開発者主導のセキュリティに対するまとまりのあるアプローチの確立
En respuesta a importantes violaciones de la seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18.000 usuarios del popular software de gestión Orion, entre los que se encontraban muchas de las principales empresas y organismos gubernamentales, se está produciendo un aumento de la presión para que los desarrolladores realicen esfuerzos de seguridad más eficaces. Organizaciones de todos los tamaños están empezando a cuestionar su "cadena de suministro de software", y a exigir que los desarrolladores que elaboran su software tengan conocimientos y conciencia de seguridad verificados.
Incluso el gobierno de los Estados Unidos pide que se mejoren las prácticas de seguridad dirigidas por los desarrolladores y que se refuerce la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva sobre la mejora de la ciberseguridad de la nación emitida por el Presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a las primeras fases del ciclo de vida del desarrollo de software (SDLC) a través de programas y movimientos como DevSecOps.
Las vulnerabilidades del software siguen siendo explotadas, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que la escritura de código de calidad era una de las principales prioridades de la comunidad de desarrolladores. Sin embargo, la encuesta también identificó varias razones por las que la formación que se imparte a los desarrolladores, aunque se considera valiosa, no alcanza el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de la formación impartida, seguía sin saber cómo identificar o solucionar las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más formación.
Está claro que la comunidad de desarrolladores valora cualquier tipo de formación que se les imparta. Sin embargo, cuando se les pregunta por los obstáculos que impiden la adopción de prácticas de codificación seguras, se cita la falta de tiempo como la razón número uno, seguida por una quinta parte de los encuestados que citan como culpable la falta de un enfoque cohesivo. La formación se considera más bien un acontecimiento puntual en lugar de formar parte de un esfuerzo estratégico continuo para incorporar la seguridad a los flujos de trabajo de los desarrolladores y utilizarla a diario.
De este modo, los desarrolladores no están capacitados para crear y mantener habilidades de codificación segura como parte de un programa cohesivo y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es especialmente eficaz ni completa, dado que muchos desarrolladores afirman que todavía no pueden identificar y solucionar las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en materia de seguridad, mientras que el 92% dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para arreglar la situación?
Resulta interesante que los desarrolladores afirmen mayoritariamente que necesitan más formación en materia de seguridad. Y aunque valoraban la formación que recibían, podría tratarse de una situación en la que simplemente se conforman con lo que puedan conseguir.
Cuando se les pidió que comentaran las formas de mejorar su formación, empezaron a aflorar sus verdaderas ideas sobre el tema. En general, la mayor parte de la formación que recibían los desarrolladores era limitada, no interactiva, sólo se dirigía en cierta medida a sus responsabilidades laborales, y no formaba parte de un plan general o continuo para ayudar a mejorar las habilidades y la concienciación sobre la seguridad de su organización.Según los desarrolladores encuestados, si las organizaciones quieren mejorar la eficacia de la formación que se ofrece, ésta debería presentarse como una parte de un enfoque global para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían peticiones específicas para que la formación fuera más valiosa. Una de las sugerencias más populares fue la de incluir más casos de uso y ejemplos prácticos de situaciones con las que probablemente se encontrarían desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que la formación cubriera con el tiempo escenarios cada vez más complejos o difíciles, algo que probablemente también requeriría un enfoque más cohesivo y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades.Los desarrolladores también destacaron la necesidad de más interactividad e incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios se limitan a ver un vídeo o a escuchar una conferencia sin oportunidad de aprendizaje práctico y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil como la codificación segura.
Los desarrolladores también destacaron la necesidad de una mayor interactividad e incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad cohesiva?
La formación es, por supuesto, fundamental cuando se trata de mejorar la concienciación y las habilidades en materia de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Pero un enfoque verdaderamente cohesivo para mejorar la concienciación en materia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores. Por ejemplo, los desarrolladores han sido evaluados tradicionalmente en función de la rapidez con la que podían codificar. Pero un enfoque cohesivo de la seguridad podría implicar el cambio de esas métricas y valores mantenidos durante mucho tiempo. En su lugar, las evaluaciones podrían dejar de recompensar la velocidad bruta y recompensar a los desarrolladores que puedan crear un código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría implicar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarse a imponer la seguridad a los desarrolladores, considere la posibilidad de crear o nombrar a campeones de seguridad de la comunidad. Se trataría de desarrolladores con talento y concienciados con la seguridad, que se distingan en la formación o como parte de las evaluaciones de métricas recién enfocadas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrollo desde dentro.
