보안 코드 정의
Los desarrolladores que crean el software, las aplicaciones y los programas que impulsan los negocios digitales se han convertido en el alma de muchas organizaciones. La mayoría de las empresas modernas no podrían funcionar (de forma rentable), sin aplicaciones y programas competitivos, o sin acceso las 24 horas del día a sus sitios web y otras infraestructuras.
Sin embargo, estos mismos puntos de contacto suelen ser la puerta de entrada que los hackers y otros usuarios malintencionados emplean para robar información, lanzar ataques y dar paso a otras actividades delictivas como el fraude y el ransomware. El último informe de Verizon sobre investigaciones de fugas de datos destaca que las amenazas que se ciernen sobre las empresas y organizaciones son hoy más peligrosas y costosas que en cualquier otro momento de la historia.
Los ataques exitosos siguen siendo frecuentes, a pesar de que el gasto en ciberseguridad en la mayoría de las organizaciones ha aumentado, y a pesar de que movimientos como DevSecOps están desplazando la seguridad hacia los desarrolladores que son el alma de las empresas hoy en día.
Los desarrolladores comprenden la importancia de la seguridad y desean mayoritariamente desplegar un código seguro y de calidad, pero las vulnerabilidades del software siguen siendo explotadas.
¿Por qué?
Por segundo año, Secure Code Warrior realizó la encuesta The state of developer-driven security, 2022 en colaboración con Evans Data Corp en diciembre de 2021. Encuestamos a 1200 desarrolladores de todo el mundo para conocer las habilidades, percepciones y comportamientos en lo que respecta a las prácticas de codificación segura, así como su impacto y relevancia percibida en el ciclo de vida del desarrollo de software (SDLC).
La encuesta detectó la ausencia de una definición clara o una comprensión de lo que constituye un código seguro. Resulta que hay una gran discrepancia entre lo que los desarrolladores piensan que es un código seguro y lo que es realmente.
No es de extrañar que la escritura de código de calidad sea una de las principales prioridades de la comunidad de desarrolladores, pero cuando se les preguntó específicamente por el código seguro, sólo el 29% dijo que se priorizaba la práctica activa de escribir código libre de vulnerabilidades. En cambio, los desarrolladores asociaron prácticas menos seguras y mucho menos fiables a la creación de código seguro. Por ejemplo, el escrutinio del código existente (37%) y la confianza en bibliotecas de origen externo para obtener código seguro (37%) fueron las principales prácticas que los desarrolladores asociaron con la codificación segura. Reutilizar el código que ya se ha considerado seguro (32%) fue otra de las opciones más populares. La práctica activa de escribir código libre de vulnerabilidades ocupó el sexto lugar, con un 29% que declaró que era una práctica principal en la creación de código seguro. Cuando se les preguntó más a fondo, la falta de tiempo y la falta de un enfoque cohesivo por parte de la dirección se declararon como los principales obstáculos para crear código seguro.
La confianza en el código existente es uno de los factores que aumenta el riesgo de que el software se distribuya con vulnerabilidades explotables. Es necesario abordar esta desconexión de lo que constituye un código seguro para que los desarrolladores creen un código de calidad que también sea seguro.
Resulta que hay una gran discrepancia entre lo que los desarrolladores piensan que es un código seguro, y lo que es realmente un código seguro.
¿Qué pueden hacer las organizaciones para arreglar la situación?
Uno de los mensajes predominantes de la encuesta fue que la comunidad de desarrolladores en su conjunto está formada por personas profesionales que se preocupan por lo que hacen. Escribir un código de máxima calidad era abrumadoramente importante para ellos como grupo. El problema es que, en muchos casos, las organizaciones para las que trabajan no han identificado las mejores prácticas necesarias para producir código seguro, y no han dedicado suficientes recursos a la formación o han capacitado a sus desarrolladores para alcanzar esos objetivos.
De hecho, la mayoría de los desarrolladores afirmaron que sus organizaciones ni siquiera tenían una definición clara de lo que constituye un código seguro. Uno de los ejemplos más preocupantes es que el 28% de los encuestados afirmó que su organización consideraba que el código era seguro si no se denunciaba ninguna infracción una vez que la aplicación o el programa se desplegaba en un entorno de producción o se ponía a disposición del público.
