Información sobre el código de seguridad

Responsables de la seguridad de las aplicaciones, RSSI, DSI, expertos en ciberseguridad... He hablado con muchos de ellos, que trabajan en todo tipo de empresas de todo el mundo, a lo largo de mi propia carrera en el desarrollo de software y la seguridad.

Sea cual sea su situación, la experiencia de su equipo o el tiempo que pase en este mundo digital en constante evolución, hay un problema que sigue siendo el mismo: rara vez son capaces de involucrar positivamente a su equipo de desarrollo en materia de seguridad. La seguridad sigue siendo la palabra tabú, la fuente de conflictos entre los equipos y la verdadera dificultad del sector.

Sin embargo, la seguridad del software es simplemente demasiado importante como para que nuestra mentalidad general siga por este camino. Debemos esforzarnos por cambiar la situación, por hacer de la seguridad una parte integral de la vida profesional de cada desarrollador. Y creo que una de las mejores formas de lograrlo es responsabilizar a los desarrolladores e implicarlos en materia de seguridad mediante, por ejemplo, la gamificación.

El panorama actual

Los desarrolladores salen de la universidad con muy pocos conocimientos prácticos sobre cómo proporcionar código seguro. Ocupan puestos de trabajo en los que la formación en seguridad rara vez es una prioridad (y, cuando lo es, suele formar parte de los vídeos obligatorios sobre cumplimiento de las normas de salud y seguridad, que son tan aburridos que a nadie le importa la codificación segura). Muy a menudo, su primera experiencia en materia de seguridad es un informe de auditoría o de prueba de errores que interrumpe repentinamente una futura versión, lo que perturba instantáneamente su mente creativa. Se encuentran en desacuerdo con los responsables de los informes de seguridad, por lo que «seguridad» se convierte en sinónimo de «crítica» en su mente. Puaj.

Es realmente lamentable que esta percepción negativa de la seguridad del software esté tan extendida. Después de todo, algunos de los mejores recuerdos que guardo de mi carrera están relacionados con el aprendizaje de la seguridad del software. Pasé mis primeros días en el mundo de la piratería informática asistiendo a conferencias, donde no solo podía poner a prueba mis habilidades (y, para ser sincero, presumir un poco) frente a mis compañeros, sino también divertirme mucho conociendo a personas con ideas afines a las mías a las que les gustaba tanto como a mí descifrar software.

BruCon, DefCon, BlackHat... estos eventos han permitido a personas como yo utilizar sus habilidades en competiciones amistosas. Nunca admitiría haber participado en actividades antisociales de este tipo, pero algunos incluso demostraban sus habilidades en materia de piratería informática introduciéndose en los teléfonos de otros participantes y mostrando su información en pantallas de presentación a la vista de todos. Se ha convertido en un juego encontrar estas vulnerabilidades, explotarlas y corregirlas para mejorar el software. Hace unos años, tuve el privilegio de conocer a cientos de niños de Oriente Medio para enseñarles ciberseguridad. Todavía recuerdo a una niña de ocho años entre mis alumnos, que aprendía el fuerza bruta de contraseñas y la codificación base64 mientras jugaba.

La gamificación también se utiliza para enseñar técnicas de programación. Centros educativos de todo el mundo utilizan este enfoque para enseñar programación a niños muy pequeños, incluso hasta la edad de secundaria. Niños de apenas cuatro años participan ahora regularmente en iniciativas vacacionales como Code Camp, y existen numerosos programas online fantásticos que enseñan a los niños a programar en Python y otros lenguajes. Incluso compré la increíble herramienta de programación sin pantalla Cubetto para mi hija de cuatro años.

Sin embargo, a pesar de todo este placer y estos avances, hay una diferencia. Nadie ha pensado en la posibilidad de aprovechar la gamificación para formar a los desarrolladores en la escritura de código seguro.

Bueno... casi nadie. Hace unos años, me di cuenta de que teníamos que volver a inspirar a la seguridad y motivar realmente a los desarrolladores para que se implicaran y empezaran a jugar.

Gamificación: la solución más sencilla.

Estoy profundamente comprometido con ayudar a los desarrolladores a adquirir conocimientos sobre seguridad, y es esta pasión la que me llevó a crear Secure Code Warrior. La seguridad del software es muy importante y puede ser realmente apasionante.

No soy el único que piensa así.

La gamificación puede hacer que las tareas más triviales sean aún más divertidas y permite a los jugadores mantenerse lo suficientemente motivados como para seguir jugando, ganando y progresando. ¡Basta con ver cómo se juega a Pokémon Go! Ha conseguido que hasta la persona más perezosa se levante del sofá, salga a buscar criaturas imaginarias o descubra cómo FitBit se fija como objetivo diario alcanzar un número de pasos... Si no se alcanzan estos objetivos, si se interrumpen las series y no se ganan las insignias, se produce una verdadera sensación de decepción.

Volvamos a la formación en materia de seguridad. Hemos demostrado a muchos clientes que la gamificación es esencial para transformar realmente la cultura de seguridad de sus organizaciones, estableciendo vínculos entre los equipos de AppSec y los equipos de desarrollo, y ayudándoles en general a crear software que cumpla con estándares más elevados.

En la actualidad, la seguridad no es la prioridad de los desarrolladores. Al añadir un elemento amigable, competitivo y atractivo a sus métodos de entrenamiento, no solo los motiva a «jugar», sino también a volver para ganar más puntos, superar las mejores puntuaciones, ser más precisos y desafiar a los demás miembros del equipo.

Ya sabemos que una formación exitosa se parece a esto:

• Los desarrolladores son capaces de trabajar con código real y en sus propios lenguajes/marcos de trabajo.
• Los desafíos son cortos y cubren todas las fallas de seguridad comunes.
• Los desafíos se amplían y actualizan constantemente para que los desarrolladores puedan seguir desarrollando sus habilidades a lo largo del tiempo.
• Los retos varían en complejidad, por lo que resultan interesantes tanto para desarrolladores experimentados como para desarrolladores con menos experiencia.
• Los desarrolladores y sus responsables pueden visualizar los progresos realizados, en particular los retos que han superado, sus puntos fuertes y débiles, el tiempo dedicado a la formación y su precisión general.

Uno de nuestros mayores clientes demostró la verdadera magia de una plataforma gamificada durante su implementación, ofreciendo a sus desarrolladores material temático para equipos, otorgando premios increíbles a los ganadores de los juegos y convirtiendo su torneo en un día inolvidable. Desde entonces, organizan competiciones internacionales y todo su equipo sigue entrenando seriamente hasta el día de hoy.