Un enfoque verdaderamente cohesionado debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores.
Para más información
Libro blanco: Los retos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: Cómo los campeones de la seguridad pueden apoyar a su equipo a la victoria contra las vulnerabilidades de última hora
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
多くのトップ企業や政府機関を含む人気のOrion管理ソフトウェアの18,000人以上のユーザーにソフトウェア更新プロセスを利用して感染させたSolarWindsキャンペーンのような大規模なセキュリティ侵害への対応として、開発者主導のより効果的なセキュリティ対策を求める声が高まっています。あらゆる規模の組織が、自社の「ソフトウェアサプライチェーン」に疑問を持ち始めており、ソフトウェアを開発する開発者には検証済みのセキュリティスキルと知識を持っていることを求めています。
Secure Code Warrior convierte la programación segura en una experiencia positiva y atractiva a medida que los desarrolladores mejoran sus habilidades. Guía a cada programador por la ruta de aprendizaje que desea, para que los desarrolladores con habilidades de seguridad puedan convertirse en superhéroes en el mundo conectado en el que vivimos.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Secure Code Warrior convierte la programación segura en una experiencia positiva y atractiva a medida que los desarrolladores mejoran sus habilidades. Guía a cada programador por la ruta de aprendizaje que desea, para que los desarrolladores con habilidades de seguridad puedan convertirse en superhéroes en el mundo conectado en el que vivimos.
Este artículo ha sido escrito por el equipo de expertos del sector de Secure Code Warrior. Su objetivo es que los desarrolladores adquieran los conocimientos y habilidades necesarios para crear software seguro desde el principio. Aprovecha los profundos conocimientos especializados sobre la práctica de la codificación segura, las tendencias del sector y las perspectivas del mundo real.
En respuesta a importantes violaciones de la seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18.000 usuarios del popular software de gestión Orion, entre los que se encontraban muchas de las principales empresas y organismos gubernamentales, se está produciendo un aumento de la presión para que los desarrolladores realicen esfuerzos de seguridad más eficaces. Organizaciones de todos los tamaños están empezando a cuestionar su "cadena de suministro de software", y a exigir que los desarrolladores que elaboran su software tengan conocimientos y conciencia de seguridad verificados.
Incluso el gobierno de los Estados Unidos pide que se mejoren las prácticas de seguridad dirigidas por los desarrolladores y que se refuerce la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva sobre la mejora de la ciberseguridad de la nación emitida por el Presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a las primeras fases del ciclo de vida del desarrollo de software (SDLC) a través de programas y movimientos como DevSecOps.
Las vulnerabilidades del software siguen siendo explotadas, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que la escritura de código de calidad era una de las principales prioridades de la comunidad de desarrolladores. Sin embargo, la encuesta también identificó varias razones por las que la formación que se imparte a los desarrolladores, aunque se considera valiosa, no alcanza el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de la formación impartida, seguía sin saber cómo identificar o solucionar las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más formación.
Está claro que la comunidad de desarrolladores valora cualquier tipo de formación que se les imparta. Sin embargo, cuando se les pregunta por los obstáculos que impiden la adopción de prácticas de codificación seguras, se cita la falta de tiempo como la razón número uno, seguida por una quinta parte de los encuestados que citan como culpable la falta de un enfoque cohesivo. La formación se considera más bien un acontecimiento puntual en lugar de formar parte de un esfuerzo estratégico continuo para incorporar la seguridad a los flujos de trabajo de los desarrolladores y utilizarla a diario.
De este modo, los desarrolladores no están capacitados para crear y mantener habilidades de codificación segura como parte de un programa cohesivo y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es especialmente eficaz ni completa, dado que muchos desarrolladores afirman que todavía no pueden identificar y solucionar las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en materia de seguridad, mientras que el 92% dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para arreglar la situación?
Resulta interesante que los desarrolladores afirmen mayoritariamente que necesitan más formación en materia de seguridad. Y aunque valoraban la formación que recibían, podría tratarse de una situación en la que simplemente se conforman con lo que puedan conseguir.
