코드 아웃 오브 더 케이스: 보안 개발자가 제한 없이 출시할 수 있는 이유
Este artículo apareció originalmente en SD Times. Ha sido actualizado y sindicado aquí.
La verificación de aptitudes ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, otorgándonos validez y abriéndonos puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un importante rito de iniciación para la mayoría, y se espera que superemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, sobre todo a alta velocidad, pueden costar ese privilegio, o incluso una vida humana.
Pero ¿y si, para algunos, conducir fuera algo más que una comodidad cotidiana y se convirtiera en una profesión de élite? Una persona puede seguir perfeccionándose y llegar a ser piloto de F1, donde se le permite manejar máquinas que van más rápido de lo que cualquier civil podría manejar de forma realista sin una gran probabilidad de cometer errores a altas velocidades.
En este sentido, parece desconcertante que la mayoría de los desarrolladores que trabajan en código que alimenta infraestructuras críticas, automóviles, tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en seguridad. Por otra parte, ¿por qué los desarrolladores expertos en seguridad, que han demostrado repetidamente que saben cómo construir cosas de forma segura, tienen que hacer cola con todos los demás en los siempre lentos procesos de desarrollo a causa de todas las barreras de seguridad? La industria no lo ve como un descuido, es la norma.
Sabemos, gracias a una amplia investigación, que la mayoría de los desarrolladores simplemente no dan prioridad a la seguridad en su código, y carecen de la educación regular necesaria para navegar por muchos errores de seguridad comunes. Tienden a ser parte de la razón por la que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores de seguridad se sienten como si estuvieran atrapados en el carril lento de la Autobahn detrás de un montón de conductores principiantes.
A pesar de ello, el mundo de la seguridad avanza lentamente y cada vez es mayor la demanda de desarrolladores con conocimientos de seguridad verificados que puedan ponerse manos a la obra. La Orden Ejecutiva de la Administración Biden sobre la Mejora de la Ciberseguridad de la Nación exige específicamente la evaluación de las prácticas de seguridad de los vendedores -y de su cohorte de desarrollo- para cualquier proveedor de la cadena de suministro de software del gobierno estadounidense. Es lógico que el énfasis en las aptitudes de seguridad de los desarrolladores aumente en la mayoría de los sectores, pero con la escasa oferta de evaluaciones estándar del sector, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las aptitudes de seguridad verificables de los desarrolladores de un modo que no ponga de rodillas a la entrega ni impida que los desarrolladores concienciados con la seguridad extiendan sus alas?
Control de acceso basado en los méritos: ¿Podría funcionar?
Los controles de seguridad de mínimo privilegio son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna acceso a software, datos y sistemas en base a la necesidad de saber en el contexto de su trabajo, y nada más. Este método -especialmente cuando se combina con los principios de autorización de confianza cero- es útil para abarcar toda la superficie de ataque. Y, en realidad, deberíamos aplicar esta misma estrategia a los permisos API y a otros casos de uso basados en software como norma.
La mayoría de los que nos dedicamos a la seguridad somos muy conscientes de que el software se está comiendo el mundo, y que el código de los sistemas integrados que hacen funcionar una freidora no difiere en nada del código que mantiene en funcionamiento la red eléctrica, en cuanto a su potencial para ser explotado. Nuestras vidas y nuestros datos críticos están a merced de los actores de las amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortificar su código cuando reciben la formación adecuada. Se requiere una actualización seria de la cultura de seguridad de una organización, pero para una verdadera responsabilidad compartida al estilo DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y tal vez la forma más rápida de cambiar su mentalidad sería vincular el acceso al repositorio de código a los resultados del aprendizaje de la codificación segura.
