Información sobre el código de seguridad

En Secure Code Warrior, innovamos constantemente para mejorar la experiencia de nuestros clientes y añadir valor a través de la plataforma.

Este mes hemos publicado nuevas actualizaciones relativas a la interfaz de administración de cursos, la posibilidad de acceder en primicia a las nuevas funcionalidades con menos tiempo de espera y el contenido de SAP:ABAP.

Los administradores ahora pueden gestionar los cursos más fácilmente y ofrecer una mejor experiencia al usuario final, gracias a una potente vista tabular que les permite realizar acciones agrupadas en diferentes idiomas y categorías de vulnerabilidades. Además, ahora puede acceder a las nuevas funciones en primicia con solo pulsar un botón de activación/desactivación.

¡Entremos en materia y descubramos más!

Cree y gestione cursos más fácilmente gracias a nuestra nueva experiencia de creación de cursos.

Ahora puede diseñar e implementar fácilmente cursos en varios itinerarios de aprendizaje e idiomas gracias a las acciones agrupadas. En lugar de dedicar tiempo a reproducir el proceso, puede centrarse más en el contenido y la estrategia para ayudar a sus desarrolladores a aprender de forma más eficaz.

Actualmente, las actualizaciones del flujo de creación de cursos están disponibles para los administradores de la empresa.

Ahorre tiempo al diseñar cursos gracias a una potente vista tabular y una experiencia de búsqueda.

La información sobre los cursos en todos los idiomas y categorías de vulnerabilidades ahora está disponible en una sola vista, lo que le permite crear rápidamente cursos para diferentes equipos de desarrollo.

Gracias a la nueva vista tabular, puede obtener fácilmente una visión general del contenido de un vistazo o profundizar en los detalles. El contenido de los cursos también es ahora más fácil de navegar, ya que está agrupado por idioma y categoría de vulnerabilidad con detalles adicionales, como los tipos de actividad, el nivel de dificultad, etc., para cada nivel de grupo.

Incluso puede refinar los detalles en los que desea centrarse utilizando la función de búsqueda o aplicando filtros. Además, los datos de las tablas se pueden exportar a otra aplicación o analizar más a fondo exportando todas las líneas o las líneas filtradas a un archivo CSV.

‍

Haga más con menos clics gracias a las acciones agrupadas.

Puede realizar modificaciones agrupadas en el curso desde un único lugar, en lugar de aplicar los cambios en todos los idiomas. Las acciones agrupadas ahorrarán tiempo a los administradores y les permitirán centrarse en lo esencial: diseñar una experiencia de curso adaptada a los desarrolladores.

Las nuevas acciones agrupadas incluyen:

• Añada un tema de curso, como el Top 10 de OWASP o categorías de vulnerabilidades específicas para todos los idiomas.
• Añada idiomas a un curso y actualice rápidamente el contenido.
• Copie, bloquee o desbloquee los módulos de determinadas líneas o de todas las líneas.
• Eliminar idiomas o módulos del curso
• Cree un mensaje de bienvenida y de fin de curso de una sola vez para todos los idiomas.

‍

Evaluación final del curso

Ahora puede personalizar la evaluación final del curso para cada idioma y gestionarla desde una única vista.

Puede crear fácilmente itinerarios de evaluación personalizados, en función del idioma y del tipo de curso, con el fin de medir y evaluar las competencias al final del curso.

Acceda en primicia a las nuevas funcionalidades.

‍

En el pasado, si deseaba conocer las nuevas funciones que estaban por llegar y probarlas antes de su disponibilidad general, tenía que hablar con sus gestores de éxito del cliente y esperar a que nuestro equipo activara las funciones para usted.

Ahora puede controlar cuándo y qué función activar para su equipo con solo pulsar la pestaña Administración. No es necesario esperar más tiempo.

Solo tiene que ir a Administración > Más > Acceso anticipado para probarlo.

Esta función se utilizará para otras funciones, en particular aquellas que implican cambios importantes en la experiencia del usuario, lo que le permitirá controlar mejor su experiencia.

¿Tienes curiosidad por saber qué funciones están disponibles para el acceso anticipado? Descubre algunas de las opciones actuales:

> Una versión mejorada de la página de inicio Mostrar para una experiencia más unificada

> Actualizaciones de los cursos:

1. Modo de previsualización del estado
2. Acciones agrupadas sobre el contenido del curso
3. Mensaje de bienvenida mundial
4. Mejoras en las actividades de fin de curso

Actualmente, las opciones de acceso anticipado están disponibles para los administradores de la empresa.

Aplicaciones ABAP seguras con contenido formativo publicado recientemente

Los desarrolladores que programan en ABAP ahora pueden participar en una formación sobre programación segura muy interesante y relevante. La nueva formación ayudará a los desarrolladores a mejorar sus habilidades en materia de programación segura y a reducir las vulnerabilidades del código ABAP.

Gracias a los retos y missions codificación de Secure Code Warrior talleres prácticos), puedes ofrecer un programa que cubra:

1. Una formación a su ritmo que los desarrolladores pueden seguir cuando lo necesiten.
2. Programas de aprendizaje específicos que se ajustan a los requisitos de conformidad, los marcos de seguridad o los niveles de competencia de los desarrolladores.
3. Competiciones de programación divertidas
4. Evaluaciones seguras de las competencias en materia de codificación

Para obtener más información sobre nuestro contenido formativo sobre ABAP, haga clic aquí.

------

¿Desea probar Secure Code Warrior aún no tiene una cuenta? Regístrese hoy mismo para obtener una cuenta de prueba gratuita y comenzar.

¡Esto es todo por lo que respecta a las nuevas funciones de este mes! Siga a Secure Code Warrior Twitter para obtener información actualizada sobre las últimas versiones y mejoras.

Cuando las vulnerabilidades del software se consideran secundarias o un obstáculo para la innovación, las empresas se exponen a violaciones de datos, daños a su reputación y costosas responsabilidades legales. Los ciberataques suelen aprovechar las debilidades del código que podrían haberse evitado con prácticas de desarrollo más estrictas.

La codificación segura permite superar estos retos integrando principios de seguridad en cada etapa del desarrollo. En lugar de implementar parches tras descubrir vulnerabilidades, los desarrolladores escriben código con protecciones integradas contra amenazas comunes, como los ataques por inyección y el cross-site scripting (XSS). Veamos más de cerca cómo la codificación segura puede ayudar a su empresa a reducir los riesgos, mantener la confianza de los usuarios y cumplir con los requisitos normativos, al tiempo que proporciona software fiable y de alta calidad.

¿Qué es la codificación segura?

La codificación segura es el principio que consiste en seguir las mejores prácticas de seguridad al escribir software para corregir posibles vulnerabilidades. En lugar de tratar la seguridad como una fase separada del desarrollo, la codificación segura integra medidas de protección probadas desde las primeras etapas, lo que garantiza que los desarrolladores se apropien de la seguridad del código y tengan las habilidades necesarias para aplicarla de manera eficaz.

Las normas de codificación segura reconocidas elaboradas por organizaciones como el Open Worldwide Application Security Project (OWASP) o la división CERT del Software Engineering Institute pueden servir de guía para los desarrolladores que desean evitar las trampas habituales que aprovechan los atacantes. En el panorama actual de la ciberseguridad, es imprescindible contar con conocimientos básicos y prácticos de codificación segura para implementar estas estrategias de forma segura en los flujos de trabajo existentes. Por ejemplo, la validación de la mayor parte de las entradas de los usuarios puede impedir los ataques de inyección SQL, mientras que la codificación de las salidas permite bloquear el XSS. Estas y otras prácticas de codificación segura reducen el riesgo de violaciones y permiten crear aplicaciones más resistentes, capaces de hacer frente a la evolución de las ciberamenazas.

¿Por qué es tan importante la codificación segura?

La codificación segura es importante porque muchos ciberataques exitosos aprovechan vulnerabilidades que podrían haberse evitado durante el desarrollo. Al dar prioridad a las prácticas seguras desde el principio, se reduce la probabilidad de introducir fallos que los atacantes puedan utilizar para comprometer los datos o perturbar las operaciones. La integración de la seguridad en cada etapa del ciclo de vida del desarrollo de software (SDLC) garantiza que cada funcionalidad, cada actualización y cada integración se diseñen con la protección en mente.

Tratar los riesgos de forma proactiva durante el desarrollo es mucho menos costoso que corregirlos después de la implementación, donde la corrección puede requerir parches de emergencia, interrupciones del servicio y recursos de respuesta a incidentes. También mejora el cumplimiento de las normativas en materia de protección de datos, evitando posibles multas y problemas legales. Las prácticas de codificación seguras también refuerzan la confianza de los consumidores en su empresa e integran una mayor seguridad en la reputación de su marca.

Vulnerabilidades de seguridad comunes en el código

La codificación segura tiene como objetivo prevenir las vulnerabilidades más frecuentes y peligrosas explotadas por los atacantes, así como los vectores de amenazas emergentes, como los relacionados con el uso de herramientas de codificación basadas en la inteligencia artificial. A continuación se ofrece una descripción general de varias vulnerabilidades comunes, los daños que pueden causar y cómo la codificación segura puede ayudar a mitigarlas.

Defectos de deserialización

Los fallos de deserialización se producen cuando una aplicación acepta y procesa datos procedentes de fuentes externas sin la validación adecuada. La serialización convierte los objetos a un formato que se puede almacenar o transmitir, mientras que la deserialización reconstruye dichos objetos para su uso. El impacto de una falla de deserialización puede ser grave, provocando la ejecución de código arbitrario o un aumento de privilegios. La codificación segura resuelve este problema garantizando que solo se deserialicen los datos confiables y validados, y evitando en la medida de lo posible la deserialización nativa de entradas no confiables.

