesta también identificó varios motivos por los que la formación que se imparte a los desarrolladores, si bien se considera valiosa, no cumple con creces el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de recibir la formación que se les impartió, todavía no sabía cómo identificar o corregir las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de capacitación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más capacitación.
Está claro que la comunidad de desarrolladores valora la formación que reciben. Sin embargo, cuando se les preguntó acerca de las barreras para la adopción de prácticas de codificación seguras, la razón principal fue la falta de tiempo, seguida de una quinta parte de los encuestados que citaron la falta de un enfoque coherente como la culpable. La formación se consideró más como un evento puntual que como parte de un esfuerzo estratégico continuo para incorporar la seguridad en los flujos de trabajo de los desarrolladores y utilizarla a diario.
Por lo tanto, los desarrolladores no pueden desarrollar y conservar habilidades de codificación seguras como parte de un programa coherente y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es particularmente eficaz ni exhaustiva, dado que muchos desarrolladores afirman que todavía no pueden identificar y corregir las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 92% (50%) dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para solucionar la situación?
Es interesante que la abrumadora mayoría de los desarrolladores dijeran que necesitaban más formación en seguridad. Y si bien valoraron la formación que recibieron, esa podría ser una situación en la que simplemente estén satisfechos con lo que puedan obtener.
Cuando se les pidió que comentaran sobre las formas de mejorar su formación, empezaron a salir a la luz sus ideas reales sobre el tema. En general, la mayor parte de la formación que recibieron los desarrolladores fue limitada, no interactiva, solo se centró parcialmente en sus responsabilidades laborales y no formó parte de un plan general o continuo para ayudar a mejorar las habilidades y el conocimiento de la seguridad de su organización. Según los desarrolladores encuestados, si las organizaciones desean mejorar la eficacia de la formación que se ofrece, debe presentarse como parte de un enfoque integral para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían solicitudes específicas para que su formación fuera más valiosa. Una de las sugerencias más populares fue incluir más casos de uso y ejemplos prácticos de situaciones a las que podían enfrentarse desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que, con el tiempo, la educación cubriera escenarios cada vez más complejos o difíciles, una medida que probablemente también requeriría un enfoque más coherente y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades. Los desarrolladores también destacaron la necesidad de una mayor interactividad y, tal vez, incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios simplemente ven un vídeo o escuchan una conferencia sin la oportunidad de aprender de forma práctica y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil, como la codificación segura.
Los desarrolladores también hicieron hincapié en la necesidad de una mayor interactividad y tal vez incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad coherente?
La capacitación es, por supuesto, fundamental cuando se trata de mejorar la conciencia y las habilidades de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Sin embargo, un enfoque verdaderamente cohesivo para mejorar la conciencia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores. Por ejemplo, tradicionalmente se evaluaba a los desarrolladores en función de la rapidez con la que podían programar. Sin embargo, un enfoque coherente de la seguridad puede implicar cambiar esas métricas y valores de larga data. Por el contrario, las evaluaciones podrían desviar el énfasis de recompensar la velocidad bruta y, en su lugar, recompensar a los desarrolladores que pueden crear código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría involucrar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarte a exigir la seguridad a los desarrolladores, considera la posibilidad de crear o nombrar a expertos en seguridad de la comunidad. Se trata de desarrolladores talentosos y conscientes de la seguridad que destaquen por su formación o como parte de las nuevas evaluaciones centradas en las métricas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrolladores desde dentro.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores.
Para leer más
Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: cómo los campeones de la seguridad pueden ayudar a su equipo a lograr la victoria contra las vulnerabilidades en fase avanzada
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
En respuesta a las principales brechas de seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18 000 usuarios del popular software de gestión Orion, incluidas muchas de las principales empresas y agencias gubernamentales, hay un creciente impulso en favor de iniciativas de seguridad más eficaces dirigidas por los desarrolladores. Las organizaciones de todos los tamaños están empezando a cuestionar su «cadena de suministro de software» y exigen que los desarrolladores que crean su software posean conocimientos y aptitudes comprobados en materia de seguridad.
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
En respuesta a las principales brechas de seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18 000 usuarios del popular software de gestión Orion, incluidas muchas de las principales empresas y agencias gubernamentales, hay un creciente impulso en favor de iniciativas de seguridad más eficaces dirigidas por los desarrolladores. Las organizaciones de todos los tamaños están empezando a cuestionar su «cadena de suministro de software» y exigen que los desarrolladores que crean su software posean conocimientos y aptitudes comprobados en materia de seguridad.