Tu propia revolución tecnológica comienza aquí. El sector bancario australiano está a la vanguardia al adoptar la formación gamificada para combatir los códigos incorrectos, como parte de un enfoque verdaderamente innovador que revoluciona la formación tradicional (o aburrida). Solo hay que ver lo que nuestro cliente ha hecho con su torneo de alto nivel. ¿Estás listo para mejorar tu equipo con nosotros?

Debemos esforzarnos por cambiar la situación, por hacer de la seguridad una parte integral de la vida profesional de cada desarrollador. Y creo que una de las mejores formas de lograrlo es responsabilizar a los desarrolladores e implicarlos en materia de seguridad mediante, por ejemplo, la gamificación.

El 3 de septiembre, algunos miembros del equipo y yo asistimos a una magnífica conferencia de entrega de premios de seguridad, organizada por CSO Australia. El Premio 2019 para las mujeres en el sector de la seguridad, uno de los primeros de este tipo en Australia, fue el increíble resultado de la participación de algunos de los especialistas en seguridad más reputados del sector. Se trataba de una celebración de la contribución de las mujeres a la ciberseguridad, así como de una plataforma indispensable para destacar el increíble talento y la innovación que aportan las mujeres, que a menudo pasan desapercibidas y se esfuerzan por realizar un trabajo excepcional.

Me enorgullece decir que la vicepresidenta de Secure Code Warrior del éxito de los clientes (también conocida como Chief Awesome), Fatemah Beydoun, fue parte integral de este día. Presentó su discurso, «Mentoría para el futuro: cómo podemos mejorar para fomentar el talento femenino en ciberseguridad», ante un público muy receptivo. Aunque doce minutos no son suficientes para revelar su impacto duradero en nosotros y en el sector de la ciberseguridad en su conjunto, ella ha observado (por no hablar de que ha impulsado) cambios positivos fundamentales.

Un enfoque más inclusivo.

«Cuando empecé mi carrera en este sector», explica Fatemah, «era una de las pocas mujeres que formaban parte de los equipos en los que me clasificaban. Muchas oportunidades para establecer contactos también se centraban en los hombres, lo que me impedía participar, conocer a las personas adecuadas y demostrar un valor esencial para la empresa. Intenté cambiar esta dinámica creando un espacio más inclusivo siempre que era posible.

Por ejemplo, solía asistir a eventos del sector y descubrí que muchos stands de empresas utilizaban modelos promocionales para llamar la atención sobre sus stands. En teoría está bien, pero a menudo me ignoraban porque claramente no era el público objetivo. Al principio de mi carrera me encargué de la organización de eventos y me comprometí a encontrar formas más inclusivas y divertidas de llamar la atención sobre nuestras propias ofertas», afirmó.

Fatemah y yo llevamos mucho tiempo trabajando juntas, y ella siempre ha defendido la inclusión y la diversidad en las empresas en las que desarrollamos nuestra actividad. Esto siempre ha dado lugar a un mayor número de trayectorias profesionales para las mujeres dentro del equipo, al reconocimiento de contribuciones clave y a una cohorte reforzada por enfoques, opiniones y horizontes diferentes.

«Escuchen, nadie quiere ser una mujer simbólica, por supuesto», declaró Fatemah. «Sin embargo, el problema puede ser que algunos equipos directivos menos diversificados tienden a pasar el relevo a líderes que se parecen a ellos, con los que pueden identificarse a nivel personal. Estos mismos ejecutivos podrían beneficiarse de la contribución de una mujer en función de sus méritos y competencias, pero a menudo les resulta difícil hacerse un hueco. Si los equipos directivos son conscientes de la fuerza que puede aportar la diversidad (y esto va más allá del género), a menudo están totalmente dispuestos a crear esas vías y a empezar a ascender a mujeres preparadas, deseosas y capaces de hacer un trabajo formidable para su organización», afirmó.

Flexibilidad en el lugar de trabajo: los ingredientes clave para el éxito.

Cuando creé mi propia empresa, aprendí muy rápido que el mejor trabajo se hace cuando los miembros del equipo tienen la oportunidad de respirar. La flexibilidad es importante para todos, pero las políticas que ayudan a las familias de los trabajadores pueden contribuir a retener a los talentos esenciales.

Una de las primeras políticas introducidas aquí fue la política sobre los bebés en el trabajo, que permite a las madres primerizas volver al trabajo más rápidamente con la flexibilidad necesaria para las citas y la posibilidad de llevar a los bebés al trabajo sin temor a ser juzgadas.

«No quería elegir entre ser madre y mi carrera, y el hecho de poder llevar a mi hijo pequeño al trabajo fue una decisión tan positiva que me permitió sentirme apoyada y valorada», declaró Fatemah. «Mis habilidades no desaparecen después del parto, y como miembro fundador de una start-up, ¡solo quiero volver al trabajo!».

Incluso habló con ABC News sobre las ventajas de la flexibilidad laboral:

¿Tiene una cultura de mentoría próspera?

Para lanzar a alguien a una buena trayectoria profesional y seguir adelante, es una excelente idea recurrir a un mentor. En muchos ámbitos de la informática, la ciberseguridad y otros sectores predominantemente masculinos, existe un desequilibrio entre mujeres y hombres en los puestos directivos, lo que puede resultar un poco difícil.

Si bien es importante que las mujeres se vean «a sí mismas» en puestos directivos, los hombres también pueden contribuir animando a las mujeres inteligentes de sus equipos y, en la medida de lo posible, supervisándolas.

«Los equipos directivos pueden tener un impacto considerable en la diversificación de una organización, al tiempo que garantizan que las mujeres excepcionales obtengan el reconocimiento y la trayectoria profesional que se merecen tanto como cualquier otra persona. Lo he visto en acción con la responsable de ciberseguridad de Jetstar, Yvette Lejins. Es una defensora de las mujeres y, gracias a sus éxitos y su arduo trabajo, ha logrado avances y ha ayudado a otras mujeres a recuperar la confianza necesaria para aspirar a lo más alto», declaró Fatemah.

En este momento, Secure Code Warrior de celebrar los 100 empleados. Me enorgullece decir que más del 50 % de la plantilla de la empresa son mujeres y que Fatemah es un modelo y una mentora excepcional para todos.

Todas las empresas pueden obtener una gran ventaja de la diversificación de sus equipos. Una variedad de opiniones, procedentes de diferentes entornos, puede ser el ingrediente secreto necesario para convertir las buenas ideas en grandes ideas. Como siempre, juntos somos más fuertes.