Cuando se les pidió que comentaran las formas de mejorar su formación, empezaron a aflorar sus verdaderas ideas sobre el tema. En general, la mayor parte de la formación que recibían los desarrolladores era limitada, no interactiva, sólo se dirigía en cierta medida a sus responsabilidades laborales, y no formaba parte de un plan general o continuo para ayudar a mejorar las habilidades y la concienciación sobre la seguridad de su organización.Según los desarrolladores encuestados, si las organizaciones quieren mejorar la eficacia de la formación que se ofrece, ésta debería presentarse como una parte de un enfoque global para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían peticiones específicas para que la formación fuera más valiosa. Una de las sugerencias más populares fue la de incluir más casos de uso y ejemplos prácticos de situaciones con las que probablemente se encontrarían desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que la formación cubriera con el tiempo escenarios cada vez más complejos o difíciles, algo que probablemente también requeriría un enfoque más cohesivo y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades.Los desarrolladores también destacaron la necesidad de más interactividad e incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios se limitan a ver un vídeo o a escuchar una conferencia sin oportunidad de aprendizaje práctico y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil como la codificación segura.
Los desarrolladores también destacaron la necesidad de una mayor interactividad e incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad cohesiva?
La formación es, por supuesto, fundamental cuando se trata de mejorar la concienciación y las habilidades en materia de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Pero un enfoque verdaderamente cohesivo para mejorar la concienciación en materia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores. Por ejemplo, los desarrolladores han sido evaluados tradicionalmente en función de la rapidez con la que podían codificar. Pero un enfoque cohesivo de la seguridad podría implicar el cambio de esas métricas y valores mantenidos durante mucho tiempo. En su lugar, las evaluaciones podrían dejar de recompensar la velocidad bruta y recompensar a los desarrolladores que puedan crear un código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría implicar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarse a imponer la seguridad a los desarrolladores, considere la posibilidad de crear o nombrar a campeones de seguridad de la comunidad. Se trataría de desarrolladores con talento y concienciados con la seguridad, que se distingan en la formación o como parte de las evaluaciones de métricas recién enfocadas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrollo desde dentro.
Un enfoque verdaderamente cohesionado debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores.
Para más información
Libro blanco: Los retos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: Cómo los campeones de la seguridad pueden apoyar a su equipo a la victoria contra las vulnerabilidades de última hora
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
En respuesta a importantes violaciones de la seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18.000 usuarios del popular software de gestión Orion, entre los que se encontraban muchas de las principales empresas y organismos gubernamentales, se está produciendo un aumento de la presión para que los desarrolladores realicen esfuerzos de seguridad más eficaces. Organizaciones de todos los tamaños están empezando a cuestionar su "cadena de suministro de software", y a exigir que los desarrolladores que elaboran su software tengan conocimientos y conciencia de seguridad verificados.
Incluso el gobierno de los Estados Unidos pide que se mejoren las prácticas de seguridad dirigidas por los desarrolladores y que se refuerce la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva sobre la mejora de la ciberseguridad de la nación emitida por el Presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a las primeras fases del ciclo de vida del desarrollo de software (SDLC) a través de programas y movimientos como DevSecOps.
Las vulnerabilidades del software siguen siendo explotadas, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que la escritura de código de calidad era una de las principales prioridades de la comunidad de desarrolladores. Sin embargo, la encuesta también identificó varias razones por las que la formación que se imparte a los desarrolladores, aunque se considera valiosa, no alcanza el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de la formación impartida, seguía sin saber cómo identificar o solucionar las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más formación.
Está claro que la comunidad de desarrolladores valora cualquier tipo de formación que se les imparta. Sin embargo, cuando se les pregunta por los obstáculos que impiden la adopción de prácticas de codificación seguras, se cita la falta de tiempo como la razón número uno, seguida por una quinta parte de los encuestados que citan como culpable la falta de un enfoque cohesivo. La formación se considera más bien un acontecimiento puntual en lugar de formar parte de un esfuerzo estratégico continuo para incorporar la seguridad a los flujos de trabajo de los desarrolladores y utilizarla a diario.
De este modo, los desarrolladores no están capacitados para crear y mantener habilidades de codificación segura como parte de un programa cohesivo y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es especialmente eficaz ni completa, dado que muchos desarrolladores afirman que todavía no pueden identificar y solucionar las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en materia de seguridad, mientras que el 92% dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para arreglar la situación?
Resulta interesante que los desarrolladores afirmen mayoritariamente que necesitan más formación en materia de seguridad. Y aunque valoraban la formación que recibían, podría tratarse de una situación en la que simplemente se conforman con lo que puedan conseguir.