Ataques por inyección

Los ataques por inyección se producen cuando un atacante proporciona una entrada que la aplicación interpreta como parte de un comando o una solicitud. El tipo más conocido es la inyección SQL, en la que se insertan instrucciones SQL maliciosas en las solicitudes para acceder al contenido de la base de datos o modificarlo. Otros tipos incluyen las inyecciones de comandos, en las que los atacantes ejecutan comandos arbitrarios, y las inyecciones LDAP (Lightweight Directory Access Protocol). Las consecuencias de los ataques por inyección son numerosas, desde el acceso y la eliminación no autorizados de datos hasta el compromiso total del sistema. Las bases de datos que contienen información personal, financiera o exclusiva sensible son objetivos privilegiados. La codificación segura previene las vulnerabilidades de inyección mediante el uso de consultas parametrizadas o instrucciones preparadas, escapando los datos no fiables antes de que sean procesados y aplicando una validación estricta de las entradas. Estas y otras prácticas de codificación segura pueden impedir que los atacantes modifiquen el comportamiento previsto de la aplicación.

Scripting entre sitios (XSS)

El scripting intersite (XSS) es una forma de ataque por inyección que se dirige a las aplicaciones web insertando scripts maliciosos en las páginas consultadas por otros usuarios. Esto suele ocurrir cuando una aplicación incluye una entrada de usuario no validada en su salida. Cuando el navegador de otro usuario muestra la página, se ejecuta el script malicioso, que puede robar cookies, capturar pulsaciones de teclas o redirigir a sitios maliciosos.

El impacto de XSS puede incluir el secuestro de sesiones y la suplantación de identidad. Para las empresas, esto erosiona la confianza de los clientes y puede tener consecuencias normativas si se comprometen datos confidenciales. La codificación segura aborda el XSS limpiando y codificando todas las entradas proporcionadas por el usuario antes de que se muestren, utilizando marcos que escapan automáticamente la salida e implementando una política de seguridad de contenido (CSP) para limitar los scripts que se pueden ejecutar.

Control de acceso

Las vulnerabilidades relacionadas con el control se producen cuando las reglas relativas a lo que los usuarios pueden ver o hacer no están correctamente definidas o aplicadas. Un control de acceso defectuoso permite a los atacantes eludir las restricciones de rol de los usuarios previstas, lo que les permite leer datos confidenciales, modificar registros o realizar acciones destinadas únicamente a usuarios privilegiados.

Los problemas de control de acceso constituyen un gran desafío, y las herramientas de codificación de la IA, en particular, han tenido dificultades para tratar eficazmente este tipo de vulnerabilidad, lo que pone de relieve la necesidad de recurrir a las competencias y la sensibilización de los desarrolladores. El impacto de una violación del control de acceso es significativo. Por ejemplo, si un atacante puede acceder a funciones reservadas a los administradores, puede desactivar los parámetros de seguridad, extraer información privada o suplantar a otros usuarios.

Las prácticas de codificación seguras permiten contrarrestar estos riesgos aplicando controles de autorización del lado del servidor para cada solicitud, de acuerdo con el principio del mínimo privilegio, y evitando confiar únicamente en la oscuridad (como el enmascaramiento de enlaces) como medida de seguridad. Además, la realización de pruebas rigurosas de control de acceso garantiza que estas protecciones sigan siendo sólidas a largo plazo.

Falsificación de solicitudes entre sitios (CSRF)

Los ataques de falsificación de solicitudes entre sitios (CSRF) obligan a un usuario a realizar una acción no deseada en otro sitio en el que está autenticado. Puede tratarse de transferir fondos, cambiar una dirección de correo electrónico o modificar la configuración de la cuenta. El ataque funciona porque el navegador incluye automáticamente tokens de autenticación válidos, como cookies, en la solicitud falsificada.

El cifrado seguro protege contra CSRF mediante la implementación de tokens anti-CSRF únicos para cada sesión de usuario y su validación en cada solicitud de cambio de estado. Las defensas adicionales incluyen la obligación de reautenticación para acciones críticas y la definición del atributo SameSite en las cookies para evitar su envío con solicitudes entre sitios. Al integrar estas protecciones en el ciclo de vida del desarrollo, puede aumentar la probabilidad de que su sistema solo procese acciones legítimas e intencionadas.

Autenticación no segura

La autenticación no segura se produce cuando el proceso de verificación de la identidad de un usuario es débil, predecible o defectuoso. Esto puede deberse a políticas de contraseñas inadecuadas, un almacenamiento inseguro de las credenciales o la ausencia de autenticación multifactorial (MFA). Los atacantes pueden aprovechar estas debilidades mediante diversos métodos, entre los que se incluyen los ataques de fuerza bruta, el relleno de credenciales o la interceptación de credenciales sin cifrar en tránsito. El impacto de una autenticación no segura es grave, ya que puede dar a los atacantes acceso directo a las cuentas de los usuarios, los controles administrativos y los datos confidenciales. Una vez dentro, pueden comprometer aún más los sistemas o hacerse con información valiosa.

El cifrado seguro corrige esta vulnerabilidad imponiendo requisitos estrictos en materia de contraseñas, hash y clasificación de la información de identificación almacenada, utilizando protocolos seguros como HTTPS para todos los intercambios de autenticación e integrando la autenticación multifactorial (MFA) para proporcionar un nivel adicional de verificación. Los desarrolladores también deben diseñar mecanismos de inicio de sesión para limitar los intentos fallidos y detectar rápidamente las actividades sospechosas, de modo que los sistemas de autenticación actúen como una línea de defensa sólida en lugar de como un punto débil.

6 prácticas de codificación segura que se deben seguir

La creación de software seguro no se limita a conocer las amenazas existentes. Requiere aprender e integrar prácticas y modelos de codificación seguros y probados. Las técnicas que se describen a continuación proponen medidas concretas que los desarrolladores pueden adoptar para integrar la seguridad en cada proyecto.

1. Implementar el control de acceso de los usuarios.

Como se ha indicado anteriormente, el control de acceso de los usuarios consiste en definir y aplicar permisos para cada rol de usuario en su sistema. Un control de acceso reforzado impide que los usuarios no autorizados consulten datos confidenciales, modifiquen registros o realicen acciones administrativas. También limita los daños en caso de que se comprometa una cuenta de usuario, ya que un atacante solo dispondrá de los permisos de esa cuenta.

Un control de acceso eficaz requiere una autenticación sólida para verificar la identidad, seguida de controles de autorización para confirmar que el usuario autenticado está autorizado a realizar la acción solicitada. Debe revisar periódicamente sus prácticas de control de acceso para alinearlas con el principio del mínimo privilegio, otorgando a los usuarios el acceso mínimo necesario para realizar su trabajo. El control de acceso también se basa en una supervisión periódica para mantener actualizadas las políticas y los usuarios del sistema, así como en auditorías que señalan rápidamente cualquier actividad inusual.

2. Validar y depurar los datos.

La validación y limpieza de datos implican verificar todas las entradas entrantes para asegurarse de que cumplen con los formatos, tipos y modelos esperados antes del procesamiento, y luego limpiar los datos para eliminar el contenido potencialmente peligroso. Estas prácticas deben aplicarse a los datos entrantes procedentes de cualquier fuente externa, ya que incluso las fuentes fiables pueden verse comprometidas. Por lo tanto, cada entrada debe tratarse como no fiable hasta que se verifique. Al integrar la validación y la desinfección en el proceso de desarrollo, se garantiza la resiliencia de la aplicación frente a amenazas comunes, como los ataques por inyección.

3. Escriba en un lenguaje moderno.

La codificación segura no se limita a la forma en que se escribe el código. También se trata de elegir herramientas y entornos que permitan evitar más fácilmente la introducción de fallos de seguridad. Aunque pasar por completo a un lenguaje moderno no suele ser una opción realista o eficaz para muchas empresas, utilizar al menos parcialmente un lenguaje de programación moderno y utilizar la última versión de todos los lenguajes que hayas elegido puede mejorar la seguridad del software. Los lenguajes y marcos modernos suelen ofrecer una mayor seguridad de la memoria, una verificación de tipos más avanzada y protección integrada contra las vulnerabilidades comunes. Por ejemplo, lenguajes como Rust y Go están diseñados pensando en la seguridad, para evitar problemas como los desbordamientos de búfer a los que pueden ser más propensos los lenguajes más antiguos.

Los lenguajes establecidos, como Java o Python, pueden ser difíciles de modernizar y proteger, pero mantenerse al día con las últimas versiones le permite acceder a las últimas funciones de seguridad y mejoras de rendimiento. Muchas actualizaciones corrigen vulnerabilidades conocidas, desaprueban funciones peligrosas y proporcionan parámetros predeterminados más seguros.

4. Ofuscación del código de prácticas

La ofuscación del código es el proceso que hace que su código fuente o su código compilado sea más difícil de comprender, retroingeniar o manipular para los atacantes. Aunque no sustituye a otras medidas de seguridad, añade una capa adicional de defensa al ocultar la lógica y las rutinas sensibles de la aplicación a miradas indiscretas. La ofuscación puede implicar técnicas como cambiar el nombre de las variables y funciones por identificadores sin sentido o reestructurar el código para que sea más difícil de seguir.

El objetivo es aumentar los costes y los esfuerzos necesarios para que un atacante detecte y aproveche las vulnerabilidades. En la codificación segura, la ofuscación se combina con otras prácticas de seguridad estrictas para que su aplicación resulte menos atractiva como objetivo.

5. Escanee y supervise su código.

Las prácticas de codificación segura también implican escanear y supervisar activamente su código. Las herramientas de pruebas estáticas de seguridad de aplicaciones (SAST) analizan el código fuente para detectar vulnerabilidades conocidas antes de la implementación, mientras que las herramientas de pruebas dinámicas de seguridad de aplicaciones (DAST) prueban las aplicaciones en ejecución para detectar fallos explotables en tiempo real. La combinación de ambos enfoques permite detectar problemas de forma temprana y continua.