Según una teoría muy conocida, las cucarachas pueden sobrevivir prácticamente a todo, incluso a una explosión nuclear. Aunque esta teoría solo es cierta hasta cierto punto, su sencilla composición corporal las hace extremadamente resistentes para su tamaño y difíciles de erradicar en la mayoría de las condiciones.

Me dije... si las cucarachas tuvieran un equivalente en el mundo digital, serían las vulnerabilidades de inyección SQL (SQLi) en el código. Esta vulnerabilidad se conoce desde hace más de veinte años, pero las organizaciones siguen siendo víctimas de ella una y otra vez. El ataque generalizado y costoso contra Target fue el resultado de una inyección SQL, al igual que un caso de piratería informática en las elecciones de Illinois, donde se revelaron 200 000 expedientes de votantes, lo que llevó al FBI a recomendar a todos los administradores informáticos que reforzaran rápidamente sus prácticas de seguridad.

El informe de Imperva sobre la Hacker Intelligence Initiative reveló que, entre 2005 y 2011, se utilizaron ataques SQLi en el 83 % de las violaciones de datos notificadas. Hoy en día, las vulnerabilidades relacionadas con la inyección siguen siendo la principal amenaza en el Top 10 de la OWASP. Son relativamente sencillas, pero simplemente no desaparecen.

Parece ridículo que esta misma vulnerabilidad siga apareciendo en un número importante de análisis de seguridad de aplicaciones. Sabemos cómo funciona y cómo detenerla. ¿Cómo es posible? La verdad es que la seguridad de nuestro software aún puede mejorarse.

El informe de Veracode sobre el estado de la seguridad del software, basado en 400 000 análisis de aplicaciones realizados en 2017, reveló una estadística alarmante: solo el 30 % de las aplicaciones cumplían con la política del Top 10 de OWASP. Este tema ha sido recurrente en los últimos cinco años, ya que se han detectado inyecciones SQL en casi una de cada tres aplicaciones analizadas recientemente. Esto demuestra que se trata de un problema endémico: no aprendemos de nuestros errores y los responsables de la seguridad informática parecen tener dificultades para contratar a suficientes profesionales especializados en seguridad. Por regla general, la proporción entre especialistas en seguridad de aplicaciones y desarrolladores es insuficiente para cada 100.

¿Por qué la seguridad del software está en modo de supervivencia?

No es ningún secreto que los especialistas en seguridad son escasos, pero también debemos prestar atención al hecho de que los desarrolladores no resuelven los problemas a medida que surgen y están claramente mal equipados para no introducir vulnerabilidades desde el principio. En el mismo informe de Veracode, se reveló que solo el 14,4 % de todas las vulnerabilidades relacionadas con el desarrollo contaban con medidas de mitigación documentadas. En otras palabras, la mayoría de las vulnerabilidades se presentaron sin medidas de mitigación relacionadas con el desarrollo. Menos de un tercio de las vulnerabilidades se corrigieron durante los primeros 90 días, y el 42 % de las vulnerabilidades nunca se corrigieron durante el período de desarrollo.

Hablo constantemente con profesionales de la seguridad, RSSI y directores generales y, como anécdota, he descubierto que muchas empresas están tan frustradas por el número de vulnerabilidades detectadas que no pueden mitigarse (además de la plaga conocida como falsos positivos), que dejan completamente de buscarlas, cruzan los dedos y esperan que todo salga bien.

¿Por qué los profesionales de la seguridad de aplicaciones permiten que esto suceda?

No se equivoquen: los usuarios de AppSec son muy conscientes de los problemas del código. Después de todo, es una de sus competencias básicas lo que los convierte en un recurso tan valioso para el equipo. Sin embargo, a menudo se ven obstaculizados por varios factores.

Por ejemplo, un responsable de AppSec detectará un problema y preguntará al desarrollador: «¿Puede corregir el código?». La respuesta a esta importante pregunta varía de una organización a otra, pero, en general, el desarrollador está tan ocupado cumpliendo con los estrictos sprints de suministro de funcionalidades que simplemente no tiene tiempo para resolver estos problemas, ni las herramientas adecuadas para ayudarle. Los propios profesionales de la seguridad de las aplicaciones pueden ser capaces de identificar las vulnerabilidades, pero a menudo no tienen las habilidades y/o el acceso necesarios para remediarlas in situ.

También debemos darnos cuenta de que, para cada problema, hay que encontrar una solución, implementarla y luego probarla. Incluso para el más mínimo problema detectado en el código, el tiempo que se necesita para resolverlo, por no hablar de los recursos necesarios, es inmenso. Se pueden introducir más de 700 vulnerabilidades en el software, y es simplemente imposible que una sola persona pueda defenderse de todas ellas. Por esta razón, la mayoría de las empresas se ciñen únicamente al Top 10 de la OWASP. Mientras tanto, los desarrolladores siguen creando funcionalidades y, a su vez, introduciendo vulnerabilidades en el código que escriben.

¿Cuál es la solución?

El hecho es que no proporcionamos a nuestros desarrolladores las herramientas y la formación necesarias para favorecer el éxito de la codificación segura. No existe ninguna normativa que obligue a las empresas a garantizar que los desarrolladores posean las competencias adecuadas en materia de seguridad, y la triste realidad es que la mayoría de las universidades y los programas de prácticas tampoco preparan a los desarrolladores principiantes para codificar de forma segura.

Cuando una persona desea pilotar un avión, existe un proceso muy riguroso que garantiza una formación, experiencia práctica, controles médicos, conocimientos en materia de seguridad y exámenes antes de poder volar. Nadie se atrevería a imaginar que se le dejaría volar sin esta preparación exhaustiva y esta validación de competencias, pero eso es lo que ocurre a diario con la escritura de código.

Debemos dedicar tiempo a formar a los desarrolladores en la escritura de código seguro. Sin embargo, en el mundo actual, donde el desarrollo de software es rápido y los buenos desarrolladores y profesionales de la seguridad son escasos, esto nunca parece ser una prioridad. Es hora de cambiar de conversación.

Un título reciente del Foro Económico Mundial proclamaba: «No puede haber economía digital sin seguridad», y el contenido que lo acompañaba defendía la necesidad de situar la seguridad en el centro de cualquier estrategia de transformación digital. «La seguridad es lo que protege a las empresas, les permite innovar y crear nuevos productos y servicios. Más allá de su función defensiva, la seguridad proporciona a las empresas una ventaja estratégica en términos de crecimiento».