Si tomamos como ejemplo una organización del sector BFSI, es muy probable que existan repositorios altamente sensibles que contengan datos de clientes o almacenen información valiosa como números de tarjetas de crédito. ¿Por qué, entonces, deberíamos asumir que cada ingeniero al que se le ha concedido acceso es consciente de la seguridad, cumple con los estrictos requisitos PCI-DSS y es capaz de realizar cambios en la rama maestra rápidamente y sin incidentes? Aunque ese pueda ser el caso para algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El reto es que, en la mayoría de las empresas, promulgar un escenario de "licencia para codificar" sería arduo y, dependiendo de la solución de formación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad a gran velocidad. Sin embargo, la combinación adecuada de formación integradora y herramientas puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración eficaz de la formación no es imposible.
Encontrar soluciones de mejora de la capacitación de los desarrolladores que complementen tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero ir más allá de la formación de cumplimiento de estilo "uno y listo" es la única forma en que empezaremos a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que consiguen demostrar su valía? Bueno, el mundo de la codificación es su ostra, y no tienen que estar limitados por los controles de seguridad que asumen que no pueden navegar por lo básico.
El desarrollo de habilidades prácticas que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente conceptos de codificación segura, y estas mismas integraciones pueden utilizarse para gestionar eficazmente el acceso a sistemas críticos, garantizando que aquellos que destacan en sus resultados de aprendizaje trabajen en las tareas sensibles de mayor prioridad sin impedimentos. También facilita la aplicación de recompensas y reconocimientos, garantizando que los desarrolladores cualificados en seguridad sean considerados como una aspiración en su cohorte.
Como muchas cosas en la vida, la fortuna favorece a los valientes, y romper el statu quo para adoptar un enfoque innovador en la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para elevar los estándares de calidad del código aceptable del mañana sin sacrificar la velocidad.
핵심 인프라, 자동차, 의료 기술 및 그 사이의 모든 것을 지원하는 코드를 개발하는 대부분의 개발자가 보안 능력을 먼저 확인하지 않고 작업을 한다는 것은 당혹스러워 보입니다.반면에, 안전하게 구축하는 방법을 이해하고 있다는 것을 수차례 입증한 보안 전문 개발자들이 모든 보안 게이트 때문에 계속 느려지는 개발 파이프라인에서 다른 사람들과 함께 줄을 서야 하는 이유는 무엇일까요?
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostración
Este artículo apareció originalmente en SD Times. Ha sido actualizado y sindicado aquí.
La verificación de aptitudes ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, otorgándonos validez y abriéndonos puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un importante rito de iniciación para la mayoría, y se espera que superemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, sobre todo a alta velocidad, pueden costar ese privilegio, o incluso una vida humana.
Pero ¿y si, para algunos, conducir fuera algo más que una comodidad cotidiana y se convirtiera en una profesión de élite? Una persona puede seguir perfeccionándose y llegar a ser piloto de F1, donde se le permite manejar máquinas que van más rápido de lo que cualquier civil podría manejar de forma realista sin una gran probabilidad de cometer errores a altas velocidades.
En este sentido, parece desconcertante que la mayoría de los desarrolladores que trabajan en código que alimenta infraestructuras críticas, automóviles, tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en seguridad. Por otra parte, ¿por qué los desarrolladores expertos en seguridad, que han demostrado repetidamente que saben cómo construir cosas de forma segura, tienen que hacer cola con todos los demás en los siempre lentos procesos de desarrollo a causa de todas las barreras de seguridad? La industria no lo ve como un descuido, es la norma.
Sabemos, gracias a una amplia investigación, que la mayoría de los desarrolladores simplemente no dan prioridad a la seguridad en su código, y carecen de la educación regular necesaria para navegar por muchos errores de seguridad comunes. Tienden a ser parte de la razón por la que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores de seguridad se sienten como si estuvieran atrapados en el carril lento de la Autobahn detrás de un montón de conductores principiantes.