Más allá de la digitalización durante el desarrollo, es esencial implementar una supervisión continua durante la producción. Esto implica configurar alertas en caso de actividad inusual, registrar los eventos de seguridad y utilizar herramientas de autoprotección de aplicaciones en ejecución (RASP) para detectar y bloquear los ataques en tiempo real. El análisis y la supervisión regulares garantizan que, incluso si aparecen vulnerabilidades durante el desarrollo, se disponga de la visibilidad necesaria para remediarlas rápidamente antes de que se produzcan daños importantes.

6. Documentar e implementar normas de codificación seguras.

La documentación de las normas de codificación segura consiste en crear un conjunto claro de directrices que definan la forma en que su equipo escribe código seguro, mantenible y conforme. Estas normas deben abarcar temas como la validación de entradas, la gestión de errores, las prácticas de cifrado y la gestión de sesiones, así como la forma de remediar las vulnerabilidades comunes específicas de su infraestructura tecnológica.

La implementación de estas normas garantiza que todos los desarrolladores, desde los ingenieros principiantes hasta los arquitectos sénior, sigan los mismos principios de seguridad. Junto con la formación y las actualizaciones periódicas, estas normas se convierten en un recurso vivo que permite mantener su proceso de desarrollo en conformidad con los últimos requisitos de seguridad.

Normas y marcos de codificación seguros

Si necesita ayuda para elaborar sus propias normas de codificación, las siguientes directrices populares pueden resultarle útiles. Abarcan una amplia gama de prácticas destinadas a corregir las vulnerabilidades más comunes y pueden ayudarle a aclarar cómo alinear sus esfuerzos de codificación con las mejores prácticas del sector.

Prácticas de codificación segura de OWASP

OWASP es una de las fuentes más reconocidas para los desarrolladores que desean integrar la seguridad en su código de principio a fin. Produce recursos clave para la codificación segura, como la Guía del desarrollador de OWASP y el Top 10 de OWASP. El enfoque de OWASP es muy viable y ofrece listas de verificación y consejos de codificación que los desarrolladores pueden aplicar durante el desarrollo.

El cumplimiento de las directrices de la OWASP beneficia a los equipos al crear una base de referencia común para una codificación segura entre proyectos. Dado que la OWASP se actualiza periódicamente para reflejar los nuevos vectores de amenazas y las nuevas técnicas de ataque, las organizaciones pueden utilizarla para adelantarse a los riesgos emergentes. Al integrar los principios de la OWASP en su flujo de trabajo, mejorará la calidad del código, reducirá las vulnerabilidades y cumplirá con las directrices ampliamente aceptadas del sector.

Marco de desarrollo de software seguro del NIST

El Instituto Nacional de Estándares y Tecnología (NIST) publica directrices completas sobre codificación segura junto con marcos de ciberseguridad ampliados. Además de proporcionar información sobre prácticas de desarrollo de software seguro de alto nivel, el Marco de Desarrollo de Software Seguro del NIST (SSDF) proporciona un vocabulario común que mejora la comunicación sobre cuestiones clave dentro y entre los equipos de su empresa. Se centra en los resultados más que en técnicas específicas, por lo que es preferible complementarlo con otras normas como OWASP o las normas de codificación SEI CERT.

Normas de codificación SEI CERT

Desarrolladas por la división CERT del Instituto de Ingeniería de Software (SEI), las normas de codificación SEI CERT se centran en la prevención de fallos de seguridad en lenguajes de programación específicos, en particular C, C++, Java y Perl. Cada norma específica de un lenguaje incluye reglas de codificación seguras, explicaciones detalladas y ejemplos de código conforme y no conforme. Dado que las normas de codificación CERT tienen en cuenta los matices y las particularidades de lenguajes de programación específicos, resultan muy útiles y aplicables para los desarrolladores que trabajan en estos entornos.

Ciclo de desarrollo de Microsoft Security

El ciclo de vida de desarrollo de la seguridad (SDL) de Microsoft es un conjunto de prácticas destinadas a integrar la seguridad en el proceso de desarrollo de software. Incluye recomendaciones sobre 10 temas importantes, entre los que se incluyen el modelado de amenazas, la formación en seguridad para desarrolladores y la protección de la cadena de suministro de software. Microsoft utiliza este enfoque, lo que permite a las empresas beneficiarse de un proceso probado que alinea a los desarrolladores, los evaluadores y los equipos de seguridad.

NORMA ISO/IEC 27001

La norma ISO/IEC 27001 es conocida principalmente como norma para los sistemas de gestión de la seguridad de la información (SGSI), pero también tiene importantes implicaciones para la codificación segura. Aunque se centra en la implementación de un SGSI a escala de la organización, incluye principios relacionados con la codificación segura. Estas recomendaciones proporcionan directrices de alto nivel que las organizaciones pueden seguir al implementar prácticas de codificación seguras.

Normas de seguridad de la IA

Las herramientas de codificación de IA son más prácticas que nunca, pero pueden hacer más daño que bien si no permiten obtener un código seguro y preciso. Las Reglas de seguridad de IA Secure Code Warrior, las primeras de su tipo, proporcionan consejos sobre las mejores prácticas de codificación segura que se deben utilizar con herramientas de IA como GitHub Copilot, Cline, Cursor y Windsurf. Estas reglas permiten a sus asistentes de codificación de IA mantenerse en el buen camino, estableciendo barreras que minimizan el riesgo de código inseguro.

Descubra cómo crear un código seguro desde el principio.

La codificación segura es mucho más que un simple requisito técnico, es una ventaja comercial esencial. Cuando su equipo escribe código seguro desde el principio, evita vulnerabilidades costosas, reduce el riesgo de violaciones de datos y proporciona software fiable a sus clientes. Sin embargo, dominar las prácticas de codificación segura puede resultar especialmente difícil sin un asesoramiento estructurado. Los desarrolladores necesitan prácticas concretas, conocimientos actualizados sobre la evolución de las amenazas y una forma de aplicar los principios de seguridad con confianza en cada línea de código.

Certificada según la norma ISO 27001 y conforme a la norma SOC 2,la plataforma de aprendizaje ágil Secure Code Warrior ofrece precisamente eso a su equipo. Gracias a la formación sobre las mejores prácticas de seguridad específicas para cada lenguaje, a retos de codificación realistas y a contenidos diseñados para diferentes funciones, convierte la seguridad en una cuestión secundaria y en una parte natural del proceso de desarrollo. Los desarrolladores adquieren las habilidades necesarias para identificar y corregir rápidamente las vulnerabilidades, alinearse con los estándares del sector y asumir plenamente la seguridad del código a lo largo del ciclo de vida del desarrollo de software. Por lo tanto, no es de extrañar que las empresas que utilizan Secure Code Warrior reducido las vulnerabilidades de software en un 53 %, hayan logrado ahorros de hasta 14 millones de dólares y hayan constatado que el 92 % de sus desarrolladores desean recibir formación adicional.

Si desea ver cómo su equipo puede escribir código más seguro y eficaz desde el primer día, reserve Secure Code Warrior una demostración de Secure Code Warrior .

Aquí en Secure Code Warrior, estamos innovando constantemente para ayudar a equipar a los desarrolladores y las organizaciones con las habilidades adecuadas para hacer frente a los desafíos de seguridad en constante cambio de hoy. Hacemos esto a través de nuestro ágil learning platform para la codificación segura que permite a los desarrolladores aprender cómo quieren, con el contenido de vulnerabilidad más completo y fiable en la industria hoy en día.  

Este último trimestre, Secure Code Warrior ha implementado nuevas formas para que los administradores de la empresa amplíen tournaments a múltiples marcas y entidades, además de gestionar sus usuarios a través del aprovisionamiento SCIM de forma más sencilla. También estamos encantados de anunciar que las nuevas directrices de codificación están disponibles en Jira, así como los informes generales de rendimiento y los nuevos flujos de trabajo del programa disponibles en vista previa. 

Vamos a sumergirnos para saber más.

Ampliación de la amplitud y profundidad de la plataforma SCW 

Secure Code WarriorLa continua expansión de la empresa hacia nuevos contenidos ayuda a que nuestros módulos sigan siendo relevantes, oportunos y adaptados a lo que usted necesita saber en el panorama actual de la ciberseguridad. Con una amplitud y profundidad líderes en la industria de más de 60 lenguajes, es fácil construir y escalar un programa de aprendizaje ágil para desarrolladores en un gran número de lenguajes y frameworks. 

Ya disponible: Directrices de codificación en Jira 

La incorporación de directrices a nuestra integración con Jira ofrece a los desarrolladores un aprendizaje contextual que abarca la mitigación de la seguridad. Las directrices son más detalladas que los vídeos, se centran en un lenguaje o marco específico y ofrecen fragmentos de código para ayudar a los desarrolladores a resolver un problema aún más rápido. Además de acceder a vídeos y retos, ahora los desarrolladores pueden leer directrices de codificación directamente en una incidencia de Jira para acceder a consejos de corrección en profundidad.

Ya está disponible: Nuevo contenido para desarrolladores front-end 

Los desarrolladores de front-end también necesitan habilitación de código seguro. Por eso hemos publicado vulnerabilidades de front-end adicionales en Missions y Walkthroughs. Los desarrolladores de front-end también podrán acceder a Missions específico para front-end a través de Courses. 

Estas actualizaciones se esfuerzan por ofrecer una cobertura completa de las vulnerabilidades específicas del front-end, desde las más comunes, como el XSS basado en DOM, hasta otras menos frecuentes, como la inyección de CSS. Las guías paso a paso proporcionan a los desarrolladores de front-end una orientación fiable sobre cómo se explotan las vulnerabilidades, mientras que los desarrolladores más avanzados también pueden poner a prueba sus habilidades en front-end Missions en Tournaments. 

Nuevas e interesantes formas de ampliar su cultura de seguridad 

Ya está disponible: Multiempresa Tournaments 

‍

Se puede crear Tournaments multiempresa para permitir la competencia amistosa entre desarrolladores de múltiples entidades empresariales, filiales de empresas, socios y otras empresas. Esto garantiza que una cultura de codificación segura pueda extenderse a toda una organización y a sus múltiples marcas.  