Incluso el gobierno de los Estados Unidos pide mejores prácticas de seguridad dirigidas por los desarrolladores y un fortalecimiento de la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva para mejorar la ciberseguridad de la nación emitida por el presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a una fase más temprana del ciclo de vida del desarrollo de software (SDLC) mediante programas y movimientos como DevSecOps. Y, en una encuesta reciente, la comunidad de desarrolladores dijo que valoraba la formación en seguridad que había recibido para respaldar ese esfuerzo.
Vulnerabilidades de siguen siendo explotados, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que escribir código de calidad era una de las principales prioridades de la comunidad de desarrollo. Sin embargo, la encuesta también identificó varios motivos por los que la formación que se imparte a los desarrolladores, si bien se considera valiosa, no cumple con creces el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de recibir la formación que se les impartió, todavía no sabía cómo identificar o corregir las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de capacitación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más capacitación.
Está claro que la comunidad de desarrolladores valora la formación que reciben. Sin embargo, cuando se les preguntó acerca de las barreras para la adopción de prácticas de codificación seguras, la razón principal fue la falta de tiempo, seguida de una quinta parte de los encuestados que citaron la falta de un enfoque coherente como la culpable. La formación se consideró más como un evento puntual que como parte de un esfuerzo estratégico continuo para incorporar la seguridad en los flujos de trabajo de los desarrolladores y utilizarla a diario.
Por lo tanto, los desarrolladores no pueden desarrollar y conservar habilidades de codificación seguras como parte de un programa coherente y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es particularmente eficaz ni exhaustiva, dado que muchos desarrolladores afirman que todavía no pueden identificar y corregir las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 92% (50%) dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para solucionar la situación?
Es interesante que la abrumadora mayoría de los desarrolladores dijeran que necesitaban más formación en seguridad. Y si bien valoraron la formación que recibieron, esa podría ser una situación en la que simplemente estén satisfechos con lo que puedan obtener.
Cuando se les pidió que comentaran sobre las formas de mejorar su formación, empezaron a salir a la luz sus ideas reales sobre el tema. En general, la mayor parte de la formación que recibieron los desarrolladores fue limitada, no interactiva, solo se centró parcialmente en sus responsabilidades laborales y no formó parte de un plan general o continuo para ayudar a mejorar las habilidades y el conocimiento de la seguridad de su organización. Según los desarrolladores encuestados, si las organizaciones desean mejorar la eficacia de la formación que se ofrece, debe presentarse como parte de un enfoque integral para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían solicitudes específicas para que su formación fuera más valiosa. Una de las sugerencias más populares fue incluir más casos de uso y ejemplos prácticos de situaciones a las que podían enfrentarse desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que, con el tiempo, la educación cubriera escenarios cada vez más complejos o difíciles, una medida que probablemente también requeriría un enfoque más coherente y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades. Los desarrolladores también destacaron la necesidad de una mayor interactividad y, tal vez, incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios simplemente ven un vídeo o escuchan una conferencia sin la oportunidad de aprender de forma práctica y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil, como la codificación segura.
Los desarrolladores también hicieron hincapié en la necesidad de una mayor interactividad y tal vez incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad coherente?
La capacitación es, por supuesto, fundamental cuando se trata de mejorar la conciencia y las habilidades de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Sin embargo, un enfoque verdaderamente cohesivo para mejorar la conciencia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores. Por ejemplo, tradicionalmente se evaluaba a los desarrolladores en función de la rapidez con la que podían programar. Sin embargo, un enfoque coherente de la seguridad puede implicar cambiar esas métricas y valores de larga data. Por el contrario, las evaluaciones podrían desviar el énfasis de recompensar la velocidad bruta y, en su lugar, recompensar a los desarrolladores que pueden crear código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría involucrar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarte a exigir la seguridad a los desarrolladores, considera la posibilidad de crear o nombrar a expertos en seguridad de la comunidad. Se trata de desarrolladores talentosos y conscientes de la seguridad que destaquen por su formación o como parte de las nuevas evaluaciones centradas en las métricas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrolladores desde dentro.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores.
Para leer más
Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: cómo los campeones de la seguridad pueden ayudar a su equipo a lograr la victoria contra las vulnerabilidades en fase avanzada
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
En respuesta a las principales brechas de seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18 000 usuarios del popular software de gestión Orion, incluidas muchas de las principales empresas y agencias gubernamentales, hay un creciente impulso en favor de iniciativas de seguridad más eficaces dirigidas por los desarrolladores. Las organizaciones de todos los tamaños están empezando a cuestionar su «cadena de suministro de software» y exigen que los desarrolladores que crean su software posean conocimientos y aptitudes comprobados en materia de seguridad.
