コーダーがセキュリティインフラストラクチャをコードシリーズで制覇-信頼できないソースからのコンポーネントを使う
Nos acercamos al final de nuestra serie Infrastructure as Code, pero ha sido estupendo ayudar a desarrolladores como tú en su viaje de seguridad IaC.
¿Has jugado a los retos? ¿Cuál es tu puntuación hasta ahora? Antes de empezar, veamos cuánto sabes ya sobre los peligros de usar componentes de fuentes no confiables:
¿Todavía tiene trabajo que hacer? Sigue leyendo:
El comportamiento que induce a la vulnerabilidad en el que nos vamos a centrar hoy es el uso de código de fuentes no confiables, una práctica aparentemente benigna que está causando grandes problemas. El uso de código y recursos de código abierto tiene muchas ventajas. En general, permite que los expertos aporten sus ideas, su trabajo e incluso el código completo a repositorios como GitHub para que lo utilicen otras personas que luchan por hacer que un programa o una aplicación se comporten correctamente. El uso de código completo para gobernar las funciones del programa evita que los desarrolladores tengan que reinventar la rueda cada vez que necesitan crear una nueva aplicación.
Sin embargo, utilizar fragmentos de código de fuentes no fiables, no verificadas o incluso potencialmente peligrosas conlleva un gran riesgo. De hecho, el uso de código de fuentes no confiables es una de las formas más comunes en que las vulnerabilidades de seguridad, tanto mayores como menores, se cuelan en aplicaciones que de otro modo serían seguras. A veces, esas vulnerabilidades son inducidas accidentalmente por sus creadores. También ha habido casos en los que el código malicioso fue escrito por atacantes potenciales. El código se comparte entonces con la esperanza de atrapar a las víctimas que lo introducirán en sus aplicaciones.
¿Por qué es peligroso utilizar código de fuentes no fiables?
Supongamos que un desarrollador tiene prisa y necesita configurar una aplicación que está desarrollando. Puede ser un proceso complicado. Así que en lugar de pasar mucho tiempo tratando de resolver todas las configuraciones posibles, hacen una búsqueda en Google y encuentran a alguien que ya ha completado un archivo de configuración aparentemente perfecto. Aunque el desarrollador no sabe nada de la persona que escribió el código, añadirlo a una nueva aplicación es relativamente fácil. Se puede hacer en el entorno Docker utilizando dos líneas:
RUN cd /etc/apache2/sites-available/ && \00 wget -O default-ssl.conf https://gist.githubusercontent.com/vesche/\
9d372cfa8855a6be74bcca86efadfbbf/raw/\3 fbdfbe230fa256a6fb78e5e000aebded60d6a5ef/default-ssl.conf
Ahora la imagen de Docker tirará dinámicamente del archivo de configuración de terceros. E incluso si el archivo se prueba y se encuentra bien en el momento, el hecho de que el puntero está ahora incrustado en el código de la nueva aplicación significa que hay una dependencia permanente en el lugar. Días, semanas o meses después, el archivo podría ser alterado por el autor original o por un atacante que haya comprometido el repositorio de código. De repente, el archivo de configuración compartido puede decirle a la aplicación que funcione de forma muy diferente a la prevista, posiblemente dando acceso a usuarios no autorizados o incluso robando directamente los datos y exfiltrándolos.
Una mejor manera de utilizar los recursos compartidos
Si su organización permite el uso de código de fuentes externas, deben establecerse procesos para garantizar que se hace de forma segura. Cuando evalúe el código externo para su posible uso, asegúrese de adquirir componentes de fuentes oficiales sólo mediante enlaces seguros. E incluso en ese caso, nunca debe enlazar con una fuente externa para extraer ese código, ya que eso elimina el proceso de su control. En su lugar, el código aprobado debe ser llevado a una biblioteca segura y sólo utilizado desde esa ubicación protegida. Así que en un entorno Docker, el código se vería así:
COPY src/config/default-ssl.conf /etc/apache2/sites-available/
En lugar de depender de archivos de configuración de terceros remotos, esto se basaría en una copia local de esos archivos. Esto evitará que se realicen cambios inesperados o maliciosos.
Además de utilizar una biblioteca de código seguro, debe establecerse un proceso de gestión de parches para supervisar continuamente los componentes a lo largo del ciclo de vida del software. Todos los componentes del lado del cliente y del servidor también deben ser revisados para detectar alertas de seguridad utilizando herramientas como NVD o CVE. Por último, hay que eliminar las dependencias y funciones no utilizadas o innecesarias que puedan aparecer en el código externo.