¿Interesado en participar en el evento multiempresa por excelencia Tournament? Inscríbete en la 3ª edición de las Devlympics, la iniciativa global de SCW tournament para el mes de la concienciación sobre la ciberseguridad. Si ya es cliente, puede inscribirse a través de la plataforma. 

Simplificación de la experiencia de administración y desarrollo

Ahora disponible: Filtrado de cursos 

La posibilidad de aplicar filtros adicionales en la página de gestión de cursos hace que sea mucho más sencillo para los administradores filtrar hasta el curso en el que desean trabajar. Courses puede filtrarse por varios atributos, como el estado, la fecha de finalización y los equipos inscritos.

Ahora disponible: Gestione sus licencias SCW con SCIM 

Ahora, los propietarios de programas y los administradores de empresas pueden gestionar programáticamente a los desarrolladores a escala y disfrutar de la certeza de saber que los controles de acceso están siempre actualizados.

El aprovisionamiento SCIM utiliza su proveedor de identidades para sincronizar el acceso a Secure Code Warrior. La automatización de estas tareas garantiza la precisión, la seguridad y el cumplimiento para ahorrar tiempo y recursos en el aprovisionamiento de usuarios. Actualmente, SCW solo admite el aprovisionamiento SCIM a nivel de usuario y todavía no para grupos SCIM.

Disponible en vista previa: Programar flujos de trabajo

 Configurar un programa educativo de código seguro escalable y atractivo es ahora más fácil que nunca gracias a las mejoras clave en la usabilidad de la plataforma. Los programas se crearon para proporcionar más orientación a los alumnos mediante la secuenciación de courses y las evaluaciones en programas de varios niveles. Los flujos de trabajo automatizados del programa están ahora disponibles para los clientes que han activado la vista previa en la plataforma. Los flujos de trabajo del programa garantizan que los desarrolladores sepan por dónde empezar, puedan navegar a lo que sigue y se muevan fácilmente a través de los diferentes niveles en un programa de aprendizaje de código seguro. También permite a los administradores de la empresa dedicar menos tiempo a la configuración, la gestión del programa y a instar a los desarrolladores a completar la siguiente actividad de aprendizaje. 

¿Necesita algunos consejos sobre cómo poner en marcha el aprendizaje de código seguro en su organización? Lea nuestro manual sobre cómo estructurar su programa para alcanzar sus objetivos de seguridad. 

Informes y perspectivas de los programas

Disponible en vista previa: Resumen de rendimiento 

Como administrador de una empresa, la necesidad de supervisar la actividad en toda la organización es crucial para comprender la participación de los desarrolladores y medir el éxito de su programa de aprendizaje de código seguro. Hemos creado una interfaz de informes mejorada que garantiza que los administradores de la empresa obtengan la información más útil de sus informes.

La visión general del rendimiento proporciona información sobre la finalización del curso para desarrolladores y assessment , junto con la precisión media a lo largo del tiempo. El informe también genera una referencia detallada del sector para ver cómo se compara su programa con la puntuación media de su sector assessment para su assessment seleccionado. 

Este informe, sencillo pero impactante, marca el inicio del conjunto de perspectivas y métricas de Secure Code Warriorprevistas para 2024. 

¿Le interesa probar Secure Code Warrior pero aún no tiene una cuenta? Reserve hoy mismo una demostración para obtener más información. 

Hasta aquí las novedades de este trimestre. Sigue Secure Code Warrior en LinkedIn y X (antes Twitter) para estar al día de las últimas novedades y mejoras.

‍

‍

El mundo evoluciona rápidamente, independientemente de la empresa o el producto, todo se digitaliza cada vez más y depende del software. Los desarrolladores envían el código más rápido que nunca, pero el 75 % del código sigue siendo verificado y señalado por los equipos de AppSec para detectar vulnerabilidades comunes y fácilmente evitables.

El hecho de no dar prioridad al código seguro y a la seguridad como elementos esenciales del proceso de desarrollo de software conlleva enormes riesgos. De hecho, el coste medio mundial de las violaciones de datos aumentó el año pasado hasta alcanzar los 4,35 millones de dólares (Informe de IBM sobre el coste de una violación de datos 2022). Los desarrolladores necesitan una formación atractiva e innovadora para hacer frente a las nuevas amenazas, así como un cambio de cultura que modifique la mentalidad centrada en la seguridad que se ha dejado en colaboración con el equipo de seguridad.

En Secure Code Warrior, innovamos constantemente para ayudar a los desarrolladores y a las organizaciones a adquirir las habilidades necesarias para hacer frente a los retos de seguridad en constante evolución de hoy en día. Lo conseguimos gracias a programas de formación muy atractivos, flexibles y fáciles de gestionar.

Durante el último trimestre, nos hemos centrado en crear nuevos métodos de aprendizaje con Coding Labs (recientemente disponible en versión preliminar), hemos activado una integración LMS SCORM y hemos creado experiencias de usuario más accesibles e inclusivas, al tiempo que hemos simplificado la experiencia administrativa para ahorrar tiempo.

¡Vamos a descubrir más!

Anuncio de Coding Labs: un aprendizaje de nivel superior

En una reciente encuesta realizada a la industria (Informe sobre el estado de la seguridad impulsada por los desarrolladores 2022), el 40 % de los desarrolladores afirmaron que su formación no era lo suficientemente práctica. Coding Labs ayuda a los desarrolladores a mejorar sus habilidades de codificación segura mediante una formación práctica con codificación real y comentarios intuitivos, todo ello en un entorno de desarrollo integrado en el navegador, familiar y potente, lo que facilita más que nunca el paso del aprendizaje a la práctica.

En lugar de enfrentarse a consejos poco claros y frustrantes, los desarrolladores también pueden estar seguros de que aprenderán de la manera correcta y mejorarán su comprensión gracias a comentarios en tiempo real y contextuales. Coding Labs apoya los objetivos de los desarrolladores en materia de prevención de fallos de seguridad y mejora de la postura de seguridad de su organización.

Integrada en la plataforma SCW, esta nueva experiencia aporta una nueva perspectiva a la capacitación de los desarrolladores. Los directivos pueden elaborar un programa de formación que encamine a los desarrolladores hacia el éxito, con un aprendizaje accesible y rápido que se adapta al nivel de cada desarrollador. Ayude a los usuarios a superar una nueva vulnerabilidad gracias a una formación guiada y accesible que le permitirá avanzar hacia experiencias más estimulantes y prácticas, como Coding Labs. Los directivos pueden estar seguros de que los desarrolladores encontrarán la formación más interesante, más fácil de recordar y, en última instancia, que se aplicará a la base de código para reducir las vulnerabilidades y reelaborarla.

Coding Labs ya está disponible en versión preliminar. Si es cliente de SCW, póngase en contacto con su gestor de cuentas para obtener más información sobre cómo acceder.

¿No es cliente de SCW pero desea mantenerse informado sobre la disponibilidad de Coding Labs? Rellene el formulario aquí.

Únase a SCW para obtener más información sobre nuestras innovaciones en materia de productos y asistir a una demostración de Coding Labs. Inscríbase en el seminario web aquí.

Integre la formación segura en código en su LMS SCORM preferido.

Próximamente, los administradores de SCW podrán gestionar más fácilmente su programa de formación en código seguro en paralelo con sus otras plataformas de formación, sin necesidad de realizar tareas de desarrollo manuales. Esto ahorrará tiempo y ayudará a los administradores a centrarse en formas más eficaces de mejorar sus programas de formación.

Si no está familiarizado con el término, SCORM significa Modelo de referencia de objetos de contenido compartibles y constituye una norma internacional para los cursos en línea. Si su curso está publicado en formato SCORM, puede estar seguro de que casi todos los sistemas de gestión del aprendizaje (LMS) lo reconocerán.

Gracias a la nueva integración SCORM LMS, usted puede:

• Integre una formación sobre código seguro directamente en su LMS favorito para gestionar a los participantes y las tareas en un solo lugar.
• Siga los avances y logros de su organización.

‍

Asegúrese de que su programa SCW esté integrado directamente en el flujo de trabajo de sus desarrolladores favoritos para mejorar la experiencia del usuario. Los paquetes SCORM se pueden descargar para cursos y evaluaciones, lo que permite una integración fluida del LMS con plataformas populares como SAP SuccessFactors, Workday, Cornerstone, etc.

La integración LMS SCORM estará disponible para los clientes en primicia en octubre. Póngase en contacto con su responsable de cuenta para obtener más información.

Ampliar el alcance y la profundidad de la plataforma SCW.

La continua expansión de Secure Code Warrior nuevos contenidos permite mantener la relevancia, la actualidad y la adaptación de nuestros módulos a lo que usted necesita saber en el panorama actual de la ciberseguridad. Con una amplitud y profundidad punteras en más de 55 idiomas, es fácil crear y desarrollar un programa para formar a desarrolladores en un gran número de lenguajes y marcos de trabajo.

Aplicaciones ABAP seguras con contenido formativo publicado recientemente

Aprovechando nuestro descanso de primavera, nos complace lanzar nuevos métodos de formación para desarrolladores que programan en ABAP, con 6 nuevos procedimientos paso a paso y 14 missions.

Acceda a una formación flexible y diversificada con nuevos retos y contenidos.

Secure Code Warrior por publicar continuamente contenido que responda a diversos niveles de competencia, al tiempo que mantiene nuestros módulos de formación relevantes y estimulantes. Este trimestre, SCW ha publicado más contenido en lenguajes de programación populares, tales como:

• 33 retos RPG adicionales, una de las principales demandas de los clientes.
• La posibilidad de crear torneos en RPG
• 10 retos adicionales de Python Django

Todos los nuevos contenidos ya están disponibles en los grupos de desafíos para jugar en la plataforma.