La mejora de las competencias y los resultados en materia de codificación segura añadirá una potente capa de ciberprotección a las organizaciones, ayudándolas a crear un código más eficaz y rápido. Los desarrolladores no necesitan convertirse en expertos en seguridad, pero deben estar capacitados de forma positiva y práctica para ser la primera línea de defensa contra los ciberataques. Los desarrolladores pueden convertirse en los próximos héroes de la seguridad y la innovación. Son personas muy inteligentes, saben resolver problemas de forma creativa y, por lo general, desean desarrollar sus habilidades. Aproveche sus puntos fuertes con la formación especializada que se merecen y comprométase a cumplir normas de seguridad de software más estrictas. Lea nuestro libro blanco para obtener más información.

Cuando una persona desea pilotar un avión, existe un proceso muy riguroso que garantiza una formación, experiencia práctica, controles médicos, conocimientos en materia de seguridad y exámenes antes de poder volar. Nadie se atrevería a imaginar que se le dejaría volar sin esta preparación exhaustiva y esta validación de competencias, pero eso es lo que ocurre a diario con la escritura de código.

Existen numerosas referencias en la cultura pop a IA y robots deshonestos, así como a dispositivos que atacan a sus amos humanos. Está muy impregnado de ciencia ficción y fantasía, pero dado que el IoT y los dispositivos conectados están cada vez más extendidos en nuestros hogares, debería ocurrir lo mismo con los debates sobre ciberseguridad y seguridad. El software está omnipresente y es muy fácil olvidar lo mucho que dependemos de las líneas de código para realizar todas esas tareas inteligentes que nos aportan tanta innovación y comodidad. Al igual que el software web, las API y los dispositivos móviles, el código vulnerable de los sistemas integrados puede ser explotado si un atacante lo descubre en la naturaleza.

Aunque es poco probable que un ejército de microondas esclavice a la raza humana (aunque el robot Tesla es un poco preocupante), tras un ciberataque siempre es posible que se produzcan ciberincidentes maliciosos. Algunos de nuestros coches, aviones y dispositivos médicos también se basan en un complejo código de sistemas integrados para realizar tareas clave, y la perspectiva de que estos objetos se vean comprometidos no solo es alarmante, sino potencialmente mortal.

Al igual que con cualquier otro tipo de software, los desarrolladores son los primeros en tocar el código, desde el inicio de la fase de creación. Y al igual que cualquier otro tipo de software, este puede ser el origen de vulnerabilidades insidiosas y comunes que podrían pasar desapercibidas antes de la puesta en servicio del producto.

Los desarrolladores no son expertos en seguridad y ninguna empresa debería esperar que desempeñen ese papel, pero pueden contar con un arsenal mucho más potente para hacer frente al tipo de amenazas que les afectan. Los sistemas integrados, generalmente escritos en C y C++, se utilizarán cada vez con más frecuencia a medida que nuestras necesidades tecnológicas sigan evolucionando, por lo que es esencial impartir formación especializada en seguridad a los desarrolladores sobre las herramientas de este entorno.

Freidoras de aire que explotan, vehículos fraudulentos... ¿Somos unos incautos?

Aunque existen algunas normas y reglamentos relativos a todo desarrollo seguro, para garantizar nuestra seguridad debemos realizar avances mucho más precisos y significativos en materia de seguridad del software en todos sus aspectos. Puede parecer exagerado pensar en un problema que pueda causar el pirateo de una freidora de aire, pero ha ocurrido en forma de un ataque de ejecución remota de código (que permite al autor de la amenaza elevar la temperatura a niveles peligrosos), al igual que las vulnerabilidades que conducen al control de vehículos.

Los vehículos, en particular, son especialmente complejos, ya que cuentan con múltiples sistemas integrados, cada uno de los cuales se encarga de microfunciones, desde los limpiaparabrisas automáticos hasta las capacidades del motor y los frenos. Asociado a un conjunto cada vez mayor de tecnologías de comunicación, como Wi-Fi, Bluetooth y GPS, el vehículo conectado representa una infraestructura digital compleja expuesta a múltiples vectores de ataque. Y con 76,3 millones de vehículos conectados que se prevé que circulen por todo el mundo en 2023, lo que representa un monolito de bases defensivas que hay que establecer para lograr una seguridad real.

MISRA es una organización clave que lucha eficazmente contra las amenazas relacionadas con los sistemas integrados, habiendo elaborado directrices destinadas a facilitar la seguridad, la portabilidad y la fiabilidad del código en el contexto de los sistemas integrados. Estas directrices constituyen la piedra angular de las normas que toda empresa debe respetar en el marco de sus proyectos de sistemas integrados.

Sin embargo, para crear y ejecutar código que cumpla con esta norma de referencia, se necesitan ingenieros de sistemas integrados que confíen en estas herramientas, por no hablar de su nivel de seguridad.

¿Por qué es tan específico el refuerzo de las competencias en materia de seguridad de los sistemas integrados?

Los lenguajes de programación C y C++ son geriátricos según los estándares actuales, pero siguen siendo muy utilizados. Constituyen el núcleo funcional de la base de código de los sistemas integrados, y Embedded C/C++ disfruta de una vida moderna y brillante en el mundo de los dispositivos conectados.

Aunque estos lenguajes tienen raíces bastante antiguas y presentan comportamientos de vulnerabilidad similares en términos de problemas comunes, como fallos de inyección y desbordamiento del búfer, para que los desarrolladores logren realmente mitigar los errores de seguridad de los sistemas integrados, deben familiarizarse con un código que imite los entornos en los que trabajan. La formación genérica en C sobre prácticas generales de seguridad simplemente no será tan eficaz y memorable como si dedicaras más tiempo y cuidado a trabajar en un contexto C integrado.

Con entre una docena y más de un centenar de sistemas integrados en un vehículo moderno, es imprescindible que los desarrolladores reciban una formación precisa sobre qué buscar y cómo solucionarlo, directamente en el IDE.
‍

La protección de los sistemas integrados desde la planta baja es responsabilidad de todos.

El statu quo en muchas organizaciones es que la rapidez del desarrollo prevalece sobre la seguridad, al menos en lo que respecta a la responsabilidad de los desarrolladores. Rara vez se evalúa su capacidad para producir código seguro, pero el desarrollo rápido de funciones geniales es la referencia absoluta. La demanda de software no hará más que aumentar, pero esta cultura nos ha preparado para una batalla perdida contra las vulnerabilidades y los ciberataques que estas permiten.