Probablemente no hace falta decirlo, pero en el complejo panorama actual de las amenazas, limitarse a esperar buenos resultados sin trabajar realmente para conseguirlos probablemente producirá resultados predecibles: aún más violaciones de la seguridad.
Afortunadamente, se trata de una situación en la que es relativamente fácil, al menos, empezar a solucionar el problema y comenzar a trabajar para conseguir el objetivo de un código seguro. El primer paso, y posiblemente el más importante, es que las organizaciones definan lo que consideran código seguro. Y todo lo que esté fuera de esa definición debe ser considerado como no seguro.
La codificación segura debería definirse como la práctica de los desarrolladores cualificados de escribir código libre de vulnerabilidades, desde el inicio del SDLC. Solo una vez definida esta práctica, la comunidad de desarrolladores puede trabajar en pos de ese objetivo.
Hacer realidad el objetivo de un código seguro
Una vez establecida la definición de código seguro, las organizaciones deben estar preparadas para apoyar esos esfuerzos y a sus desarrolladores que llevarán a cabo el objetivo de implementar prácticas de código totalmente seguro. Ese apoyo es fundamental. Sin él, la definición de código seguro dentro de su organización, aunque importante, será poco más que un tigre de papel. Las prácticas de código seguro deben ser respaldadas por la dirección y recibir la consideración, la autoridad y el presupuesto adecuados para que tengan éxito.
Esto puede requerir nuevos objetivos de evaluación comparativa para los desarrolladores, que tradicionalmente se han medido por la velocidad de su codificación. De hecho, el 37% de los desarrolladores que participaron en la encuesta declararon haber dejado vulnerabilidades conocidas dentro de su código porque los plazos ajustados no les permitían disponer del tiempo necesario para solucionarlas, o para codificar correctamente desde el principio.Al principio, esto puede significar aumentar los plazos para dar a los desarrolladores más tiempo para codificar correctamente, aunque ese gasto de tiempo al principio del proceso de codificación probablemente se recuperará más tarde debido a la menor necesidad de revisiones del programa, parches y trabajo posterior a la implantación. Y eliminar la posibilidad de una brecha una vez desplegada puede acabar ahorrando cientos de horas y la posibilidad de millones en pérdidas de ingresos, multas y costes de limpieza.
Los desarrolladores también necesitarán una formación pertinente y práctica, especialmente en lo que respecta a las vulnerabilidades específicas con las que probablemente se encuentren, y ayuda para aprender a identificar y corregir las vulnerabilidades del código. Esto es especialmente cierto a la luz del 36% de los encuestados que dijeron que querían eliminar las vulnerabilidades de su código, pero no tenían las habilidades o el conocimiento para hacerlo.
El 37% de los desarrolladores que participaron en la encuesta declararon haber dejado vulnerabilidades conocidas dentro de su código porque los plazos ajustados no les permitían disponer del tiempo necesario para solucionarlas, o para codificar correctamente desde el principio.
¿Le interesa saber más sobre este tema?
Libro blanco: Los retos (y las oportunidades) para mejorar la seguridad del software.
Informe: Encuesta sobre el estado de la seguridad impulsada por los desarrolladores, 2022.
디지털 비즈니스를 주도하는 소프트웨어, 애플리케이션 및 프로그램을 만드는 개발자는 많은 조직의 생명줄로 자리 잡았습니다.경쟁사의 애플리케이션 및 프로그램이 없거나 웹 사이트 및 기타 인프라에 24시간 액세스하지 않으면 대부분의 현대 비즈니스가 (수익성) 운영될 수 없습니다.
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
Los desarrolladores que crean el software, las aplicaciones y los programas que impulsan los negocios digitales se han convertido en el alma de muchas organizaciones. La mayoría de las empresas modernas no podrían funcionar (de forma rentable), sin aplicaciones y programas competitivos, o sin acceso las 24 horas del día a sus sitios web y otras infraestructuras.