Cuando se les pidió que comentaran las formas de mejorar su formación, empezaron a aflorar sus verdaderas ideas sobre el tema. En general, la mayor parte de la formación que recibían los desarrolladores era limitada, no interactiva, sólo se dirigía en cierta medida a sus responsabilidades laborales, y no formaba parte de un plan general o continuo para ayudar a mejorar las habilidades y la concienciación sobre la seguridad de su organización.Según los desarrolladores encuestados, si las organizaciones quieren mejorar la eficacia de la formación que se ofrece, ésta debería presentarse como una parte de un enfoque global para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían peticiones específicas para que la formación fuera más valiosa. Una de las sugerencias más populares fue la de incluir más casos de uso y ejemplos prácticos de situaciones con las que probablemente se encontrarían desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que la formación cubriera con el tiempo escenarios cada vez más complejos o difíciles, algo que probablemente también requeriría un enfoque más cohesivo y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades.Los desarrolladores también destacaron la necesidad de más interactividad e incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios se limitan a ver un vídeo o a escuchar una conferencia sin oportunidad de aprendizaje práctico y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil como la codificación segura.
Los desarrolladores también destacaron la necesidad de una mayor interactividad e incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad cohesiva?
La formación es, por supuesto, fundamental cuando se trata de mejorar la concienciación y las habilidades en materia de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Pero un enfoque verdaderamente cohesivo para mejorar la concienciación en materia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores. Por ejemplo, los desarrolladores han sido evaluados tradicionalmente en función de la rapidez con la que podían codificar. Pero un enfoque cohesivo de la seguridad podría implicar el cambio de esas métricas y valores mantenidos durante mucho tiempo. En su lugar, las evaluaciones podrían dejar de recompensar la velocidad bruta y recompensar a los desarrolladores que puedan crear un código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría implicar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarse a imponer la seguridad a los desarrolladores, considere la posibilidad de crear o nombrar a campeones de seguridad de la comunidad. Se trataría de desarrolladores con talento y concienciados con la seguridad, que se distingan en la formación o como parte de las evaluaciones de métricas recién enfocadas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrollo desde dentro.
Un enfoque verdaderamente cohesionado debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores.
Para más información
Libro blanco: Los retos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: Cómo los campeones de la seguridad pueden apoyar a su equipo a la victoria contra las vulnerabilidades de última hora
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
Haga clic en el siguiente enlace para descargar el PDF de este recurso.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Mostrar informeReservar una demostración
Secure Code Warrior convierte la programación segura en una experiencia positiva y atractiva a medida que los desarrolladores mejoran sus habilidades. Guía a cada programador por la ruta de aprendizaje que desea, para que los desarrolladores con habilidades de seguridad puedan convertirse en superhéroes en el mundo conectado en el que vivimos.
Este artículo ha sido escrito por el equipo de expertos del sector de Secure Code Warrior. Su objetivo es que los desarrolladores adquieran los conocimientos y habilidades necesarios para crear software seguro desde el principio. Aprovecha los profundos conocimientos especializados sobre la práctica de la codificación segura, las tendencias del sector y las perspectivas del mundo real.
En respuesta a importantes violaciones de la seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18.000 usuarios del popular software de gestión Orion, entre los que se encontraban muchas de las principales empresas y organismos gubernamentales, se está produciendo un aumento de la presión para que los desarrolladores realicen esfuerzos de seguridad más eficaces. Organizaciones de todos los tamaños están empezando a cuestionar su "cadena de suministro de software", y a exigir que los desarrolladores que elaboran su software tengan conocimientos y conciencia de seguridad verificados.
Incluso el gobierno de los Estados Unidos pide que se mejoren las prácticas de seguridad dirigidas por los desarrolladores y que se refuerce la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva sobre la mejora de la ciberseguridad de la nación emitida por el Presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a las primeras fases del ciclo de vida del desarrollo de software (SDLC) a través de programas y movimientos como DevSecOps.
Las vulnerabilidades del software siguen siendo explotadas, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que la escritura de código de calidad era una de las principales prioridades de la comunidad de desarrolladores. Sin embargo, la encuesta también identificó varias razones por las que la formación que se imparte a los desarrolladores, aunque se considera valiosa, no alcanza el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de la formación impartida, seguía sin saber cómo identificar o solucionar las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más formación.
Está claro que la comunidad de desarrolladores valora cualquier tipo de formación que se les imparta. Sin embargo, cuando se les pregunta por los obstáculos que impiden la adopción de prácticas de codificación seguras, se cita la falta de tiempo como la razón número uno, seguida por una quinta parte de los encuestados que citan como culpable la falta de un enfoque cohesivo. La formación se considera más bien un acontecimiento puntual en lugar de formar parte de un esfuerzo estratégico continuo para incorporar la seguridad a los flujos de trabajo de los desarrolladores y utilizarla a diario.