Si los desarrolladores no están capacitados, no es culpa suya, y es una laguna que un miembro del equipo de AppSec debe ayudar a subsanar recomendando programas de refuerzo de competencias adaptados y accesibles (por no decir evaluables) a toda la comunidad de desarrolladores. Desde el inicio de un proyecto de desarrollo de software, la seguridad debe ser una prioridad, y todos, en particular los desarrolladores, deben tener el papel que necesitan para desempeñar su función.

Resolver los problemas de seguridad de los sistemas integrados

El desbordamiento del búfer, las vulnerabilidades de inyección y los errores de lógica empresarial son trampas habituales en el desarrollo de sistemas integrados. Escondidos en lo más profundo de un laberinto de microcontroladores en un solo vehículo o dispositivo, pueden ser catastróficos desde el punto de vista de la seguridad.

El desbordamiento del búfer es especialmente frecuente, y si desea obtener más información sobre cómo contribuyó a comprometer la freidora de aire de la que hablamos anteriormente (permitiendo la ejecución de código remoto), consulte este informe sobre CVE-2020-28592.

Ahora es el momento de familiarizarse con una vulnerabilidad de desbordamiento de búfer en un código C/C++ integrado real. Acepte este reto para ver si es capaz de localizar, identificar y corregir los patrones de codificación incorrectos que causan este insidioso error:
‍

Comment t'es-tu débrouillé ? Visitez www.securecodewarrior.com pour une formation précise et efficace sur la sécurité des systèmes embarqués.

Este artículo se publicó inicialmente en DevOps.com. Ha sido actualizado y modificado.

Al igual que «blockchain», «big data» y «disrupción digital», el término «DevOps» es otra palabra de moda que se utiliza actualmente en los servicios informáticos de las grandes empresas.

Muchos han identificado (correctamente) la necesidad de acelerar el ciclo de vida del desarrollo de software; un proceso más preciso, estrechamente alineado con los objetivos comerciales, que permite un flujo de trabajo más claro y la colaboración entre los equipos encargados del desarrollo y las operaciones. DevOps es esencialmente un desarrollo «ágil», desarrollado y listo para responder a las necesidades de innovación constante y despliegue rápido de las empresas modernas. Para los profesionales de la seguridad, se trata de una iniciativa fantástica: podemos integrar la seguridad en el proceso mucho antes, lo que reduce el coste de la corrección de errores y evita posibles catástrofes en el camino.

El problema es que pocas empresas logran realmente implementar DevOps. Sin el apoyo, el estímulo y la comprensión adecuados dentro de la empresa, esta puede convertirse rápidamente en un elefante blanco... ya sabes, uno de esos proyectos «no se habla de la guerra».

Entonces, ¿cuál es el problema? Es una discusión interesante, y hay varias maneras de abordar DevOps que, en mi opinión, facilitarán la navegación. Un programa eficaz no se limita a unas pocas herramientas nuevas, títulos y reuniones de equipo sofisticadas. No siempre será fácil, pero dedicar tiempo a corregir una estrategia fallida (o a implementarla correctamente desde el principio) será mucho menos doloroso a largo plazo. Al final, esto se traducirá en un software de mejor calidad y más seguro.

Descompongámoslo:

Suelte los cordones del delantal «Ágil».

Existe una idea errónea de que una organización debe elegir entre Agile o DevOps, fijándose un camino u otro, para no volver nunca atrás.

El hecho es que el proceso de desarrollo funciona mejor cuando ambos se consideran y se implementan como uno solo. DevOps no es una reinvención del desarrollo ágil, sino más bien una extensión del mismo. Las cosas tienden a fallar cuando se espera que el proceso sea exactamente igual que Agile o completamente diferente de Agile.

Agile apoya el principio de los equipos multifuncionales, reuniendo a los diseñadores, probadores y desarrolladores desde el principio y comprometiéndose a abrir líneas de comunicación a lo largo de todo el proyecto. Su objetivo es poner fin a la entrega compartimentada y reducir la doble gestión, dos ventajas del proceso DevOps. Sin embargo, DevOps va aún más allá al integrar los sistemas, la seguridad y las operaciones en la mezcla para ofrecer un conjunto de competencias sólidas de principio a fin, cuyo objetivo final es proporcionar al cliente software completo y funcional.

Durante las inevitables dificultades relacionadas con la transición a un proceso más centrado en DevOps, puede reaparecer el riesgo de un desarrollo compartimentado. A menudo, el equipo ágil original trabaja en conjunto, mientras que los elementos adicionales relacionados con la seguridad y las operaciones siguen encontrando su lugar en la máquina; nadie sabe realmente cómo incluirlos, qué deben hacer y cuáles son sus objetivos generales.

DevOps no funciona sin objetivos claramente definidos, una integración interfuncional y una comunicación directa con todas las partes. Habrá un período de adaptación que requerirá una gestión minuciosa del cambio, por supuesto, pero poner a todos en sintonía gracias a las mejoras aportadas por las funcionalidades de DevOps representa la mitad de la batalla.

Cada vez más (gracias a Dios), DevOps también hace hincapié en las mejores prácticas de seguridad como parte del proceso, desmitificando esta etapa y cerrando la brecha entre el equipo de seguridad y, finalmente, los demás. Como ya he dicho, aún nos queda un largo camino por recorrer para que los desarrolladores puedan programar de forma segura desde el principio, pero la implementación exitosa de las metodologías DevOps constituye una excelente base sobre la que se pueden reforzar las competencias en materia de seguridad dentro del equipo de desarrollo.

La automatización no lo es todo (y no es la solución más segura).

Otra característica de la metodología DevOps es, en cierta medida, la automatización del proceso de desarrollo de software. Los principios de integración continua y entrega continua (CI/CD) son los pilares de este concepto y, como probablemente ya habrás adivinado, dependen en gran medida de las herramientas.

Las herramientas son geniales, realmente lo son. Pueden aportar una rapidez sin precedentes al proceso de entrega de software, gestionando el repositorio de código, las pruebas, el mantenimiento y los elementos de almacenamiento con una facilidad relativamente fluida.

Sin embargo, aunque los robots puedan quitarnos todos nuestros puestos de trabajo y aprisionarnos algún día, sin duda aún no han llegado a ese punto. La fuerte dependencia de las herramientas y la automatización deja la puerta abierta a los errores. Los escaneos y las pruebas pueden no detectar todo, el código puede no verificarse, lo que a la larga provoca enormes problemas de calidad (por no hablar de seguridad). Un atacante solo necesita una puerta trasera que explotar para robar datos, y renunciar al elemento humano en el control de calidad y seguridad puede tener consecuencias desastrosas.