Sin embargo, estos mismos puntos de contacto suelen ser la puerta de entrada que los hackers y otros usuarios malintencionados emplean para robar información, lanzar ataques y dar paso a otras actividades delictivas como el fraude y el ransomware. El último informe de Verizon sobre investigaciones de fugas de datos destaca que las amenazas que se ciernen sobre las empresas y organizaciones son hoy más peligrosas y costosas que en cualquier otro momento de la historia.
Los ataques exitosos siguen siendo frecuentes, a pesar de que el gasto en ciberseguridad en la mayoría de las organizaciones ha aumentado, y a pesar de que movimientos como DevSecOps están desplazando la seguridad hacia los desarrolladores que son el alma de las empresas hoy en día.
Los desarrolladores comprenden la importancia de la seguridad y desean mayoritariamente desplegar un código seguro y de calidad, pero las vulnerabilidades del software siguen siendo explotadas.
¿Por qué?
Por segundo año, Secure Code Warrior realizó la encuesta The state of developer-driven security, 2022 en colaboración con Evans Data Corp en diciembre de 2021. Encuestamos a 1200 desarrolladores de todo el mundo para conocer las habilidades, percepciones y comportamientos en lo que respecta a las prácticas de codificación segura, así como su impacto y relevancia percibida en el ciclo de vida del desarrollo de software (SDLC).
La encuesta detectó la ausencia de una definición clara o una comprensión de lo que constituye un código seguro. Resulta que hay una gran discrepancia entre lo que los desarrolladores piensan que es un código seguro y lo que es realmente.
No es de extrañar que la escritura de código de calidad sea una de las principales prioridades de la comunidad de desarrolladores, pero cuando se les preguntó específicamente por el código seguro, sólo el 29% dijo que se priorizaba la práctica activa de escribir código libre de vulnerabilidades. En cambio, los desarrolladores asociaron prácticas menos seguras y mucho menos fiables a la creación de código seguro. Por ejemplo, el escrutinio del código existente (37%) y la confianza en bibliotecas de origen externo para obtener código seguro (37%) fueron las principales prácticas que los desarrolladores asociaron con la codificación segura. Reutilizar el código que ya se ha considerado seguro (32%) fue otra de las opciones más populares. La práctica activa de escribir código libre de vulnerabilidades ocupó el sexto lugar, con un 29% que declaró que era una práctica principal en la creación de código seguro. Cuando se les preguntó más a fondo, la falta de tiempo y la falta de un enfoque cohesivo por parte de la dirección se declararon como los principales obstáculos para crear código seguro.
La confianza en el código existente es uno de los factores que aumenta el riesgo de que el software se distribuya con vulnerabilidades explotables. Es necesario abordar esta desconexión de lo que constituye un código seguro para que los desarrolladores creen un código de calidad que también sea seguro.
Resulta que hay una gran discrepancia entre lo que los desarrolladores piensan que es un código seguro, y lo que es realmente un código seguro.
¿Qué pueden hacer las organizaciones para arreglar la situación?
Uno de los mensajes predominantes de la encuesta fue que la comunidad de desarrolladores en su conjunto está formada por personas profesionales que se preocupan por lo que hacen. Escribir un código de máxima calidad era abrumadoramente importante para ellos como grupo. El problema es que, en muchos casos, las organizaciones para las que trabajan no han identificado las mejores prácticas necesarias para producir código seguro, y no han dedicado suficientes recursos a la formación o han capacitado a sus desarrolladores para alcanzar esos objetivos.
De hecho, la mayoría de los desarrolladores afirmaron que sus organizaciones ni siquiera tenían una definición clara de lo que constituye un código seguro. Uno de los ejemplos más preocupantes es que el 28% de los encuestados afirmó que su organización consideraba que el código era seguro si no se denunciaba ninguna infracción una vez que la aplicación o el programa se desplegaba en un entorno de producción o se ponía a disposición del público.
Probablemente no hace falta decirlo, pero en el complejo panorama actual de las amenazas, limitarse a esperar buenos resultados sin trabajar realmente para conseguirlos probablemente producirá resultados predecibles: aún más violaciones de la seguridad.