Simplificar la experiencia del administrador y del usuario.

La configuración de un programa de formación en código seguro, evolutivo y atractivo es ahora más fácil que nunca gracias a las importantes mejoras introducidas en la plataforma en términos de usabilidad.

Modifique fácilmente un curso publicado.

Adáptese a las necesidades en constante evolución de su organización y su programa de formación gracias a los nuevos métodos de modificación de los programas existentes. El versionado de los cursos permite a los administradores modificar sus cursos existentes sin tener que crear uno nuevo. Esta era una de las funciones más solicitadas por los clientes.

Las actualizaciones incluyen:

• Añadir nuevos idiomas a un curso publicado
• Añadir/actualizar/eliminar módulos y contenido de actividades en el curso
• Añadir/actualizar/eliminar actividades de fin de curso
• La plataforma registrará una versión principal de un curso para crear un control de versiones básico.

Acceda a los cursos desde la pantalla de inicio.

La incorporación de un botón «Continuar» en la nueva página de inicio muestra una lista de tarjetas de actividad para ayudar a los usuarios a retomar rápidamente los módulos que ya han comenzado. Los usuarios también pueden ver ahora una ventana en la pantalla de inicio para mostrar los módulos sin completar.

Esto permite a los usuarios retomar eficazmente el punto en el que se quedaron si tuvieran que suspender un curso o una evaluación, sin perder nada de su progreso.

‍

Las dos funciones están disponibles para las cuentas que han activado el acceso anticipado en la plataforma. Póngase en contacto con su responsable de cuenta si tiene alguna pregunta sobre el acceso.

Diseño inclusivo y accesible

En Secure Code Warrior, creemos que el lenguaje y el diseño tienen el poder de tender puentes y mejorar la comprensión, conectando a diversos grupos de usuarios en el marco de nuestra misión de defender la codificación segura. Nuestro objetivo es crear y ofrecer una experiencia inclusiva y accesible, y estamos encantados de seguir avanzando en materia de diseño accesible.

El chino tradicional ya está disponible.

Con la incorporación del chino tradicional a los idiomas de la plataforma, seguimos creando una verdadera comunidad mundial de desarrolladores que pueden acceder a las herramientas que necesitan para convertirse en expertos en seguridad.

Puede acceder a los idiomas desde el menú desplegable de ajustes. El chino tradicional también está disponible con subtítulos de vídeo en nuestra sección de recursos.

Participe en el seminario web ProductTalk el 5 de octubre de 2022.

¿Quieres saber más? Participa en nuestro seminario web ProductTalk el 5 de octubre de 2022 para escuchar a los miembros de nuestros equipos de productos hablar sobre las interesantes actualizaciones y nuevas funciones, y descubre la evolución del panorama de la seguridad impulsada por los desarrolladores.

Inscríbase en el seminario web aquí.

¿Desea probar Secure Code Warrior aún no tiene una cuenta? Regístrese para obtener una cuenta de prueba gratuita hoy mismo y empezar a utilizarlo.

¡Esto es todo por lo que respecta a las nuevas funciones de este trimestre! Siga a Secure Code Warrior Twitter para recibir actualizaciones sobre las últimas versiones y mejoras.

El código no seguro cuesta millones a las empresas. Entonces, ¿qué les impide adoptar prácticas de codificación seguras?

En un mundo que depende del software para casi todo, es esencial garantizar que el código sea seguro. La reputación de la marca y su viabilidad financiera dependen de ello. Dicho esto, la codificación segura suscita numerosas preocupaciones y muchos obstáculos dificultan su adopción completa y eficaz. Ahora más que nunca, es necesario adoptar una nueva forma de trabajar. Por ello, en 2020, Secure Code Warrior asoció con Evans Data Corp. para llevar a cabo una investigación primaria* sobre las actitudes de los desarrolladores y sus responsables con respecto a la codificación segura, las prácticas de código seguro y las operaciones de seguridad (descargar el libro blanco). aquí).

En la actualidad, las empresas tienen dificultades para implementar prácticas de código seguras. Tanto los desarrolladores como los gestores consideran especialmente preocupantes la gestión de las vulnerabilidades y la responsabilidad del código.

Es evidente que se necesita una mejor formación y un programa que aborde las prácticas de código seguro. Esta necesidad se hace evidente cuando preguntamos a los desarrolladores y a sus responsables sobre sus preocupaciones en materia de codificación segura. Nuestra investigación* ha demostrado que ambos grupos comparten las mismas preocupaciones fundamentales. Sin embargo, debido a sus diferentes funciones, difieren en cuanto a cuál de estas preocupaciones es la más urgente.

La principal preocupación de los desarrolladores es «incluir código que reproduzca las vulnerabilidades anteriores». Dado que los desarrolladores son evaluados por la calidad de su código, esto no es de extrañar. Ningún desarrollador desea ser responsable de un código inseguro o de un código que deba ser reelaborado y que ralentice a su equipo.

La segunda preocupación más importante para los desarrolladores es la gestión de los errores introducidos por sus compañeros. Cumplir los plazos y ser responsable del código también figuran entre las prioridades, al igual que el hecho de que aprender a programar de forma segura es un reto, lo que confirma una vez más la necesidad de un nuevo enfoque en la formación sobre programación segura.

Los gerentes, por su parte, adoptan una visión más descendente.

Como jefes de equipo y jefes de equipo, su principal preocupación es rendir cuentas del código. Si un equipo produce un código defectuoso, la responsabilidad recae en su gerente.

El código que reproduce las vulnerabilidades anteriores ocupa el segundo lugar. El hecho de que el proceso de aprendizaje sea difícil ocupa el tercer lugar. Dado que los enfoques actuales de formación en código seguro no dan los resultados esperados, los gestores se dan cuenta de que es necesario un nuevo enfoque. ‍

Los obstáculos para la adopción de prácticas de codificación seguras

Cuando preguntamos a los responsables sobre los obstáculos para la adopción de prácticas de codificación seguras en sus organizaciones, dos cosas quedaron claras: la comunicación y la formación.

El 45 % identificó la falta de comunicación entre las partes interesadas y la dirección como un obstáculo importante. El 42 % lamenta la falta de competencias en materia de codificación segura entre los nuevos empleados. Al mismo tiempo, el 40 % indicó que el tiempo y los recursos dedicados a la formación eran insuficientes.

Existen obstáculos relacionados con los procesos y los recursos humanos que dificultan la adopción satisfactoria de prácticas de código seguro en todas las organizaciones.

Pero aún así, se puede seguir avanzando a pesar de estos problemas sin solución. Es más fácil remediar la falta de competencias en materia de codificación segura entre los nuevos empleados y la insuficiencia de formación y recursos.

Los desarrolladores están en primera línea cuando se trata de detener las vulnerabilidades. Pero, ¿cuentan con el apoyo, las herramientas y la formación necesarios para cumplir con su parte del contrato de seguridad?

Teniendo en cuenta sus preocupaciones, la respuesta corta es «no».

A decir verdad, una buena formación no debe parecerse a una conferencia.

Como líder en el cambio en materia de codificación segura, Secure Code Warrior un enfoque centrado en las personas que anima activamente a los desarrolladores a aprender y desarrollar sus habilidades en codificación segura. Nuestra plataforma de aprendizaje probada proporciona a los equipos de desarrollo y seguridad un aprendizaje contextual e hiperrelevante en el marco de su flujo de trabajo preferido. Esto les permite no solo detectar vulnerabilidades, sino también evitar que se produzcan.

Este tipo de formación práctica es una oportunidad para mejorar las habilidades y evolucionar en la carrera profesional, lo que solo tiene ventajas para los desarrolladores que desean poner fin de forma seria a las vulnerabilidades y trabajar con el resto del equipo para producir un código de mejor calidad.

Si desea obtener más información y ver el impacto potencial en la capacidad de sus equipos para «empezar desde cero» y enviar código seguro más rápidamente sin comprometer la seguridad, reserve una demostración ahora mismo.

Pasar de la reacción a la prevención: la nueva cara de la seguridad de las aplicaciones. Secure Code Warrior Evans Data Corp. 2020

¡BSIMM 8 ya está disponible! Fantástico. El único estudio a gran escala sobre las prácticas de seguridad implementadas por las grandes empresas para producir software seguro.

El estudio lo hacen profesionales de la seguridad de aplicaciones bajo la supervisión de Gary McGraw, para asegurarse de que los datos que se recopilan sean coherentes y precisos, y den una idea de lo que hacen 300 000 desarrolladores cada día. En mi última presentación, hablo de las cifras del BSIMM, donde digo que, de media, hay dos profesionales de la seguridad de aplicaciones por cada 100 desarrolladores.

Sin embargo, este no ha sido el caso desde BSIMM4. BSIMM8 indica que esta cifra es aún menor, ya que ahora es de 1,6 por cada 100 desarrolladores. Contratar a más profesionales de la seguridad de las aplicaciones simplemente no funcionará debido a la escasez de talento. Ahora más que nunca, debemos proporcionar a los desarrolladores las herramientas y la formación necesarias para escribir código seguro, práctico, fácilmente accesible y escalable para las empresas.

El informe también muestra que la actividad más habitual en el ámbito de la formación consiste en impartir formación de sensibilización a todos los empleados en un 67 %. Empecé a hacer un mapa de lo que hacíamos en Secure Code Warrior SCW) en el ámbito de la formación y me di cuenta de que nuestra solución podía cubrir las 12 actividades del departamento de formación, desde el nivel 1 (lo que hacen la mayoría de las empresas) hasta el nivel 3 (lo que hacen muy pocas empresas).