El «justo medio» consiste en asegurarse de que existe un equilibrio entre las personas y las herramientas. Las herramientas deben servir de ayuda a un equipo en el que confía para alcanzar los objetivos del proyecto. Debe:

• Prevea tiempo suficiente para que los usuarios se familiaricen con la cadena de herramientas DevOps elegida.
• Concéntrese en una colaboración eficaz (y en cómo las herramientas pueden contribuir a ello).
• Cubra todas las lagunas del proceso, ya sean relacionadas con las competencias, los conocimientos o las herramientas.

En resumen, no se conforme con «equiparse» y esperar que todo salga bien.

DevOps no es una palabra de moda, es una cultura. ¿Cultivas la tuya?

La gestión del cambio es difícil incluso en el mejor de los casos. El miedo a lo desconocido puede impedir que incluso los miembros más brillantes del equipo desarrollen sus habilidades y amplíen sus horizontes.

Verán, el simple hecho de decir «Hagamos DevOps» y trasladar las oficinas del equipo de operaciones no bastará para implementar un proceso exitoso como por arte de magia. Muchos se sentirán confundidos y los miembros más antiguos del equipo estarán descontentos. La comunicación de las expectativas es fundamental, al igual que «predicar con el ejemplo». DevOps representa un movimiento cultural tanto como una metodología de desarrollo, y un equipo debe vivir y respirar una mentalidad interfuncional y colaborativa.

¿Cómo es una buena cultura DevOps?

• Las personas están capacitadas para aportar su experiencia a un proceso, y no solo los dirigentes.
• Comunicación abierta, honesta y respetuosa entre los equipos.
• Cada persona asume la responsabilidad del objetivo global que consiste en integrar la calidad y la seguridad en el proceso de desarrollo.
• Todo el mundo está en sintonía en lo que respecta a la definición de DevOps en la empresa, la hoja de ruta y el cómo, el qué y el porqué del papel de cada uno.

Hace años que destaco la importancia de crear una cultura de seguridad positiva dentro de los equipos de desarrollo, y DevOps no es una excepción a la regla.

Las herramientas, los conocimientos y el apoyo adecuados son esenciales para aplicar las mejores prácticas en materia de seguridad, reducir las vulnerabilidades detectadas y hacer comprender al equipo la importancia de proteger nuestros datos. Con DevOps, debe sentar las bases culturales para un cambio positivo: asegurarse de que todos comprendan su función, su valor y sus expectativas, los objetivos generales del proyecto y las etapas del proceso.

¿Lo ha dominado? Genial. Ahora cambiemos las cosas, mejoremos la seguridad y hagamos de DevSecOps el plan definitivo en materia de excelencia en software.

¡Aburrido, aburrido, aburrido! Esa es una de las principales respuestas que escuchará de los desarrolladores cada vez que se mencione la formación en código seguro. En Secure Code Warrior creemos que debe haber una solución mejor. Por eso hemos recurrido a Evans Data Corp. para llevar a cabo una investigación primaria sobre las actitudes de los desarrolladores hacia la codificación segura, las prácticas de código seguro y las operaciones de seguridad (descargue su copia del libro blanco). aquí).

En el libro que se publicará próximamente, «Pasar de la reacción a la prevención: la nueva cara de la seguridad de las aplicaciones», se preguntó a los desarrolladores cuáles eran sus principales problemas relacionados con la formación actual en código seguro, y la respuesta resultó reveladora.

Una formación que menosprecia a los desarrolladores

El 40 % de los desarrolladores encuestados consideró que la codificación segura se enseña de forma aislada. El 40 % consideró que la formación era demasiado teórica, que no estaba relacionada con su trabajo y que no era lo suficientemente «práctica». El 30 % identificó una falta de formación en el marco lingüístico en el que trabajan a diario. Esto es grave, ya que nos indica que la formación actual en código seguro no es relevante desde el punto de vista contextual y no tiene ninguna relación significativa con lo que los desarrolladores hacen a diario.

Para muchos desarrolladores, su principal reto es mantenerse despiertos durante actividades paralizantes que no son eficaces y que no les animan a situar la seguridad en el centro de sus preocupaciones. ‍

La formación en un entorno aislado impide a los desarrolladores establecer vínculos cognitivos entre el laboratorio y el mundo real.

Tres cosas que los desarrolladores esperan de una formación en código seguro:

1. La mayoría de los desarrolladores afirman que desean una formación más práctica y más adaptada al contexto de su trabajo diario.
2. El 65 % de los desarrolladores afirma que es necesaria una formación adicional sobre vulnerabilidades específicas del lenguaje y el Top 10 de OWASP.
3. El 75 % de los desarrolladores encuestados prefiere una formación estructurada en el puesto de trabajo.

Una formación que permite a los desarrolladores progresar.

En materia de formación en el empleo, los desarrolladores aportan un cierto nivel de experiencia y conocimientos previos. Esto pone de manifiesto la necesidad de un aprendizaje «escalonado». Se trata de una formación estructurada —o escalonada— que se basa en lo que el desarrollador ya sabe. La enseñanza escalonada activa y mejora toda la experiencia previa, al tiempo que permite seguir adquiriendo nuevas competencias poco a poco. Esto la convierte en el medio ideal para el aprendizaje en el trabajo.

Transmitir competencias que perduran

En materia de formación en seguridad para desarrolladores, sabemos que estos prefieren el método de aprendizaje práctico al tedioso aprendizaje estático basado en la teoría. En este sentido, es esencial aprender a programar de forma segura en un entorno contextual muy relevante. Como impulsor del cambio en materia de codificación segura, Secure Code Warrior una formación contextual y práctica en los lenguajes de programación y marcos de trabajo pertinentes, con retos similares a los que se enfrentan los desarrolladores en el mundo real. El contenido pedagógico incluye más de 5500 retos y missions más de 147 tipos de vulnerabilidades diferentes, entre las que se encuentran las muy importantes Top 10 OWASP, OWASP Mobile Top 10, OWASP API Security Top 10 y CWE/SANS Top 25.

Si desea ver el impacto potencial en sus equipos y su capacidad para proporcionar código seguro más rápidamente, reserve una demostración ahora mismo.

En todo el mundo, las empresas están transformándose. Dado el énfasis que se pone en las actividades centradas en lo digital, es justo decir que la mayoría de las organizaciones son, en realidad, editoras de software. Las grandes empresas cuentan con enormes equipos de desarrollo entre su personal, encargados de desarrollar e implementar continuamente funcionalidades en un entorno DevOps ágil. Esta oferta de funcionalidades debe seguir el ritmo de la innovación y las expectativas de los clientes. Con demasiada frecuencia, la seguridad se percibe como un obstáculo en lugar de como una necesidad. Sin embargo, dado que nuestra dependencia del software nunca ha sido tan alta (y, por lo tanto, nuestra exposición a posibles fallos y riesgos de ciberseguridad), esta situación no puede continuar.