Siguiendo estos pasos, los desarrolladores pueden hacer un uso más seguro de los recursos externos sin inducir accidentalmente vulnerabilidades en sus aplicaciones y código.
Consulte las páginas del Secure Code Warrior páginas del blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otros fallos de seguridad. También puedes probar una demostración de los retos de IaC en la plataforma de formación Secure Code Warrior para mantener todos tus conocimientos de ciberseguridad perfeccionados y actualizados.
ここで焦点を当てる脆弱性を誘発する動作は、信頼できないソースからのコードを使用することです。これは一見無害な行為であり、大きな問題を引き起こしています。
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa, Sensei Security. A lo largo de su carrera, Matías ha liderado varios proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y ha obtenido más de 10 patentes.Cuando no está frente a su escritorio, Matías imparte cursos avanzados de formación en seguridad de aplicaciones y participa regularmente como ponente en conferencias internacionales como RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías obtuvo un doctorado en Ingeniería Informática en la Universidad de Gante, donde aprendió sobre la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar su funcionamiento interno.
Nos acercamos al final de nuestra serie Infrastructure as Code, pero ha sido estupendo ayudar a desarrolladores como tú en su viaje de seguridad IaC.
¿Has jugado a los retos? ¿Cuál es tu puntuación hasta ahora? Antes de empezar, veamos cuánto sabes ya sobre los peligros de usar componentes de fuentes no confiables:
¿Todavía tiene trabajo que hacer? Sigue leyendo:
El comportamiento que induce a la vulnerabilidad en el que nos vamos a centrar hoy es el uso de código de fuentes no confiables, una práctica aparentemente benigna que está causando grandes problemas. El uso de código y recursos de código abierto tiene muchas ventajas. En general, permite que los expertos aporten sus ideas, su trabajo e incluso el código completo a repositorios como GitHub para que lo utilicen otras personas que luchan por hacer que un programa o una aplicación se comporten correctamente. El uso de código completo para gobernar las funciones del programa evita que los desarrolladores tengan que reinventar la rueda cada vez que necesitan crear una nueva aplicación.
Sin embargo, utilizar fragmentos de código de fuentes no fiables, no verificadas o incluso potencialmente peligrosas conlleva un gran riesgo. De hecho, el uso de código de fuentes no confiables es una de las formas más comunes en que las vulnerabilidades de seguridad, tanto mayores como menores, se cuelan en aplicaciones que de otro modo serían seguras. A veces, esas vulnerabilidades son inducidas accidentalmente por sus creadores. También ha habido casos en los que el código malicioso fue escrito por atacantes potenciales. El código se comparte entonces con la esperanza de atrapar a las víctimas que lo introducirán en sus aplicaciones.
¿Por qué es peligroso utilizar código de fuentes no fiables?
Supongamos que un desarrollador tiene prisa y necesita configurar una aplicación que está desarrollando. Puede ser un proceso complicado. Así que en lugar de pasar mucho tiempo tratando de resolver todas las configuraciones posibles, hacen una búsqueda en Google y encuentran a alguien que ya ha completado un archivo de configuración aparentemente perfecto. Aunque el desarrollador no sabe nada de la persona que escribió el código, añadirlo a una nueva aplicación es relativamente fácil. Se puede hacer en el entorno Docker utilizando dos líneas:
RUN cd /etc/apache2/sites-available/ && \00 wget -O default-ssl.conf https://gist.githubusercontent.com/vesche/\
9d372cfa8855a6be74bcca86efadfbbf/raw/\3 fbdfbe230fa256a6fb78e5e000aebded60d6a5ef/default-ssl.conf
Ahora la imagen de Docker tirará dinámicamente del archivo de configuración de terceros. E incluso si el archivo se prueba y se encuentra bien en el momento, el hecho de que el puntero está ahora incrustado en el código de la nueva aplicación significa que hay una dependencia permanente en el lugar. Días, semanas o meses después, el archivo podría ser alterado por el autor original o por un atacante que haya comprometido el repositorio de código. De repente, el archivo de configuración compartido puede decirle a la aplicación que funcione de forma muy diferente a la prevista, posiblemente dando acceso a usuarios no autorizados o incluso robando directamente los datos y exfiltrándolos.