¡Una solución única que puede utilizarse para cubrir todo un bufete! Entre las 12 prácticas de formación, las más interesantes para la solución Secure Code Warrior las siguientes:

• Nivel 1: Impartir formación de sensibilización.
• Nivel 1: ofrecer formación individual a petición.
• Nivel 2: Mejorar el satélite mediante la formación (medidas SCW)
• Nivel 3: Recompense el progreso a lo largo del programa (insignias SCW).
• Nivel 3: Impartir formación a los proveedores o a los trabajadores subcontratados (Evaluaciones SCW).
• Nivel 3: organizar eventos externos de seguridad de software (modo SCW Tournament)
• Nivel 3: Identificar el satélite gracias a la formación (métricas SCW)

¿Está seguro de que su solución actual cumple con estas prácticas?

Début novembre, l'université de Cambridge a publié son recherche appelée Trojan-Source. Cette recherche s'est concentrée sur la manière dont les portes dérobées peuvent être masquées dans le code source et les commentaires, à l'aide de caractères de mise en forme directionnels. Ils peuvent être utilisés pour créer du code dont la logique est interprétée différemment par le compilateur par rapport à un réviseur de code humain.

Cette vulnérabilité est nouvelle, bien qu'Unicode ait été utilisé de manière malveillante par le passé, par exemple en masquant la véritable extension du nom de fichier d'un fichier par inverser le sens de la dernière partie d'un nom de fichier. Les recherches récentes ont révélé que de nombreux compilateurs ignorent les caractères Unicode du code source sans avertissement, tandis que les éditeurs de texte, y compris les éditeurs de code, peuvent redistribuer les lignes contenant des commentaires et du code basé sur ceux-ci. Ainsi, l'éditeur peut afficher le code et les commentaires différemment et dans un ordre différent de la façon dont le compilateur les analysera, voire en échangeant du code et des commentaires.

Lisez la suite pour en savoir plus. Ou si vous souhaitez vous retrousser les manches et essayer le piratage simulé de Trojan Source, rendez-vous sur notre site gratuit et mission publique pour en faire l'expérience par vous-même.

Texte bidirectionnel

L'une de ces attaques Trojan-Source utilise l'algorithme Unicode Bidi (bidirectionnel), qui permet de rassembler du texte dans un ordre d'affichage différent, comme l'anglais (de gauche à droite) et l'arabe (de droite à gauche). Les caractères de mise en forme directionnelle peuvent être utilisés pour réorganiser le regroupement et afficher l'ordre des caractères.

Le tableau ci-dessus contient certains des caractères de remplacement de Bidi pertinents pour l'attaque. Prenons, par exemple,

RLI e d à c PDI

L'abréviation RLI signifie Isolat de droite à gauche. Il isolera le texte de son contexte (délimité par PDI, Isolation directionnelle pop), et le lira de droite à gauche. Résultat :

c ou d e

Cependant, les compilateurs et les interpréteurs ne traitent généralement pas les caractères de contrôle de mise en forme, y compris les remplacements Bidi, avant d'analyser le code source. S'ils ignorent simplement les caractères de mise en forme directionnelle, ils analyseront :

e d à c

Du vieux vin dans de nouvelles bouteilles ?

Bien entendu, cela n'a rien de nouveau sous le soleil. Dans le passé, les caractères de mise en forme directionnelle étaient inséré dans les noms de fichiers pour masquer leur nature malveillante. Une pièce jointe à un e-mail affichée sous la forme « myspecialexe.doc » pourrait sembler assez innocente, sans le RLO (Remplacer de droite à gauche) caractère présent qui révèle que le vrai nom est « myspecialcod.exe ».

L'attaque Trojan Source insère des caractères de mise en forme directionnels dans les commentaires et les chaînes présents dans le code source, car ils ne généreront aucune erreur de syntaxe ou de compilation. Ces caractères de contrôle modifient l'ordre d'affichage de la logique du code, ce qui amène le compilateur à lire quelque chose de complètement différent de ce que ferait un humain.

Par exemple, un fichier contenant les octets suivants dans cet ordre :

sera réorganisé comme suit en fonction des caractères de mise en forme directionnels

provoquant le rendu du code comme ceci si les caractères de mise en forme directionnels ne sont pas explicitement appelés :

Le RLO fait basculer l'entretoise de fermeture en une entretoise d'ouverture, et vice versa sur la dernière ligne. Le résultat de l'exécution de ce code serait : « Vous êtes administrateur ». La vérification d'administration a été commentée, mais les caractères de contrôle donnent l'impression qu'elle était toujours présente.

(Source : https://github.com/nickboucher/trojan-source/blob/main/C%23/commenting-out.csx)

Comment cela pourrait-il vous affecter ?

De nombreux langages sont vulnérables à l'attaque : C, C++, C#, JavaScript, Java, Rust, Go et Python, et on suppose qu'il y en a d'autres. Maintenant, le développeur moyen peut froncer les sourcils en voyant des caractères de mise en forme directionnelle dans le code source, mais un novice pourrait tout aussi bien hausser les épaules et ne rien y penser. De plus, la visualisation de ces caractères dépend fortement de l'IDE, il n'est donc jamais garanti qu'ils seront repérés.

Mais comment cette vulnérabilité a-t-elle pu se faufiler dans le code source ? Tout d'abord, cela peut se produire lors de l'utilisation de code source provenant de sources non fiables, où les contributions de code malveillant sont passées inaperçues. Deuxièmement, cela peut se faire par un simple copier-coller à partir de code trouvé sur Internet, ce que la plupart d'entre nous, développeurs, ont déjà fait auparavant. La plupart des organisations s'appuient sur des composants logiciels provenant de plusieurs fournisseurs. Cela pose la question de savoir dans quelle mesure pouvons-nous faire totalement confiance à ce code et nous y fier ? Comment pouvons-nous rechercher le code source contenant des portes dérobées cachées ?

C'est le problème de qui ?

D'une part, les compilateurs et les pipelines de compilation devraient interdire les lignes de code source comportant plusieurs directions, sauf si l'une des directions est strictement limitée aux chaînes et aux commentaires. Notez qu'un caractère de mise en forme directionnel dans une chaîne ou un commentaire peut, s'il n'est pas affiché, prolonger un changement de direction jusqu'à la fin de la ligne. En général, les éditeurs de code doivent afficher et mettre en évidence de manière explicite les caractères Unicode suspects, tels que les homoglyphes et les caractères de mise en forme directionnelle. Depuis novembre, GitHub ajoute désormais un signe d'avertissement et un message à chaque ligne de code contenant du texte Unicode bidirectionnel, bien qu'il ne mette pas en évidence l'emplacement de ces caractères sur la ligne. Cela peut tout de même permettre à des changements de direction malveillants de se faufiler, ainsi qu'à des changements de direction bénins.

La sensibilisation des développeurs et des réviseurs de code est essentielle, c'est pourquoi nous avons créé une procédure pas à pas illustrant cette vulnérabilité. Actuellement, cette procédure pas à pas est disponible pour Java, C#, Python, GO et PHP.

Alors si vous voulez en savoir plus, essayez notre simulation (missions publiques) de Trojan Source, et lisez le Recherche sur Trojan Source.

Simulation en Java

Simulation en C#

Simulation en PHP

Simulation dans GO

Simulation en Python

Qu'est-ce que l'analyse statique ?

L'analyse statique est l'analyse automatique du code source sans exécuter l'application.

Lorsque l'analyse est effectuée pendant l'exécution du programme, elle est connue sous le nom d'analyse dynamique.

L'analyse statique est souvent utilisée pour détecter :

• Vulnérabilités de sécurité.
• Problèmes de performance.
• Non-respect des normes.
• Utilisation de structures de programmation obsolètes.

Comment fonctionne un outil d'analyse statique ?

Le concept de base commun à tous les outils d'analyse statique est la recherche dans le code source pour identifier des modèles de codage spécifiques associés à une sorte d'avertissement ou d'informations.

Cela pourrait être aussi simple que « les classes de test de JUnit 5 n'ont pas besoin d'être « publiques » ». Ou quelque chose de complexe à identifier, comme « une entrée de chaîne non fiable utilisée dans une instruction d'exécution SQL ».

La manière dont les outils d'analyse statique implémentent cette fonctionnalité varie.

• technologie d'analyse du code source pour créer un arbre syntaxique abstrait (AST),
• correspondance de texte avec des expressions régulières,
• une combinaison de ce qui précède.

La correspondance d'expressions régulières sur du texte est très flexible, il est facile d'écrire des règles de correspondance, mais elle peut souvent entraîner de nombreux faux positifs et les règles de correspondance ignorent le contexte de code environnant.

La correspondance AST traite le code source comme du code de programme, et pas seulement comme des fichiers remplis de texte. Cela permet une correspondance contextuelle plus spécifique et peut réduire le nombre de faux positifs signalés par rapport au code.

Analyse statique dans le cadre de l'intégration continue

L'analyse statique est souvent effectuée au cours du processus d'intégration continue (CI) pour générer un rapport sur les problèmes de conformité qui peut être examiné pour obtenir une vue objective de la base de code au fil du temps.

Certaines personnes utilisent l'analyse statique comme mesure objective de la qualité de leur code en configurant l'outil d'analyse statique pour ne mesurer que des parties spécifiques du code et ne générer des rapports que sur un sous-ensemble de règles.

L'objectivité est assurée par les règles utilisées car celles-ci ne varient pas dans leur évaluation du code au fil du temps. Il est clair que la combinaison des règles utilisées et de leur configuration est une décision subjective et différentes équipes choisissent d'utiliser des règles différentes à des moments différents.

L'exécution de l'analyse statique dans CI est utile mais peut retarder le retour d'information au programmeur. Les programmeurs ne reçoivent pas de feedback lorsqu'ils codent, ils le reçoivent plus tard lorsque le code est exécuté via l'outil d'analyse statique. Un autre effet secondaire de l'exécution de l'analyse statique dans CI est que les résultats sont plus faciles à ignorer.

Pour aider les équipes à accorder plus d'attention aux résultats de l'analyse statique, il est généralement possible de configurer une métrique de seuil dans le processus de génération pour qu'elle échoue si la métrique est dépassée, par exemple si un certain nombre de règles sont déclenchées.