Los equipos de seguridad no están creciendo, y aunque pudieran hacerlo, la experiencia es escasa. Las proporciones de 1:100 y superiores simplemente no son suficientes; los expertos en seguridad internos no pueden considerarse la única solución para contrarrestar el problema de las ciberamenazas.

Nuestro seminario web, presentado por Stephen Allor, director de Secure Code Warrior América), y Russ Wolfe, decano de ciberseguridad en Capital One, aborda en profundidad los problemas actuales a los que se enfrenta DevOps y las medidas adoptadas por instituciones financieras como Capital One para implicar y mejorar las competencias de sus equipos de desarrollo en materia de codificación segura, fomentando de manera eficaz una cultura de seguridad positiva y logrando «cambiar hacia la izquierda».

Descubrirá:

• Si usted es víctima del «agujero negro» de los conocimientos en materia de seguridad
• ¿Por qué la seguridad era más sólida hace décadas que hoy en día?
• La actitud tradicional hacia la seguridad de las aplicaciones (AppSec) como un «requisito de cumplimiento» y por qué es, en el mejor de los casos, superficial.
• La razón por la que las evaluaciones de la calidad de las aplicaciones deben incluir la seguridad en el marco de la evaluación de la calidad; una aplicación no segura no puede considerarse de alta calidad, independientemente de su diseño o sus funcionalidades.
• ¿Por qué el sector no ha integrado la seguridad del software en la mentalidad y la cultura del desarrollador medio (y por qué esto debe cambiar)?
• Cómo la falta de competencias compartidas en materia de codificación segura hace que las mismas vulnerabilidades aparezcan una y otra vez.
• ¿Por qué las herramientas de análisis de aplicaciones no detectan todas las vulnerabilidades y por qué evitarlas recurriendo a ingenieros/desarrolladores de seguridad con la formación adecuada es una táctica más viable?
• El problema del aumento de las vulnerabilidades del software y su causa principal
• ¿Por qué es el enfoque, y no el estudiante, el que debe cambiar para que los riesgos se reduzcan realmente?
• ¿Por qué la mayoría de los cursos de formación en seguridad no aprovechan los puntos fuertes de los desarrolladores y el tipo de formación que necesitan para sobresalir?
• Las razones por las que el cumplimiento y las expectativas en materia de desarrollo de ingeniería de software son inferiores a los de otras ramas de la ingeniería, y cómo somos pioneros en la solución de este problema.
• Cómo Russ Wolfe y su equipo de Capital One diseñaron un programa de certificación basado en una formación lúdica y divertida que permite a los desarrolladores mantenerse comprometidos, aprender con código fuente real y alcanzar objetivos de referencia en materia de mejores prácticas de seguridad.
• Cómo este programa de certificación fomenta la participación, la retención de información y la formación continua.
• Cómo los incentivos ayudan a los desarrolladores a pasar de un nivel de formación a otro, a mejorar sus competencias rápidamente y de conformidad con la política de seguridad clave.
• Cómo las evaluaciones ayudan a identificar a los campeones de la seguridad y a estimular el compromiso con la formación.

Vea nuestro seminario web ahora mismo, bajo demanda, y descubra las ventajas de una transición hacia la izquierda y de proporcionar a los desarrolladores las herramientas y los conocimientos necesarios para programar de forma segura desde el principio, haciendo hincapié en las prácticas de seguridad positivas.

Descubra lo que hacen instituciones financieras como Capital One para involucrar y mejorar las habilidades de sus equipos de desarrollo en materia de codificación segura, promoviendo eficazmente una cultura de seguridad positiva y logrando «cambiar hacia la izquierda».

El creciente número de ataques de ciberseguridad, así como su mayor sofisticación, han provocado cambios en todos los sectores e industrias de todo el mundo. Todo el mundo intenta «girar hacia la izquierda», asegurando todos sus procesos y procedimientos lo antes posible. La situación ha favorecido incluso la aparición de movimientos totalmente nuevos destinados a mejorar las ciberdefensas, como DevSecOps, donde la seguridad se integra en el núcleo mismo de la creación de nuevos programas y aplicaciones.

Muchos de estos cambios se dejan sentir en la comunidad de desarrolladores. Dado que son ellos quienes crean, escriben y codifican los nuevos programas y aplicaciones, pedirles que adopten prácticas de codificación más seguras parece una buena idea. Al fin y al cabo, no se puede avanzar más hacia la izquierda que cuando se crean nuevas aplicaciones por primera vez.

¿Pero qué piensa la comunidad de desarrolladores sobre esta responsabilidad? Antes evaluados casi exclusivamente en función de la rapidez con la que podían programar, ¿qué piensan hoy los desarrolladores sobre su nuevo papel como defensores de la seguridad? ¿Y sienten que la dirección de su empresa apoya estos esfuerzos ofreciéndoles una formación de calidad, mejores recompensas y el reconocimiento que merecen por asumir esta nueva responsabilidad esencial?

Por segundo año consecutivo, nos hemos asociado con Evans Data Corp. para realizar una encuesta exhaustiva entre la comunidad mundial de desarrolladores sobre sus habilidades, percepciones y comportamientos en materia de prácticas de codificación seguras, así como sobre su impacto y relevancia percibidos en el ciclo de vida del desarrollo de software (SDLC). Los resultados han sido bastante sorprendentes en muchos aspectos.

El estado de la investigación de seguridad realizada por los desarrolladores en 2022

La encuesta Secure Code Warrior el estado de la seguridad impulsada por los desarrolladores fue realizada por Evans Data Corp en diciembre de 2021. Se formularon preguntas sobre la codificación de software, la sensibilización sobre la seguridad, la formación, la asistencia, las motivaciones y otros temas a 1200 desarrolladores de software activos que trabajan en la región de Asia-Pacífico, Europa y América del Norte. La encuesta se realizó en inglés y se tradujo cuando fue necesario para obtener una perspectiva global precisa. Entre los encuestados se encontraban desarrolladores que crean nuevas aplicaciones, así como responsables de la comunidad de desarrolladores.