Una mejor manera de utilizar los recursos compartidos
Si su organización permite el uso de código de fuentes externas, deben establecerse procesos para garantizar que se hace de forma segura. Cuando evalúe el código externo para su posible uso, asegúrese de adquirir componentes de fuentes oficiales sólo mediante enlaces seguros. E incluso en ese caso, nunca debe enlazar con una fuente externa para extraer ese código, ya que eso elimina el proceso de su control. En su lugar, el código aprobado debe ser llevado a una biblioteca segura y sólo utilizado desde esa ubicación protegida. Así que en un entorno Docker, el código se vería así:
COPY src/config/default-ssl.conf /etc/apache2/sites-available/
En lugar de depender de archivos de configuración de terceros remotos, esto se basaría en una copia local de esos archivos. Esto evitará que se realicen cambios inesperados o maliciosos.
Además de utilizar una biblioteca de código seguro, debe establecerse un proceso de gestión de parches para supervisar continuamente los componentes a lo largo del ciclo de vida del software. Todos los componentes del lado del cliente y del servidor también deben ser revisados para detectar alertas de seguridad utilizando herramientas como NVD o CVE. Por último, hay que eliminar las dependencias y funciones no utilizadas o innecesarias que puedan aparecer en el código externo.
Siguiendo estos pasos, los desarrolladores pueden hacer un uso más seguro de los recursos externos sin inducir accidentalmente vulnerabilidades en sus aplicaciones y código.
Consulte las páginas del Secure Code Warrior páginas del blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otros fallos de seguridad. También puedes probar una demostración de los retos de IaC en la plataforma de formación Secure Code Warrior para mantener todos tus conocimientos de ciberseguridad perfeccionados y actualizados.
Nos acercamos al final de nuestra serie Infrastructure as Code, pero ha sido estupendo ayudar a desarrolladores como tú en su viaje de seguridad IaC.
¿Has jugado a los retos? ¿Cuál es tu puntuación hasta ahora? Antes de empezar, veamos cuánto sabes ya sobre los peligros de usar componentes de fuentes no confiables:
¿Todavía tiene trabajo que hacer? Sigue leyendo:
El comportamiento que induce a la vulnerabilidad en el que nos vamos a centrar hoy es el uso de código de fuentes no confiables, una práctica aparentemente benigna que está causando grandes problemas. El uso de código y recursos de código abierto tiene muchas ventajas. En general, permite que los expertos aporten sus ideas, su trabajo e incluso el código completo a repositorios como GitHub para que lo utilicen otras personas que luchan por hacer que un programa o una aplicación se comporten correctamente. El uso de código completo para gobernar las funciones del programa evita que los desarrolladores tengan que reinventar la rueda cada vez que necesitan crear una nueva aplicación.
Sin embargo, utilizar fragmentos de código de fuentes no fiables, no verificadas o incluso potencialmente peligrosas conlleva un gran riesgo. De hecho, el uso de código de fuentes no confiables es una de las formas más comunes en que las vulnerabilidades de seguridad, tanto mayores como menores, se cuelan en aplicaciones que de otro modo serían seguras. A veces, esas vulnerabilidades son inducidas accidentalmente por sus creadores. También ha habido casos en los que el código malicioso fue escrito por atacantes potenciales. El código se comparte entonces con la esperanza de atrapar a las víctimas que lo introducirán en sus aplicaciones.
¿Por qué es peligroso utilizar código de fuentes no fiables?
Supongamos que un desarrollador tiene prisa y necesita configurar una aplicación que está desarrollando. Puede ser un proceso complicado. Así que en lugar de pasar mucho tiempo tratando de resolver todas las configuraciones posibles, hacen una búsqueda en Google y encuentran a alguien que ya ha completado un archivo de configuración aparentemente perfecto. Aunque el desarrollador no sabe nada de la persona que escribió el código, añadirlo a una nueva aplicación es relativamente fácil. Se puede hacer en el entorno Docker utilizando dos líneas:
RUN cd /etc/apache2/sites-available/ && \00 wget -O default-ssl.conf https://gist.githubusercontent.com/vesche/\
9d372cfa8855a6be74bcca86efadfbbf/raw/\3 fbdfbe230fa256a6fb78e5e000aebded60d6a5ef/default-ssl.conf
Ahora la imagen de Docker tirará dinámicamente del archivo de configuración de terceros. E incluso si el archivo se prueba y se encuentra bien en el momento, el hecho de que el puntero está ahora incrustado en el código de la nueva aplicación significa que hay una dependencia permanente en el lugar. Días, semanas o meses después, el archivo podría ser alterado por el autor original o por un atacante que haya comprometido el repositorio de código. De repente, el archivo de configuración compartido puede decirle a la aplicación que funcione de forma muy diferente a la prevista, posiblemente dando acceso a usuarios no autorizados o incluso robando directamente los datos y exfiltrándolos.