Analyse statique dans l'EDI

Pour recevoir des commentaires plus rapidement, de nombreux plugins de l'EDI exécutent les règles d'analyse statique dans l'EDI à la demande ou périodiquement à mesure que le code change.

Les violations de règles peuvent alors être détectées dans l'EDI pendant que le programmeur écrit du code, et pour rendre les règles plus difficiles à ignorer, les violations peuvent souvent être configurées pour être affichées sous forme de code souligné dans l'éditeur.

Personnellement, je trouve que c'est un moyen utile d'améliorer mon codage, en particulier lorsque je travaille avec une nouvelle bibliothèque couverte par l'outil d'analyse statique. Bien que cela puisse être « bruyant » avec des faux positifs ou des règles qui ne vous intéressent pas. Mais ce problème est résolu en prenant la mesure supplémentaire de configurer l'outil d'analyse statique pour ignorer certaines règles.

Corriger le code en fonction de règles d'analyse statique

Avec la plupart des outils d'analyse statique, la correction de la règle est laissée au programmeur. Il doit donc comprendre la cause de la violation de la règle et comment la corriger.

Très peu d'outils d'analyse statique permettent également de corriger les violations, car la correction dépend souvent du contexte de l'équipe, de la technologie utilisée et des styles de codage convenus.

Règles par défaut

Une fausse confiance dans la qualité des règles peut survenir lorsque les outils d'analyse statique sont fournis avec des règles par défaut. Il est tentant de croire qu'elles couvrent tous les problèmes qu'un programmeur peut rencontrer et toutes les circonstances dans lesquelles ces règles devraient s'appliquer. Parfois, les circonstances dans lesquelles une règle doit s'appliquer peuvent être subtiles et difficiles à détecter.

L'espoir est qu'en utilisant un outil d'analyse statique et en étudiant plus en détail les règles et les violations, les programmeurs développeront les compétences nécessaires pour détecter et éviter le problème dans le contexte de leur domaine spécifique.

Lorsque le domaine nécessite des règles contextuelles, les outils d'analyse statique peuvent ne pas avoir de règles correspondant à votre domaine ou à votre bibliothèque. De plus, les outils peuvent souvent être difficiles à configurer et à développer.

Désagréments

Aucun de ces « désagréments » n'est insurmontable :

• faux positifs
• absence de correctifs
• configuration pour ignorer les règles
• ajout de règles spécifiques au contexte

Mais ils sont souvent utilisés comme excuses pour éviter d'utiliser les outils d'analyse statique en premier lieu, ce qui est dommage car l'utilisation de l'analyse statique peut être extrêmement utile pour :

• mettre en évidence de meilleures approches pour les développeurs juniors
• obtenir des commentaires rapides sur les violations de codage claires
• identifier les problèmes obscurs que le programmeur n'a jamais rencontrés auparavant
• confirmer que le programmeur a adopté une bonne approche de codage (lorsqu'aucune violation n'est signalée)

Outils d'analyse statique basés sur l'IDE

En tant que contributeur individuel à un projet, j'aime utiliser les outils d'analyse statique qui s'exécutent depuis l'EDI afin de recevoir rapidement des commentaires sur mon code.

Cela complète tout processus de révision des pull requests et l'intégration CI qu'un projet peut avoir.

J'essaie d'identifier les outils qui me donneront un avantage et amélioreront mon flux de travail individuel.

Lorsque les outils s'exécutent dans l'EDI, parce qu'ils ont tendance à partager la même interface graphique de base et la même approche de configuration, il peut être tentant de les visualiser de manière interchangeable.

Les outils peuvent avoir des fonctionnalités ou des ensembles de règles qui se chevauchent, mais pour en tirer le meilleur parti, j'installe plusieurs outils pour tirer parti de leurs points forts.

Les outils IDE d'analyse statique que j'utilise activement lors du codage sont répertoriés ci-dessous :

• les inspections IntelliJ intégrées - modèles de codage courants
• SpotBugs - erreurs courantes
• SonarLint - modèles d'utilisation courants
• CheckStyle - modèles de style courants
• Sensei de Secure Code Warrior - création de règles personnalisées

Je les utilise tous parce qu'ils fonctionnent bien ensemble pour se compléter et se compléter mutuellement.

Inspections IntelliJ

Si vous utilisez IntelliJ, vous utilisez déjà ses inspections.

Il s'agit de règles d'analyse statique qui sont signalées dans l'EDI. Certains d'entre eux disposent également d'options QuickFix pour réécrire le code afin de résoudre le problème.

Les règles sont configurables de manière activée et désactivée, et vous pouvez choisir le niveau d'erreur utilisé pour le mettre en évidence dans l'EDI.

Il existe de nombreuses inspections IntelliJ de qualité. Je le sais parce que je les ai lus en écrivant ceci. J'utilise les inspections IntelliJ par défaut et je ne les ai pas configurées, mais pour tirer pleinement parti des inspections, vous devez les lire, identifier celles qui correspondent à votre style de codage et configurer le niveau d'avertissement de manière à ce que vous les remarquiez dans le code.

L'avantage des inspections IntelliJ est qu'elles sont fournies gratuitement avec l'IDE et qu'elles aident à développer la mémoire musculaire de :

• en remarquant les avertissements et les erreurs dans la source lorsque vous écrivez du code
• passez la souris sur le code marqué pour connaître les violations des règles
• en utilisant alt+enter pour appliquer un QuickFix au problème

Repérez les bugs

Le Repérez les bugs Le plugin IntelliJ utilise l'analyse statique pour essayer de vous avertir des bogues dans votre code.

SpotBugs peut être configuré à partir des préférences d'IntelliJ pour scanner votre code. Les règles réelles utilisées se trouvent dans l'onglet Détecteur.

J'ai tendance à utiliser SpotBugs après avoir écrit et revu mon code, puis j'exécute la commande « Analyser les fichiers de projet, y compris les sources de test ».

Cela m'aide à identifier les bogues, le code mort et les optimisations évidentes. Cela m'oblige également à faire des recherches sur certaines des violations signalées pour m'aider à décider quoi faire.

SpotBugs détectera les problèmes mais ne propose aucune action QuickFix pour tenter de les résoudre.

SpotBugs est facile à configurer et je trouve que c'est un deuxième avis objectif utile à consulter dans mon IDE.

Sonar Lint

Le Sonar Lint plug-in.

SonarLint peut être configuré à partir des préférences IntelliJ pour sélectionner les règles selon lesquelles le code est validé.

Par défaut, SonarLint s'exécute en temps réel et affiche les problèmes liés au code actuel que vous modifiez.

SonarLint ne propose pas de solutions rapides, mais la documentation associée aux rapports de violation est généralement claire et bien documentée.

J'ai trouvé SonarLint utile par le passé pour m'avertir des nouvelles fonctionnalités de Java dont j'avais connaissance dans les nouvelles versions de Java.

Vérifiez le style

Le Vérifiez le style Le plugin propose un mélange de règles de formatage et de qualité du code.

Le plugin CheckStyle est fourni avec « Sun Checks » et « Google Checks ».

Les définitions de celles-ci peuvent être facilement trouvé en ligne.

CheckStyle ajoute le plus de valeur lorsqu'un projet a passé du temps à créer son propre ensemble de règles. Ensuite, le plugin IDE peut être configuré pour utiliser cet ensemble de règles et les programmeurs peuvent effectuer un scan avant de valider le code dans CI.

CheckStyle est très souvent utilisé comme plugin d'échec de construction pour les processus CI lorsque le nombre de violations de CheckStyle dépasse un seuil.

Senseï

Senseï utilise une analyse statique basée sur un arbre de syntaxe abstrait (AST) pour faire correspondre le code et créer des QuickFix, ce qui permet une identification très spécifique du code présentant des problèmes.

L'AST permet aux QuickFIX associés à une recette de comprendre le code environnant. Par exemple, lors de l'ajout d'une nouvelle classe dans le code, toute importation pour cette classe ne sera ajoutée au fichier source qu'une seule fois, et non pour chaque remplacement.

Sensei a été créé pour faciliter la création de règles de correspondance personnalisées qui peuvent ne pas exister, ou qui seraient difficiles à configurer, dans d'autres outils.

Plutôt que de modifier un fichier de configuration, toutes les configurations peuvent être effectuées dans l'interface graphique. Lors de la création de nouvelles recettes, l'interface graphique permet de voir facilement à quel code correspond la recette. Et lors de la définition des QuickFix, l'état avant et après du code peut être comparé immédiatement. Cela permet de créer plus facilement des recettes très contextuelles, c'est-à-dire propres aux équipes, à la technologie et même aux programmeurs individuels.

J'utilise Sensei en combinaison avec d'autres outils d'analyse statique. Par exemple, la plupart des outils d'analyse statique détectent les problèmes, mais ne les résoudront pas. Un cas d'utilisation courant pour Sensei consiste à reproduire la recherche correspondante de l'autre outil dans Sensei et à l'étendre à l'aide d'une solution rapide. Cela présente l'avantage que le correctif personnalisé appliqué répond déjà aux normes de codage de votre projet.

Je me retrouve régulièrement à créer des recettes Sensei qui existent déjà dans le set IntelliJ Intensions parce que le rapport Intension ne correspond pas tout à fait au contexte que j'ai créé ou parce que le QuickFix fourni par IntelliJ ne correspond pas au modèle de code que je souhaite utiliser.

Je complète les outils existants, plutôt que d'essayer de les remplacer complètement.

Sensei peut également être très utile lorsque vous identifiez une variante contextuelle d'une règle commune. Par exemple, si vous utilisez une bibliothèque SQL non prise en charge par l'outil d'analyse statique, mais que les règles SQL courantes du moteur d'analyse statique s'appliquent toujours, vous pouvez créer des variantes spécifiques à la bibliothèque de ces règles à l'aide de Sensei.