De este modo, los desarrolladores no están capacitados para crear y mantener habilidades de codificación segura como parte de un programa cohesivo y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es especialmente eficaz ni completa, dado que muchos desarrolladores afirman que todavía no pueden identificar y solucionar las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en materia de seguridad, mientras que el 92% dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para arreglar la situación?
Resulta interesante que los desarrolladores afirmen mayoritariamente que necesitan más formación en materia de seguridad. Y aunque valoraban la formación que recibían, podría tratarse de una situación en la que simplemente se conforman con lo que puedan conseguir.
Cuando se les pidió que comentaran las formas de mejorar su formación, empezaron a aflorar sus verdaderas ideas sobre el tema. En general, la mayor parte de la formación que recibían los desarrolladores era limitada, no interactiva, sólo se dirigía en cierta medida a sus responsabilidades laborales, y no formaba parte de un plan general o continuo para ayudar a mejorar las habilidades y la concienciación sobre la seguridad de su organización.Según los desarrolladores encuestados, si las organizaciones quieren mejorar la eficacia de la formación que se ofrece, ésta debería presentarse como una parte de un enfoque global para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían peticiones específicas para que la formación fuera más valiosa. Una de las sugerencias más populares fue la de incluir más casos de uso y ejemplos prácticos de situaciones con las que probablemente se encontrarían desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que la formación cubriera con el tiempo escenarios cada vez más complejos o difíciles, algo que probablemente también requeriría un enfoque más cohesivo y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades.Los desarrolladores también destacaron la necesidad de más interactividad e incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios se limitan a ver un vídeo o a escuchar una conferencia sin oportunidad de aprendizaje práctico y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil como la codificación segura.
Los desarrolladores también destacaron la necesidad de una mayor interactividad e incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad cohesiva?
La formación es, por supuesto, fundamental cuando se trata de mejorar la concienciación y las habilidades en materia de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Pero un enfoque verdaderamente cohesivo para mejorar la concienciación en materia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores. Por ejemplo, los desarrolladores han sido evaluados tradicionalmente en función de la rapidez con la que podían codificar. Pero un enfoque cohesivo de la seguridad podría implicar el cambio de esas métricas y valores mantenidos durante mucho tiempo. En su lugar, las evaluaciones podrían dejar de recompensar la velocidad bruta y recompensar a los desarrolladores que puedan crear un código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría implicar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarse a imponer la seguridad a los desarrolladores, considere la posibilidad de crear o nombrar a campeones de seguridad de la comunidad. Se trataría de desarrolladores con talento y concienciados con la seguridad, que se distingan en la formación o como parte de las evaluaciones de métricas recién enfocadas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrollo desde dentro.
Un enfoque verdaderamente cohesionado debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores.
Para más información
Libro blanco: Los retos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: Cómo los campeones de la seguridad pueden apoyar a su equipo a la victoria contra las vulnerabilidades de última hora
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
Índice
Secure Code Warrior convierte la programación segura en una experiencia positiva y atractiva a medida que los desarrolladores mejoran sus habilidades. Guía a cada programador por la ruta de aprendizaje que desea, para que los desarrolladores con habilidades de seguridad puedan convertirse en superhéroes en el mundo conectado en el que vivimos.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración[Descargar]Recursos para empezar
Temas y contenidos de la formación en código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo siempre en cuenta las funciones de nuestros clientes. Abarca todo tipo de temas, desde la inteligencia artificial hasta la inyección de XQuery, y está diseñado para satisfacer las necesidades de diversos perfiles, desde arquitectos e ingenieros hasta gestores de productos y responsables de control de calidad. Echemos un vistazo al contenido que ofrece nuestro catálogo, clasificado por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ya está disponible bajo demanda.
Ahora se puede jugar a «Cybermon 2025 Beat the Boss» en SCW durante todo el año. Introduzca retos de seguridad avanzados de IA/LLM y refuerce a gran escala el desarrollo seguro de la IA.
Explicación de la Ley de Resiliencia Cibernética: su significado para el desarrollo de software seguro desde el diseño
Descubra qué exige la Ley de Resiliencia Cibernética (CRA) de la UE, a quién se aplica y cómo puede prepararse el equipo de ingeniería para las prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el desarrollo de las capacidades de los desarrolladores.
Enable 1: Criterios de éxito predefinidos y medibles
Enabler 1 es la primera parte de la serie Enablers of Success, compuesta por diez partes, y presenta cómo madurar un programa a largo plazo vinculando la codificación segura con resultados empresariales como la reducción de riesgos y la velocidad.