Una mejor manera de utilizar los recursos compartidos
Si su organización permite el uso de código de fuentes externas, deben establecerse procesos para garantizar que se hace de forma segura. Cuando evalúe el código externo para su posible uso, asegúrese de adquirir componentes de fuentes oficiales sólo mediante enlaces seguros. E incluso en ese caso, nunca debe enlazar con una fuente externa para extraer ese código, ya que eso elimina el proceso de su control. En su lugar, el código aprobado debe ser llevado a una biblioteca segura y sólo utilizado desde esa ubicación protegida. Así que en un entorno Docker, el código se vería así:
COPY src/config/default-ssl.conf /etc/apache2/sites-available/
En lugar de depender de archivos de configuración de terceros remotos, esto se basaría en una copia local de esos archivos. Esto evitará que se realicen cambios inesperados o maliciosos.
Además de utilizar una biblioteca de código seguro, debe establecerse un proceso de gestión de parches para supervisar continuamente los componentes a lo largo del ciclo de vida del software. Todos los componentes del lado del cliente y del servidor también deben ser revisados para detectar alertas de seguridad utilizando herramientas como NVD o CVE. Por último, hay que eliminar las dependencias y funciones no utilizadas o innecesarias que puedan aparecer en el código externo.
Siguiendo estos pasos, los desarrolladores pueden hacer un uso más seguro de los recursos externos sin inducir accidentalmente vulnerabilidades en sus aplicaciones y código.
Consulte las páginas del Secure Code Warrior páginas del blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otros fallos de seguridad. También puedes probar una demostración de los retos de IaC en la plataforma de formación Secure Code Warrior para mantener todos tus conocimientos de ciberseguridad perfeccionados y actualizados.
Haga clic en el siguiente enlace para descargar el PDF de este recurso.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Mostrar informeReservar una demostración
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa, Sensei Security. A lo largo de su carrera, Matías ha liderado varios proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y ha obtenido más de 10 patentes.Cuando no está frente a su escritorio, Matías imparte cursos avanzados de formación en seguridad de aplicaciones y participa regularmente como ponente en conferencias internacionales como RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías obtuvo un doctorado en Ingeniería Informática en la Universidad de Gante, donde aprendió sobre la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar su funcionamiento interno.
Nos acercamos al final de nuestra serie Infrastructure as Code, pero ha sido estupendo ayudar a desarrolladores como tú en su viaje de seguridad IaC.
¿Has jugado a los retos? ¿Cuál es tu puntuación hasta ahora? Antes de empezar, veamos cuánto sabes ya sobre los peligros de usar componentes de fuentes no confiables:
¿Todavía tiene trabajo que hacer? Sigue leyendo:
El comportamiento que induce a la vulnerabilidad en el que nos vamos a centrar hoy es el uso de código de fuentes no confiables, una práctica aparentemente benigna que está causando grandes problemas. El uso de código y recursos de código abierto tiene muchas ventajas. En general, permite que los expertos aporten sus ideas, su trabajo e incluso el código completo a repositorios como GitHub para que lo utilicen otras personas que luchan por hacer que un programa o una aplicación se comporten correctamente. El uso de código completo para gobernar las funciones del programa evita que los desarrolladores tengan que reinventar la rueda cada vez que necesitan crear una nueva aplicación.
Sin embargo, utilizar fragmentos de código de fuentes no fiables, no verificadas o incluso potencialmente peligrosas conlleva un gran riesgo. De hecho, el uso de código de fuentes no confiables es una de las formas más comunes en que las vulnerabilidades de seguridad, tanto mayores como menores, se cuelan en aplicaciones que de otro modo serían seguras. A veces, esas vulnerabilidades son inducidas accidentalmente por sus creadores. También ha habido casos en los que el código malicioso fue escrito por atacantes potenciales. El código se comparte entonces con la esperanza de atrapar a las víctimas que lo introducirán en sus aplicaciones.
¿Por qué es peligroso utilizar código de fuentes no fiables?