Incluso el gobierno de los Estados Unidos pide mejores prácticas de seguridad dirigidas por los desarrolladores y un fortalecimiento de la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva para mejorar la ciberseguridad de la nación emitida por el presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a una fase más temprana del ciclo de vida del desarrollo de software (SDLC) mediante programas y movimientos como DevSecOps. Y, en una encuesta reciente, la comunidad de desarrolladores dijo que valoraba la formación en seguridad que había recibido para respaldar ese esfuerzo.
Vulnerabilidades de siguen siendo explotados, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que escribir código de calidad era una de las principales prioridades de la comunidad de desarrollo. Sin embargo, la encuesta también identificó varios motivos por los que la formación que se imparte a los desarrolladores, si bien se considera valiosa, no cumple con creces el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de recibir la formación que se les impartió, todavía no sabía cómo identificar o corregir las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de capacitación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más capacitación.
Está claro que la comunidad de desarrolladores valora la formación que reciben. Sin embargo, cuando se les preguntó acerca de las barreras para la adopción de prácticas de codificación seguras, la razón principal fue la falta de tiempo, seguida de una quinta parte de los encuestados que citaron la falta de un enfoque coherente como la culpable. La formación se consideró más como un evento puntual que como parte de un esfuerzo estratégico continuo para incorporar la seguridad en los flujos de trabajo de los desarrolladores y utilizarla a diario.
Por lo tanto, los desarrolladores no pueden desarrollar y conservar habilidades de codificación seguras como parte de un programa coherente y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es particularmente eficaz ni exhaustiva, dado que muchos desarrolladores afirman que todavía no pueden identificar y corregir las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 92% (50%) dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para solucionar la situación?
Es interesante que la abrumadora mayoría de los desarrolladores dijeran que necesitaban más formación en seguridad. Y si bien valoraron la formación que recibieron, esa podría ser una situación en la que simplemente estén satisfechos con lo que puedan obtener.
Cuando se les pidió que comentaran sobre las formas de mejorar su formación, empezaron a salir a la luz sus ideas reales sobre el tema. En general, la mayor parte de la formación que recibieron los desarrolladores fue limitada, no interactiva, solo se centró parcialmente en sus responsabilidades laborales y no formó parte de un plan general o continuo para ayudar a mejorar las habilidades y el conocimiento de la seguridad de su organización. Según los desarrolladores encuestados, si las organizaciones desean mejorar la eficacia de la formación que se ofrece, debe presentarse como parte de un enfoque integral para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían solicitudes específicas para que su formación fuera más valiosa. Una de las sugerencias más populares fue incluir más casos de uso y ejemplos prácticos de situaciones a las que podían enfrentarse desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que, con el tiempo, la educación cubriera escenarios cada vez más complejos o difíciles, una medida que probablemente también requeriría un enfoque más coherente y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades. Los desarrolladores también destacaron la necesidad de una mayor interactividad y, tal vez, incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios simplemente ven un vídeo o escuchan una conferencia sin la oportunidad de aprender de forma práctica y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil, como la codificación segura.
Los desarrolladores también hicieron hincapié en la necesidad de una mayor interactividad y tal vez incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad coherente?
La capacitación es, por supuesto, fundamental cuando se trata de mejorar la conciencia y las habilidades de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Sin embargo, un enfoque verdaderamente cohesivo para mejorar la conciencia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores. Por ejemplo, tradicionalmente se evaluaba a los desarrolladores en función de la rapidez con la que podían programar. Sin embargo, un enfoque coherente de la seguridad puede implicar cambiar esas métricas y valores de larga data. Por el contrario, las evaluaciones podrían desviar el énfasis de recompensar la velocidad bruta y, en su lugar, recompensar a los desarrolladores que pueden crear código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría involucrar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarte a exigir la seguridad a los desarrolladores, considera la posibilidad de crear o nombrar a expertos en seguridad de la comunidad. Se trata de desarrolladores talentosos y conscientes de la seguridad que destaquen por su formación o como parte de las nuevas evaluaciones centradas en las métricas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrolladores desde dentro.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores.
Para leer más
Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: cómo los campeones de la seguridad pueden ayudar a su equipo a lograr la victoria contra las vulnerabilidades en fase avanzada
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserve una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
En respuesta a las principales brechas de seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18 000 usuarios del popular software de gestión Orion, incluidas muchas de las principales empresas y agencias gubernamentales, hay un creciente impulso en favor de iniciativas de seguridad más eficaces dirigidas por los desarrolladores. Las organizaciones de todos los tamaños están empezando a cuestionar su «cadena de suministro de software» y exigen que los desarrolladores que crean su software posean conocimientos y aptitudes comprobados en materia de seguridad.