Afortunadamente, se trata de una situación en la que es relativamente fácil, al menos, empezar a solucionar el problema y comenzar a trabajar para conseguir el objetivo de un código seguro. El primer paso, y posiblemente el más importante, es que las organizaciones definan lo que consideran código seguro. Y todo lo que esté fuera de esa definición debe ser considerado como no seguro.
La codificación segura debería definirse como la práctica de los desarrolladores cualificados de escribir código libre de vulnerabilidades, desde el inicio del SDLC. Solo una vez definida esta práctica, la comunidad de desarrolladores puede trabajar en pos de ese objetivo.
Hacer realidad el objetivo de un código seguro
Una vez establecida la definición de código seguro, las organizaciones deben estar preparadas para apoyar esos esfuerzos y a sus desarrolladores que llevarán a cabo el objetivo de implementar prácticas de código totalmente seguro. Ese apoyo es fundamental. Sin él, la definición de código seguro dentro de su organización, aunque importante, será poco más que un tigre de papel. Las prácticas de código seguro deben ser respaldadas por la dirección y recibir la consideración, la autoridad y el presupuesto adecuados para que tengan éxito.
Esto puede requerir nuevos objetivos de evaluación comparativa para los desarrolladores, que tradicionalmente se han medido por la velocidad de su codificación. De hecho, el 37% de los desarrolladores que participaron en la encuesta declararon haber dejado vulnerabilidades conocidas dentro de su código porque los plazos ajustados no les permitían disponer del tiempo necesario para solucionarlas, o para codificar correctamente desde el principio.Al principio, esto puede significar aumentar los plazos para dar a los desarrolladores más tiempo para codificar correctamente, aunque ese gasto de tiempo al principio del proceso de codificación probablemente se recuperará más tarde debido a la menor necesidad de revisiones del programa, parches y trabajo posterior a la implantación. Y eliminar la posibilidad de una brecha una vez desplegada puede acabar ahorrando cientos de horas y la posibilidad de millones en pérdidas de ingresos, multas y costes de limpieza.
Los desarrolladores también necesitarán una formación pertinente y práctica, especialmente en lo que respecta a las vulnerabilidades específicas con las que probablemente se encuentren, y ayuda para aprender a identificar y corregir las vulnerabilidades del código. Esto es especialmente cierto a la luz del 36% de los encuestados que dijeron que querían eliminar las vulnerabilidades de su código, pero no tenían las habilidades o el conocimiento para hacerlo.
El 37% de los desarrolladores que participaron en la encuesta declararon haber dejado vulnerabilidades conocidas dentro de su código porque los plazos ajustados no les permitían disponer del tiempo necesario para solucionarlas, o para codificar correctamente desde el principio.
¿Le interesa saber más sobre este tema?
Libro blanco: Los retos (y las oportunidades) para mejorar la seguridad del software.
Informe: Encuesta sobre el estado de la seguridad impulsada por los desarrolladores, 2022.
Los desarrolladores que crean el software, las aplicaciones y los programas que impulsan los negocios digitales se han convertido en el alma de muchas organizaciones. La mayoría de las empresas modernas no podrían funcionar (de forma rentable), sin aplicaciones y programas competitivos, o sin acceso las 24 horas del día a sus sitios web y otras infraestructuras.
Sin embargo, estos mismos puntos de contacto suelen ser la puerta de entrada que los hackers y otros usuarios malintencionados emplean para robar información, lanzar ataques y dar paso a otras actividades delictivas como el fraude y el ransomware. El último informe de Verizon sobre investigaciones de fugas de datos destaca que las amenazas que se ciernen sobre las empresas y organizaciones son hoy más peligrosas y costosas que en cualquier otro momento de la historia.
Los ataques exitosos siguen siendo frecuentes, a pesar de que el gasto en ciberseguridad en la mayoría de las organizaciones ha aumentado, y a pesar de que movimientos como DevSecOps están desplazando la seguridad hacia los desarrolladores que son el alma de las empresas hoy en día.
Los desarrolladores comprenden la importancia de la seguridad y desean mayoritariamente desplegar un código seguro y de calidad, pero las vulnerabilidades del software siguen siendo explotadas.
¿Por qué?