Algunos descubrimientos sorprendentes

El lunes 11 de abril se publicarán un libro blanco detallado (Los retos (y oportunidades) relacionados con la mejora de la seguridad del software) y un informe (El estado de la seguridad impulsada por los desarrolladores, 2022) que abordan todos los aspectos de la encuesta. El libro blanco incluye nuestro análisis de los resultados y las preocupaciones planteadas por la comunidad en relación con las prácticas de codificación seguras, así como recomendaciones a las organizaciones para que doten a los equipos de desarrolladores de los medios necesarios para mejorar la seguridad del software.

Algunos de estos retos pueden plantear interrogantes a todos aquellos que trabajan con desarrolladores dentro de su organización, así como a quienes forman parte de la comunidad de desarrolladores. Sin duda, a nosotros nos los han planteado.

Por ejemplo, solo el 14 % de los encuestados indicó que la seguridad de las aplicaciones era una prioridad absoluta en la actualidad. En cambio, los indicadores más tradicionales, como el rendimiento de las aplicaciones y la jerarquización de las características y funcionalidades, siguieron siendo el centro de sus preocupaciones.

La seguridad era tan poco prioritaria que el 67 % de los desarrolladores encuestados admitieron que dejaban regularmente vulnerabilidades y exploits conocidos en su código. Lo hacían bien por plazos ajustados, dando prioridad a la funcionalidad frente a la seguridad, bien porque simplemente no tenían la formación o los conocimientos necesarios para resolver los problemas de seguridad.

En muchos casos, los desarrolladores afirmaron que su organización no definía qué constituía un código seguro y no proporcionaba la formación ni el apoyo adecuados para cambiar esta situación.

Sin embargo, a pesar de algunos resultados negativos, también estaba claro que las actitudes estaban cambiando. La gran mayoría de los desarrolladores (66 %) esperaba que la seguridad se convirtiera en una prioridad acumulada en los próximos 12 a 18 meses, mientras que el 82 % de los responsables de contratación que respondieron a la encuesta expresaron su interés en contratar desarrolladores con conocimientos de seguridad en lugar de aquellos que no los tienen.

Si bien los resultados de la encuesta muestran claramente que la comunidad de desarrolladores y las organizaciones con las que trabajan se enfrentan a cambios enormes, los planes para el futuro a corto y largo plazo también se perfilan rápidamente.

Esté atento al libro blanco y al informe que detalla los resultados completos de la encuesta, así como a los comentarios de los expertos sobre los retos relacionados con las prácticas actuales de codificación segura y las oportunidades que las empresas pueden aprovechar para mejorar las competencias de los desarrolladores en materia de seguridad y, en última instancia, la seguridad del software.

Consulte el Secure Code Warrior en las páginas del blog para obtener más información sobre la ciberseguridad, el panorama de amenazas cada vez más peligrosas y para saber cómo puede utilizar tecnologías innovadoras y formación para proteger mejor a su organización y a sus clientes.

‍

En los últimos años, se han sacrificado muchos aspectos en aras de la rapidez de comercialización, entre ellos la seguridad de las redes, terabytes de datos confidenciales de clientes y la inestimable reputación de las marcas. La intensa presión ejercida para acelerar la publicación de nuevas funciones y características ha llevado a la creación de equipos complejos y distribuidos, centrados en un desarrollo rápido, poco conscientes de las vulnerabilidades que podrían crear o de los enormes riesgos. Ahora más que nunca, se impone una nueva forma de trabajar. Así, en 2020, Secure Code Warrior comprometió con Evans Data Corp. a llevar a cabo una investigación primaria* sobre las actitudes de los desarrolladores y sus responsables con respecto a la codificación segura, las prácticas de código seguro y las operaciones de seguridad (descargue su copia del libro blanco). aquí).

Indicadores de rendimiento para el éxito de los proyectos: ¿qué lugar ocupa la seguridad?

Los desarrolladores y los responsables consideran que es importante disponer de un código seguro, pero no tan importante como otros factores. Cuando preguntamos a los desarrolladores y responsables cuáles eran las prioridades más críticas del proceso de desarrollo de software:

• El 76 % del rendimiento de las aplicaciones nominadas.
• El 62 % eligió características y funcionalidades.
• Y un poco más del 50 % del código seguro seleccionado.
  

En comparación con otros indicadores de rendimiento relacionados con el éxito de los proyectos, la codificación segura ocupa actualmente un distante tercer lugar.

En la actualidad, y tal vez no sea sorprendente, los desarrolladores evalúan el éxito de un proyecto basándose en indicadores de rendimiento que solo evalúan el código una vez finalizado el proyecto.

Sin embargo, cuando se les pregunta cómo podría cambiar esto en el futuro, la situación cambia. La forma en que las empresas consideran la seguridad como un indicador de éxito está cambiando. La codificación segura se está convirtiendo en una prioridad cada vez más importante.

Cuando se les pregunta por las prioridades más importantes para medir el éxito de los proyectos en el futuro, el 79 % de los encuestados coincide en que la codificación segura cobrará cada vez más importancia. Lo que llama la atención es que un porcentaje mayor considera que la importancia de la seguridad aumentará en el futuro más que la de cualquier otro indicador de rendimiento. La codificación segura es cada vez más conocida, al igual que el movimiento hacia la «izquierda». Por su propia naturaleza, la práctica de la codificación segura implica tener en cuenta la seguridad mucho antes en el SDLC. Esto significa que hay que integrar activamente la seguridad en el software tal y como se escribe, desde el principio, en lugar de dejarlo para más adelante.

Mientras los directores de sistemas de información se esfuerzan por hacer que sus organizaciones sean más ágiles, las capacidades de codificación seguras se convertirán en un arma de innovación vital. Los directores de sistemas de información y los responsables de seguridad de los sistemas de información deberían reflexionar detenidamente sobre si sus equipos de desarrollo constituyen la primera línea de riesgo o su primera línea de defensa.

Esta información tiene implicaciones cruciales para la forma en que las organizaciones forman a sus desarrolladores. Los equipos deben informarse sobre las vulnerabilidades identificadas recientemente y aprender en sus propios lenguajes/marcos. En resumen, deben comprender cómo localizar, identificar y corregir las vulnerabilidades conocidas en el código en el contexto en el que trabajan a diario.

Como impulsor del cambio en materia de codificación segura, Secure Code Warrior un enfoque dirigido por personas que anima activamente a los desarrolladores a aprender y desarrollar sus habilidades en materia de codificación segura. Si desea ver el impacto potencial en la capacidad de sus equipos para empezar por la izquierda y enviar código seguro más rápidamente sin comprometer la seguridad, reserve una demostración ahora mismo.

‍

Pasar de la reacción a la prevención: la nueva cara de la seguridad de las aplicaciones. Secure Code Warrior Evans Data Corp. 2020