A pesar de ello, el mundo de la seguridad avanza lentamente y cada vez es mayor la demanda de desarrolladores con conocimientos de seguridad verificados que puedan ponerse manos a la obra. La Orden Ejecutiva de la Administración Biden sobre la Mejora de la Ciberseguridad de la Nación exige específicamente la evaluación de las prácticas de seguridad de los vendedores -y de su cohorte de desarrollo- para cualquier proveedor de la cadena de suministro de software del gobierno estadounidense. Es lógico que el énfasis en las aptitudes de seguridad de los desarrolladores aumente en la mayoría de los sectores, pero con la escasa oferta de evaluaciones estándar del sector, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las aptitudes de seguridad verificables de los desarrolladores de un modo que no ponga de rodillas a la entrega ni impida que los desarrolladores concienciados con la seguridad extiendan sus alas?
Control de acceso basado en los méritos: ¿Podría funcionar?
Los controles de seguridad de mínimo privilegio son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna acceso a software, datos y sistemas en base a la necesidad de saber en el contexto de su trabajo, y nada más. Este método -especialmente cuando se combina con los principios de autorización de confianza cero- es útil para abarcar toda la superficie de ataque. Y, en realidad, deberíamos aplicar esta misma estrategia a los permisos API y a otros casos de uso basados en software como norma.
La mayoría de los que nos dedicamos a la seguridad somos muy conscientes de que el software se está comiendo el mundo, y que el código de los sistemas integrados que hacen funcionar una freidora no difiere en nada del código que mantiene en funcionamiento la red eléctrica, en cuanto a su potencial para ser explotado. Nuestras vidas y nuestros datos críticos están a merced de los actores de las amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortificar su código cuando reciben la formación adecuada. Se requiere una actualización seria de la cultura de seguridad de una organización, pero para una verdadera responsabilidad compartida al estilo DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y tal vez la forma más rápida de cambiar su mentalidad sería vincular el acceso al repositorio de código a los resultados del aprendizaje de la codificación segura.
Si tomamos como ejemplo una organización del sector BFSI, es muy probable que existan repositorios altamente sensibles que contengan datos de clientes o almacenen información valiosa como números de tarjetas de crédito. ¿Por qué, entonces, deberíamos asumir que cada ingeniero al que se le ha concedido acceso es consciente de la seguridad, cumple con los estrictos requisitos PCI-DSS y es capaz de realizar cambios en la rama maestra rápidamente y sin incidentes? Aunque ese pueda ser el caso para algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El reto es que, en la mayoría de las empresas, promulgar un escenario de "licencia para codificar" sería arduo y, dependiendo de la solución de formación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad a gran velocidad. Sin embargo, la combinación adecuada de formación integradora y herramientas puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración eficaz de la formación no es imposible.
Encontrar soluciones de mejora de la capacitación de los desarrolladores que complementen tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero ir más allá de la formación de cumplimiento de estilo "uno y listo" es la única forma en que empezaremos a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que consiguen demostrar su valía? Bueno, el mundo de la codificación es su ostra, y no tienen que estar limitados por los controles de seguridad que asumen que no pueden navegar por lo básico.
El desarrollo de habilidades prácticas que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente conceptos de codificación segura, y estas mismas integraciones pueden utilizarse para gestionar eficazmente el acceso a sistemas críticos, garantizando que aquellos que destacan en sus resultados de aprendizaje trabajen en las tareas sensibles de mayor prioridad sin impedimentos. También facilita la aplicación de recompensas y reconocimientos, garantizando que los desarrolladores cualificados en seguridad sean considerados como una aspiración en su cohorte.
Como muchas cosas en la vida, la fortuna favorece a los valientes, y romper el statu quo para adoptar un enfoque innovador en la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para elevar los estándares de calidad del código aceptable del mañana sin sacrificar la velocidad.
Este artículo apareció originalmente en SD Times. Ha sido actualizado y sindicado aquí.
La verificación de aptitudes ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, otorgándonos validez y abriéndonos puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un importante rito de iniciación para la mayoría, y se espera que superemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, sobre todo a alta velocidad, pueden costar ese privilegio, o incluso una vida humana.