Por segundo año, Secure Code Warrior realizó la encuesta The state of developer-driven security, 2022 en colaboración con Evans Data Corp en diciembre de 2021. Encuestamos a 1200 desarrolladores de todo el mundo para conocer las habilidades, percepciones y comportamientos en lo que respecta a las prácticas de codificación segura, así como su impacto y relevancia percibida en el ciclo de vida del desarrollo de software (SDLC).
La encuesta detectó la ausencia de una definición clara o una comprensión de lo que constituye un código seguro. Resulta que hay una gran discrepancia entre lo que los desarrolladores piensan que es un código seguro y lo que es realmente.
No es de extrañar que la escritura de código de calidad sea una de las principales prioridades de la comunidad de desarrolladores, pero cuando se les preguntó específicamente por el código seguro, sólo el 29% dijo que se priorizaba la práctica activa de escribir código libre de vulnerabilidades. En cambio, los desarrolladores asociaron prácticas menos seguras y mucho menos fiables a la creación de código seguro. Por ejemplo, el escrutinio del código existente (37%) y la confianza en bibliotecas de origen externo para obtener código seguro (37%) fueron las principales prácticas que los desarrolladores asociaron con la codificación segura. Reutilizar el código que ya se ha considerado seguro (32%) fue otra de las opciones más populares. La práctica activa de escribir código libre de vulnerabilidades ocupó el sexto lugar, con un 29% que declaró que era una práctica principal en la creación de código seguro. Cuando se les preguntó más a fondo, la falta de tiempo y la falta de un enfoque cohesivo por parte de la dirección se declararon como los principales obstáculos para crear código seguro.
La confianza en el código existente es uno de los factores que aumenta el riesgo de que el software se distribuya con vulnerabilidades explotables. Es necesario abordar esta desconexión de lo que constituye un código seguro para que los desarrolladores creen un código de calidad que también sea seguro.
Resulta que hay una gran discrepancia entre lo que los desarrolladores piensan que es un código seguro, y lo que es realmente un código seguro.
¿Qué pueden hacer las organizaciones para arreglar la situación?
Uno de los mensajes predominantes de la encuesta fue que la comunidad de desarrolladores en su conjunto está formada por personas profesionales que se preocupan por lo que hacen. Escribir un código de máxima calidad era abrumadoramente importante para ellos como grupo. El problema es que, en muchos casos, las organizaciones para las que trabajan no han identificado las mejores prácticas necesarias para producir código seguro, y no han dedicado suficientes recursos a la formación o han capacitado a sus desarrolladores para alcanzar esos objetivos.
De hecho, la mayoría de los desarrolladores afirmaron que sus organizaciones ni siquiera tenían una definición clara de lo que constituye un código seguro. Uno de los ejemplos más preocupantes es que el 28% de los encuestados afirmó que su organización consideraba que el código era seguro si no se denunciaba ninguna infracción una vez que la aplicación o el programa se desplegaba en un entorno de producción o se ponía a disposición del público.
Probablemente no hace falta decirlo, pero en el complejo panorama actual de las amenazas, limitarse a esperar buenos resultados sin trabajar realmente para conseguirlos probablemente producirá resultados predecibles: aún más violaciones de la seguridad.
Afortunadamente, se trata de una situación en la que es relativamente fácil, al menos, empezar a solucionar el problema y comenzar a trabajar para conseguir el objetivo de un código seguro. El primer paso, y posiblemente el más importante, es que las organizaciones definan lo que consideran código seguro. Y todo lo que esté fuera de esa definición debe ser considerado como no seguro.
La codificación segura debería definirse como la práctica de los desarrolladores cualificados de escribir código libre de vulnerabilidades, desde el inicio del SDLC. Solo una vez definida esta práctica, la comunidad de desarrolladores puede trabajar en pos de ese objetivo.
Hacer realidad el objetivo de un código seguro
Una vez establecida la definición de código seguro, las organizaciones deben estar preparadas para apoyar esos esfuerzos y a sus desarrolladores que llevarán a cabo el objetivo de implementar prácticas de código totalmente seguro. Ese apoyo es fundamental. Sin él, la definición de código seguro dentro de su organización, aunque importante, será poco más que un tigre de papel. Las prácticas de código seguro deben ser respaldadas por la dirección y recibir la consideración, la autoridad y el presupuesto adecuados para que tengan éxito.