Sensei ne propose pas de nombreuses recettes génériques, comme les outils d'analyse statique mentionnés, mais sa force réside dans le fait qu'il facilite la création de nouvelles recettes, avec des QuickFix configurés pour correspondre à votre style de codage et à vos cas d'utilisation spécifiques.

REMARQUE : nous travaillons sur un référentiel public de recettes pour couvrir les cas d'utilisation génériques, et vous pouvez le trouver ici.

Résumé

J'ai tendance à choisir des outils qui fonctionnent ensemble, qui sont configurables et faciles à développer pour répondre à mon contexte spécifique. J'utilise les outils d'analyse statique de l'EDI depuis des années pour m'aider à identifier les problèmes et à en savoir plus sur les langages de programmation et les bibliothèques que j'utilise.

J'utilise tous les outils mentionnés en combinaison :

• IntelliJ Intentions permet de signaler les problèmes de code courants dès le départ, souvent avec des correctifs rapides associés.
• SpotBugs détecte des bogues simples que j'ai peut-être oubliés et m'alerte en cas de problèmes de performances.
• SonarLint identifie les fonctionnalités de Java que je ne connaissais pas et m'invite à d'autres méthodes pour modéliser mon code.
• CheckStyle m'aide à me conformer à un style de codage convenu qui est également appliqué pendant le CI.
• Sensei m'aide à créer des QuickFix pour compléter les scénarios courants trouvés par les outils d'analyse statique et créer des recettes de projets ou de technologies spécifiques qui peuvent être difficiles à configurer dans un autre outil.

---

Installez Sensei depuis IntelliJ en utilisant « Préférences \ Plugins » (Mac) ou « Paramètres \ Plugins » (Windows), puis recherchez simplement « code sécurisé Sensei ».

Vous pouvez trouver un référentiel d'exemples de code et de recettes pour les cas d'utilisation courants sur le compte GitHub de Secure Code Warrior, dans le cadre du projet `sensei-blog-examples`.

https://github.com/securecodewarrior/sensei-blog-examples

Más información sobre Sensei

Una forma segura de mejorar la postura de seguridad de su empresa es mejorar las habilidades de los desarrolladores en materia de mejores prácticas de codificación segura, en un marco que incluya bases de referencia y puntos de referencia diseñados para proporcionar a los desarrolladores los itinerarios de aprendizaje específicos que necesitan. Sin embargo, la codificación segura no es una solución puntual: debe convertirse en un modo de vida, inscrito en el ADN de una organización. Los desarrolladores no solo deben desplazarse hacia la izquierda o empezar por la izquierda, sino que también deben permanecer en la izquierda.

No basta con impartir formación. Las empresas deben confirmar que los desarrolladores han asimilado completamente su formación y que siguen las mejores prácticas al inicio del ciclo de vida del desarrollo de software (SDLC) como parte de su rutina diaria. Debe realizar un seguimiento del rendimiento de los desarrolladores y medir sus progresos en relación con las normas internas y los criterios de referencia del sector, a fin de medir eficazmente el retorno de la inversión en formación.

La puntuación de confianza Secure Code Warrior proporciona visibilidad sobre el rendimiento de cada desarrollador y agrupa los datos para ofrecer una evaluación del rendimiento global de su organización. Muestra la eficacia de los programas de mejora de competencias e identifica las áreas que necesitan mejoras. Además, garantiza el cumplimiento de todos los requisitos normativos, ya sean del Reglamento General de Protección de Datos (RGPD), la norma de seguridad de datos de la industria de tarjetas de pago (PCI DSS), la ley de California sobre la protección de la privacidad de los consumidores (CCPA) u otros.

Nuestras investigaciones han demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia para reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.

La formación mejora la seguridad, si los desarrolladores la obtienen.

Durante años, el uso de las mejores prácticas de seguridad al inicio del ciclo de vida del desarrollo de software (SDLC) parecía ser una ambición en la industria del software. Es bueno tenerlo algún día, pero hoy en día no es una prioridad. Sin embargo, la creciente rapidez del desarrollo de software, junto con la aceleración de las ciberamenazas sofisticadas y destructivas, a menudo basadas en el aprovechamiento de vulnerabilidades de software, han hecho que la codificación segura sea esencial. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) sitúa la codificación segura en primer plano con su iniciativa «Seguro desde el diseño», que se está convirtiendo en un movimiento internacional.

Nuestras investigaciones lo han demostrado: existe una clara correlación entre un enfoque seguro desde el diseño y la reducción de las vulnerabilidades del software. Hemos analizado los datos de reducción de vulnerabilidades procedentes del 26 % de los clientes de SCW y hemos constatado que la formación de los desarrolladores conlleva una reducción de las vulnerabilidades de software que oscila entre el 22 % y el 84 %. Este rango se debía a variables como el tamaño de las empresas implicadas (las pequeñas empresas con relativamente pocos desarrolladores obtuvieron resultados más espectaculares) y si un grupo de aprendizaje se centraba en un problema específico, en cuyo caso eliminaba un porcentaje mayor de fallos.

Los resultados obtenidos en las grandes empresas fueron bastante coherentes. Las empresas con 7000 desarrolladores o más pueden esperar una reducción de las vulnerabilidades de entre el 47 % y el 53 % gracias al refuerzo de las competencias de los desarrolladores en materia de seguridad. Por ejemplo, una empresa estadísticamente media con más de 10 000 desarrolladores (que no es la más eficaz en la plataforma ni una de las empresas más eficaces) registró una reducción del 53 % en sus vulnerabilidades.

Por supuesto, la formación más eficaz no se basa en un enfoque global y universal. Debe adaptarse al entorno de trabajo de los desarrolladores y a los tipos de desarrollo que realizan.

Las empresas deberían empezar por adquirir las competencias básicas que deben tener los desarrolladores para que escribir código seguro les resulte tan natural como escribir código sin más. Los programas de refuerzo de competencias deberían consistir en una formación práctica y ágil en escenarios del mundo real que se correspondan con el tipo de trabajo que realizan y los lenguajes que utilizan. Y deberían ser lo suficientemente flexibles como para integrar las sesiones de formación en sus horarios de trabajo.

Para los desarrolladores, las habilidades no se limitan a escribir código. Deben ser capaces de verificar el software creado por asistentes de inteligencia artificial y terceros, como los repositorios de código abierto. Los desarrolladores han evitado el uso de modelos generativos de IA y, en general, han elogiado sus ventajas, ya que les ayudan a crear más código más rápidamente. Sin embargo, aunque el 76 % de los encuestados en una encuesta de Snyk afirmaron que el código generado por IA era más seguro que el código producido por humanos, el 56,4 % afirmó que la IA introducía errores de forma ocasional o frecuente. La misma encuesta reveló que el 80 % de los desarrolladores no aplican las políticas de seguridad del código de IA, lo que sugiere que los problemas de código en el código de IA no se resuelven.

En el marco de un enfoque seguro desde el diseño, los desarrolladores, que trabajan con los equipos de seguridad en lugar de hacerlo por separado, abordarán estos problemas desde el inicio del ciclo de vida del desarrollo de software (SDLC), identificando y corrigiendo las vulnerabilidades antes de que el código se ponga en producción.

Le Trust Score mide el rendimiento individual y el de la empresa.

También es esencial que la formación sea continua. Las empresas deben adoptar una cultura centrada en la seguridad que se aplique en todos los ámbitos, desde los niveles más altos de la empresa hasta los niveles más bajos. Debe centrarse en la mejora continua y la aplicación de las mejores prácticas de seguridad en todo el ciclo de vida del desarrollo de software (SDLC). La tecnología y los ciberdelincuentes están en constante evolución, al igual que la ciberseguridad. Para las empresas que producen software, los desarrolladores formados en seguridad constituyen la base.

Por eso es tan importante demostrar que la formación es eficaz como la propia formación. Trust Score no solo proporciona visibilidad sobre el rendimiento de los desarrolladores a nivel individual y de la organización en su conjunto, sino que también permite a las organizaciones analizar los datos de rendimiento para centrarse en lenguajes, equipos de desarrolladores o categorías de software específicos. Los datos obtenidos de los resultados de rendimiento individuales y agregados también permiten identificar las áreas en las que se debe mejorar la formación, por ejemplo, si no tiene el efecto esperado en el rendimiento diario de los desarrolladores.

Trust Score ha permitido a las empresas evaluar el rendimiento de los desarrolladores y confirmar si han adquirido —y utilizan— las competencias necesarias en materia de seguridad, asegurándose de que han obtenido su licencia de código. Permite a las empresas conceder con total confianza a los desarrolladores cualificados acceso a sus datos más sensibles y a sus proyectos de software críticos, al tiempo que deniega dicho acceso a aquellos que aún no están preparados para utilizar las herramientas.

Prueba de la evolución de la cultura de seguridad

La ciberseguridad ya no es solo una cuestión de seguridad. Se trata de un problema comercial que afecta a la integridad del activo más valioso de muchas organizaciones: sus datos. Una violación grave afecta a las actividades, la reputación y, potencialmente, la viabilidad de una organización. La importancia de la ciberseguridad no ha pasado desapercibida para los organismos reguladores, que están aplicando normativas cada vez más estrictas y se han mostrado dispuestos a emprender acciones legales contra los RSSI y, potencialmente, otros miembros de la alta dirección, llegando incluso a iniciar acciones penales, como en los casos de Uber y Vents solaires.

La adopción de una cultura de seguridad a escala empresarial es esencial en el entorno actual. Y dado que el valor de una empresa se basa en gran medida en sus datos, aplicaciones y servicios, la codificación segura es fundamental para esta cultura. Una formación específica y el refuerzo de las competencias en el marco de una mentalidad cultural, así como la demostración de que la formación ha contribuido a cambiar la cultura, pueden ayudar a las organizaciones a reforzar sus posturas de seguridad.

Los programas de seguridad dirigidos por los desarrolladores tienen valor. La prueba está en la puntuación de confianza.