Pero ¿y si, para algunos, conducir fuera algo más que una comodidad cotidiana y se convirtiera en una profesión de élite? Una persona puede seguir perfeccionándose y llegar a ser piloto de F1, donde se le permite manejar máquinas que van más rápido de lo que cualquier civil podría manejar de forma realista sin una gran probabilidad de cometer errores a altas velocidades.
En este sentido, parece desconcertante que la mayoría de los desarrolladores que trabajan en código que alimenta infraestructuras críticas, automóviles, tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en seguridad. Por otra parte, ¿por qué los desarrolladores expertos en seguridad, que han demostrado repetidamente que saben cómo construir cosas de forma segura, tienen que hacer cola con todos los demás en los siempre lentos procesos de desarrollo a causa de todas las barreras de seguridad? La industria no lo ve como un descuido, es la norma.
Sabemos, gracias a una amplia investigación, que la mayoría de los desarrolladores simplemente no dan prioridad a la seguridad en su código, y carecen de la educación regular necesaria para navegar por muchos errores de seguridad comunes. Tienden a ser parte de la razón por la que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores de seguridad se sienten como si estuvieran atrapados en el carril lento de la Autobahn detrás de un montón de conductores principiantes.
A pesar de ello, el mundo de la seguridad avanza lentamente y cada vez es mayor la demanda de desarrolladores con conocimientos de seguridad verificados que puedan ponerse manos a la obra. La Orden Ejecutiva de la Administración Biden sobre la Mejora de la Ciberseguridad de la Nación exige específicamente la evaluación de las prácticas de seguridad de los vendedores -y de su cohorte de desarrollo- para cualquier proveedor de la cadena de suministro de software del gobierno estadounidense. Es lógico que el énfasis en las aptitudes de seguridad de los desarrolladores aumente en la mayoría de los sectores, pero con la escasa oferta de evaluaciones estándar del sector, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las aptitudes de seguridad verificables de los desarrolladores de un modo que no ponga de rodillas a la entrega ni impida que los desarrolladores concienciados con la seguridad extiendan sus alas?
Control de acceso basado en los méritos: ¿Podría funcionar?
Los controles de seguridad de mínimo privilegio son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna acceso a software, datos y sistemas en base a la necesidad de saber en el contexto de su trabajo, y nada más. Este método -especialmente cuando se combina con los principios de autorización de confianza cero- es útil para abarcar toda la superficie de ataque. Y, en realidad, deberíamos aplicar esta misma estrategia a los permisos API y a otros casos de uso basados en software como norma.
La mayoría de los que nos dedicamos a la seguridad somos muy conscientes de que el software se está comiendo el mundo, y que el código de los sistemas integrados que hacen funcionar una freidora no difiere en nada del código que mantiene en funcionamiento la red eléctrica, en cuanto a su potencial para ser explotado. Nuestras vidas y nuestros datos críticos están a merced de los actores de las amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortificar su código cuando reciben la formación adecuada. Se requiere una actualización seria de la cultura de seguridad de una organización, pero para una verdadera responsabilidad compartida al estilo DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y tal vez la forma más rápida de cambiar su mentalidad sería vincular el acceso al repositorio de código a los resultados del aprendizaje de la codificación segura.
Si tomamos como ejemplo una organización del sector BFSI, es muy probable que existan repositorios altamente sensibles que contengan datos de clientes o almacenen información valiosa como números de tarjetas de crédito. ¿Por qué, entonces, deberíamos asumir que cada ingeniero al que se le ha concedido acceso es consciente de la seguridad, cumple con los estrictos requisitos PCI-DSS y es capaz de realizar cambios en la rama maestra rápidamente y sin incidentes? Aunque ese pueda ser el caso para algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El reto es que, en la mayoría de las empresas, promulgar un escenario de "licencia para codificar" sería arduo y, dependiendo de la solución de formación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad a gran velocidad. Sin embargo, la combinación adecuada de formación integradora y herramientas puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración eficaz de la formación no es imposible.