Incluso el gobierno de los Estados Unidos pide mejores prácticas de seguridad dirigidas por los desarrolladores y un fortalecimiento de la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva para mejorar la ciberseguridad de la nación emitida por el presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a una fase más temprana del ciclo de vida del desarrollo de software (SDLC) mediante programas y movimientos como DevSecOps. Y, en una encuesta reciente, la comunidad de desarrolladores dijo que valoraba la formación en seguridad que había recibido para respaldar ese esfuerzo.
Vulnerabilidades de siguen siendo explotados, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que escribir código de calidad era una de las principales prioridades de la comunidad de desarrollo. Sin embargo, la encuesta también identificó varios motivos por los que la formación que se imparte a los desarrolladores, si bien se considera valiosa, no cumple con creces el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de recibir la formación que se les impartió, todavía no sabía cómo identificar o corregir las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de capacitación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más capacitación.
Está claro que la comunidad de desarrolladores valora la formación que reciben. Sin embargo, cuando se les preguntó acerca de las barreras para la adopción de prácticas de codificación seguras, la razón principal fue la falta de tiempo, seguida de una quinta parte de los encuestados que citaron la falta de un enfoque coherente como la culpable. La formación se consideró más como un evento puntual que como parte de un esfuerzo estratégico continuo para incorporar la seguridad en los flujos de trabajo de los desarrolladores y utilizarla a diario.
Por lo tanto, los desarrolladores no pueden desarrollar y conservar habilidades de codificación seguras como parte de un programa coherente y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es particularmente eficaz ni exhaustiva, dado que muchos desarrolladores afirman que todavía no pueden identificar y corregir las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 92% (50%) dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para solucionar la situación?
Es interesante que la abrumadora mayoría de los desarrolladores dijeran que necesitaban más formación en seguridad. Y si bien valoraron la formación que recibieron, esa podría ser una situación en la que simplemente estén satisfechos con lo que puedan obtener.
Cuando se les pidió que comentaran sobre las formas de mejorar su formación, empezaron a salir a la luz sus ideas reales sobre el tema. En general, la mayor parte de la formación que recibieron los desarrolladores fue limitada, no interactiva, solo se centró parcialmente en sus responsabilidades laborales y no formó parte de un plan general o continuo para ayudar a mejorar las habilidades y el conocimiento de la seguridad de su organización. Según los desarrolladores encuestados, si las organizaciones desean mejorar la eficacia de la formación que se ofrece, debe presentarse como parte de un enfoque integral para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían solicitudes específicas para que su formación fuera más valiosa. Una de las sugerencias más populares fue incluir más casos de uso y ejemplos prácticos de situaciones a las que podían enfrentarse desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que, con el tiempo, la educación cubriera escenarios cada vez más complejos o difíciles, una medida que probablemente también requeriría un enfoque más coherente y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades. Los desarrolladores también destacaron la necesidad de una mayor interactividad y, tal vez, incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios simplemente ven un vídeo o escuchan una conferencia sin la oportunidad de aprender de forma práctica y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil, como la codificación segura.
Los desarrolladores también hicieron hincapié en la necesidad de una mayor interactividad y tal vez incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad coherente?
La capacitación es, por supuesto, fundamental cuando se trata de mejorar la conciencia y las habilidades de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Sin embargo, un enfoque verdaderamente cohesivo para mejorar la conciencia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores. Por ejemplo, tradicionalmente se evaluaba a los desarrolladores en función de la rapidez con la que podían programar. Sin embargo, un enfoque coherente de la seguridad puede implicar cambiar esas métricas y valores de larga data. Por el contrario, las evaluaciones podrían desviar el énfasis de recompensar la velocidad bruta y, en su lugar, recompensar a los desarrolladores que pueden crear código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría involucrar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarte a exigir la seguridad a los desarrolladores, considera la posibilidad de crear o nombrar a expertos en seguridad de la comunidad. Se trata de desarrolladores talentosos y conscientes de la seguridad que destaquen por su formación o como parte de las nuevas evaluaciones centradas en las métricas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrolladores desde dentro.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores.
Para leer más
Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: cómo los campeones de la seguridad pueden ayudar a su equipo a lograr la victoria contra las vulnerabilidades en fase avanzada
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
Tabla de contenido
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El habilitador 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