Supongamos que un desarrollador tiene prisa y necesita configurar una aplicación que está desarrollando. Puede ser un proceso complicado. Así que en lugar de pasar mucho tiempo tratando de resolver todas las configuraciones posibles, hacen una búsqueda en Google y encuentran a alguien que ya ha completado un archivo de configuración aparentemente perfecto. Aunque el desarrollador no sabe nada de la persona que escribió el código, añadirlo a una nueva aplicación es relativamente fácil. Se puede hacer en el entorno Docker utilizando dos líneas:
RUN cd /etc/apache2/sites-available/ && \00 wget -O default-ssl.conf https://gist.githubusercontent.com/vesche/\
9d372cfa8855a6be74bcca86efadfbbf/raw/\3 fbdfbe230fa256a6fb78e5e000aebded60d6a5ef/default-ssl.conf
Ahora la imagen de Docker tirará dinámicamente del archivo de configuración de terceros. E incluso si el archivo se prueba y se encuentra bien en el momento, el hecho de que el puntero está ahora incrustado en el código de la nueva aplicación significa que hay una dependencia permanente en el lugar. Días, semanas o meses después, el archivo podría ser alterado por el autor original o por un atacante que haya comprometido el repositorio de código. De repente, el archivo de configuración compartido puede decirle a la aplicación que funcione de forma muy diferente a la prevista, posiblemente dando acceso a usuarios no autorizados o incluso robando directamente los datos y exfiltrándolos.
Una mejor manera de utilizar los recursos compartidos
Si su organización permite el uso de código de fuentes externas, deben establecerse procesos para garantizar que se hace de forma segura. Cuando evalúe el código externo para su posible uso, asegúrese de adquirir componentes de fuentes oficiales sólo mediante enlaces seguros. E incluso en ese caso, nunca debe enlazar con una fuente externa para extraer ese código, ya que eso elimina el proceso de su control. En su lugar, el código aprobado debe ser llevado a una biblioteca segura y sólo utilizado desde esa ubicación protegida. Así que en un entorno Docker, el código se vería así:
COPY src/config/default-ssl.conf /etc/apache2/sites-available/
En lugar de depender de archivos de configuración de terceros remotos, esto se basaría en una copia local de esos archivos. Esto evitará que se realicen cambios inesperados o maliciosos.
Además de utilizar una biblioteca de código seguro, debe establecerse un proceso de gestión de parches para supervisar continuamente los componentes a lo largo del ciclo de vida del software. Todos los componentes del lado del cliente y del servidor también deben ser revisados para detectar alertas de seguridad utilizando herramientas como NVD o CVE. Por último, hay que eliminar las dependencias y funciones no utilizadas o innecesarias que puedan aparecer en el código externo.
Siguiendo estos pasos, los desarrolladores pueden hacer un uso más seguro de los recursos externos sin inducir accidentalmente vulnerabilidades en sus aplicaciones y código.
Consulte las páginas del Secure Code Warrior páginas del blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otros fallos de seguridad. También puedes probar una demostración de los retos de IaC en la plataforma de formación Secure Code Warrior para mantener todos tus conocimientos de ciberseguridad perfeccionados y actualizados.
Índice
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración[Descargar]Recursos para empezar
Temas y contenidos de la formación en código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo siempre en cuenta las funciones de nuestros clientes. Abarca todo tipo de temas, desde la inteligencia artificial hasta la inyección de XQuery, y está diseñado para satisfacer las necesidades de diversos perfiles, desde arquitectos e ingenieros hasta gestores de productos y responsables de control de calidad. Echemos un vistazo al contenido que ofrece nuestro catálogo, clasificado por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ya está disponible bajo demanda.
Ahora se puede jugar a «Cybermon 2025 Beat the Boss» en SCW durante todo el año. Introduzca retos de seguridad avanzados de IA/LLM y refuerce a gran escala el desarrollo seguro de la IA.
Explicación de la Ley de Resiliencia Cibernética: su significado para el desarrollo de software seguro desde el diseño
Descubra qué exige la Ley de Resiliencia Cibernética (CRA) de la UE, a quién se aplica y cómo puede prepararse el equipo de ingeniería para las prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el desarrollo de las capacidades de los desarrolladores.
Enable 1: Criterios de éxito predefinidos y medibles
Enabler 1 es la primera parte de la serie Enablers of Success, compuesta por diez partes, y presenta cómo madurar un programa a largo plazo vinculando la codificación segura con resultados empresariales como la reducción de riesgos y la velocidad.