Encontrar soluciones de mejora de la capacitación de los desarrolladores que complementen tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero ir más allá de la formación de cumplimiento de estilo "uno y listo" es la única forma en que empezaremos a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que consiguen demostrar su valía? Bueno, el mundo de la codificación es su ostra, y no tienen que estar limitados por los controles de seguridad que asumen que no pueden navegar por lo básico.
El desarrollo de habilidades prácticas que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente conceptos de codificación segura, y estas mismas integraciones pueden utilizarse para gestionar eficazmente el acceso a sistemas críticos, garantizando que aquellos que destacan en sus resultados de aprendizaje trabajen en las tareas sensibles de mayor prioridad sin impedimentos. También facilita la aplicación de recompensas y reconocimientos, garantizando que los desarrolladores cualificados en seguridad sean considerados como una aspiración en su cohorte.
Como muchas cosas en la vida, la fortuna favorece a los valientes, y romper el statu quo para adoptar un enfoque innovador en la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para elevar los estándares de calidad del código aceptable del mañana sin sacrificar la velocidad.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Ver informeReserva de demostración
Este artículo apareció originalmente en SD Times. Ha sido actualizado y sindicado aquí.
La verificación de aptitudes ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, otorgándonos validez y abriéndonos puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un importante rito de iniciación para la mayoría, y se espera que superemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, sobre todo a alta velocidad, pueden costar ese privilegio, o incluso una vida humana.
Pero ¿y si, para algunos, conducir fuera algo más que una comodidad cotidiana y se convirtiera en una profesión de élite? Una persona puede seguir perfeccionándose y llegar a ser piloto de F1, donde se le permite manejar máquinas que van más rápido de lo que cualquier civil podría manejar de forma realista sin una gran probabilidad de cometer errores a altas velocidades.
En este sentido, parece desconcertante que la mayoría de los desarrolladores que trabajan en código que alimenta infraestructuras críticas, automóviles, tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en seguridad. Por otra parte, ¿por qué los desarrolladores expertos en seguridad, que han demostrado repetidamente que saben cómo construir cosas de forma segura, tienen que hacer cola con todos los demás en los siempre lentos procesos de desarrollo a causa de todas las barreras de seguridad? La industria no lo ve como un descuido, es la norma.
Sabemos, gracias a una amplia investigación, que la mayoría de los desarrolladores simplemente no dan prioridad a la seguridad en su código, y carecen de la educación regular necesaria para navegar por muchos errores de seguridad comunes. Tienden a ser parte de la razón por la que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores de seguridad se sienten como si estuvieran atrapados en el carril lento de la Autobahn detrás de un montón de conductores principiantes.
A pesar de ello, el mundo de la seguridad avanza lentamente y cada vez es mayor la demanda de desarrolladores con conocimientos de seguridad verificados que puedan ponerse manos a la obra. La Orden Ejecutiva de la Administración Biden sobre la Mejora de la Ciberseguridad de la Nación exige específicamente la evaluación de las prácticas de seguridad de los vendedores -y de su cohorte de desarrollo- para cualquier proveedor de la cadena de suministro de software del gobierno estadounidense. Es lógico que el énfasis en las aptitudes de seguridad de los desarrolladores aumente en la mayoría de los sectores, pero con la escasa oferta de evaluaciones estándar del sector, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las aptitudes de seguridad verificables de los desarrolladores de un modo que no ponga de rodillas a la entrega ni impida que los desarrolladores concienciados con la seguridad extiendan sus alas?
Control de acceso basado en los méritos: ¿Podría funcionar?
Los controles de seguridad de mínimo privilegio son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna acceso a software, datos y sistemas en base a la necesidad de saber en el contexto de su trabajo, y nada más. Este método -especialmente cuando se combina con los principios de autorización de confianza cero- es útil para abarcar toda la superficie de ataque. Y, en realidad, deberíamos aplicar esta misma estrategia a los permisos API y a otros casos de uso basados en software como norma.
La mayoría de los que nos dedicamos a la seguridad somos muy conscientes de que el software se está comiendo el mundo, y que el código de los sistemas integrados que hacen funcionar una freidora no difiere en nada del código que mantiene en funcionamiento la red eléctrica, en cuanto a su potencial para ser explotado. Nuestras vidas y nuestros datos críticos están a merced de los actores de las amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortificar su código cuando reciben la formación adecuada. Se requiere una actualización seria de la cultura de seguridad de una organización, pero para una verdadera responsabilidad compartida al estilo DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y tal vez la forma más rápida de cambiar su mentalidad sería vincular el acceso al repositorio de código a los resultados del aprendizaje de la codificación segura.
Si tomamos como ejemplo una organización del sector BFSI, es muy probable que existan repositorios altamente sensibles que contengan datos de clientes o almacenen información valiosa como números de tarjetas de crédito. ¿Por qué, entonces, deberíamos asumir que cada ingeniero al que se le ha concedido acceso es consciente de la seguridad, cumple con los estrictos requisitos PCI-DSS y es capaz de realizar cambios en la rama maestra rápidamente y sin incidentes? Aunque ese pueda ser el caso para algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El reto es que, en la mayoría de las empresas, promulgar un escenario de "licencia para codificar" sería arduo y, dependiendo de la solución de formación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad a gran velocidad. Sin embargo, la combinación adecuada de formación integradora y herramientas puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración eficaz de la formación no es imposible.
Encontrar soluciones de mejora de la capacitación de los desarrolladores que complementen tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero ir más allá de la formación de cumplimiento de estilo "uno y listo" es la única forma en que empezaremos a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que consiguen demostrar su valía? Bueno, el mundo de la codificación es su ostra, y no tienen que estar limitados por los controles de seguridad que asumen que no pueden navegar por lo básico.
El desarrollo de habilidades prácticas que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente conceptos de codificación segura, y estas mismas integraciones pueden utilizarse para gestionar eficazmente el acceso a sistemas críticos, garantizando que aquellos que destacan en sus resultados de aprendizaje trabajen en las tareas sensibles de mayor prioridad sin impedimentos. También facilita la aplicación de recompensas y reconocimientos, garantizando que los desarrolladores cualificados en seguridad sean considerados como una aspiración en su cohorte.
Como muchas cosas en la vida, la fortuna favorece a los valientes, y romper el statu quo para adoptar un enfoque innovador en la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para elevar los estándares de calidad del código aceptable del mañana sin sacrificar la velocidad.
Índice
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostraciónDescargarRecursos útiles para empezar
Temas y contenidos de la formación sobre códigos de seguridad
El mejor contenido del sector evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo en cuenta el papel de los clientes. Se ofrecen temas que abarcan desde la inteligencia artificial hasta la inyección de XQuery, para diversas funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo al contenido que ofrece el catálogo por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos útiles para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ahora está disponible bajo demanda.
Cybermon 2025 Bit the Boss ya está disponible en SCW durante todo el año. Implemente tareas de seguridad avanzadas de IA/LLM para impulsar el desarrollo de IA de seguridad a gran escala.
Explicación de la Ley de Resiliencia Cibernética: El significado del diseño de seguridad en el desarrollo de software
Descubra los requisitos y el ámbito de aplicación de la Ley de Resiliencia Cibernética (CRA) de la UE, y cómo el equipo de ingeniería puede prepararse de forma segura mediante el diseño, las prácticas, la prevención de vulnerabilidades y la creación de un entorno de desarrollo.
Factor de éxito 1: Criterios de éxito definidos y medibles
El habilitador 1 ofrece una serie de 10 partes sobre los habilitadores del éxito, mostrando cómo la codificación segura puede mejorar los resultados empresariales, como la reducción de riesgos y costes y la aceleración de la madurez de los programas a largo plazo.