Esto puede requerir nuevos objetivos de evaluación comparativa para los desarrolladores, que tradicionalmente se han medido por la velocidad de su codificación. De hecho, el 37% de los desarrolladores que participaron en la encuesta declararon haber dejado vulnerabilidades conocidas dentro de su código porque los plazos ajustados no les permitían disponer del tiempo necesario para solucionarlas, o para codificar correctamente desde el principio.Al principio, esto puede significar aumentar los plazos para dar a los desarrolladores más tiempo para codificar correctamente, aunque ese gasto de tiempo al principio del proceso de codificación probablemente se recuperará más tarde debido a la menor necesidad de revisiones del programa, parches y trabajo posterior a la implantación. Y eliminar la posibilidad de una brecha una vez desplegada puede acabar ahorrando cientos de horas y la posibilidad de millones en pérdidas de ingresos, multas y costes de limpieza.
Los desarrolladores también necesitarán una formación pertinente y práctica, especialmente en lo que respecta a las vulnerabilidades específicas con las que probablemente se encuentren, y ayuda para aprender a identificar y corregir las vulnerabilidades del código. Esto es especialmente cierto a la luz del 36% de los encuestados que dijeron que querían eliminar las vulnerabilidades de su código, pero no tenían las habilidades o el conocimiento para hacerlo.
El 37% de los desarrolladores que participaron en la encuesta declararon haber dejado vulnerabilidades conocidas dentro de su código porque los plazos ajustados no les permitían disponer del tiempo necesario para solucionarlas, o para codificar correctamente desde el principio.
¿Le interesa saber más sobre este tema?
Libro blanco: Los retos (y las oportunidades) para mejorar la seguridad del software.
Informe: Encuesta sobre el estado de la seguridad impulsada por los desarrolladores, 2022.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Ver informeReserva de demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
Los desarrolladores que crean el software, las aplicaciones y los programas que impulsan los negocios digitales se han convertido en el alma de muchas organizaciones. La mayoría de las empresas modernas no podrían funcionar (de forma rentable), sin aplicaciones y programas competitivos, o sin acceso las 24 horas del día a sus sitios web y otras infraestructuras.
Sin embargo, estos mismos puntos de contacto suelen ser la puerta de entrada que los hackers y otros usuarios malintencionados emplean para robar información, lanzar ataques y dar paso a otras actividades delictivas como el fraude y el ransomware. El último informe de Verizon sobre investigaciones de fugas de datos destaca que las amenazas que se ciernen sobre las empresas y organizaciones son hoy más peligrosas y costosas que en cualquier otro momento de la historia.
Los ataques exitosos siguen siendo frecuentes, a pesar de que el gasto en ciberseguridad en la mayoría de las organizaciones ha aumentado, y a pesar de que movimientos como DevSecOps están desplazando la seguridad hacia los desarrolladores que son el alma de las empresas hoy en día.
Los desarrolladores comprenden la importancia de la seguridad y desean mayoritariamente desplegar un código seguro y de calidad, pero las vulnerabilidades del software siguen siendo explotadas.
¿Por qué?
Por segundo año, Secure Code Warrior realizó la encuesta The state of developer-driven security, 2022 en colaboración con Evans Data Corp en diciembre de 2021. Encuestamos a 1200 desarrolladores de todo el mundo para conocer las habilidades, percepciones y comportamientos en lo que respecta a las prácticas de codificación segura, así como su impacto y relevancia percibida en el ciclo de vida del desarrollo de software (SDLC).
La encuesta detectó la ausencia de una definición clara o una comprensión de lo que constituye un código seguro. Resulta que hay una gran discrepancia entre lo que los desarrolladores piensan que es un código seguro y lo que es realmente.
No es de extrañar que la escritura de código de calidad sea una de las principales prioridades de la comunidad de desarrolladores, pero cuando se les preguntó específicamente por el código seguro, sólo el 29% dijo que se priorizaba la práctica activa de escribir código libre de vulnerabilidades. En cambio, los desarrolladores asociaron prácticas menos seguras y mucho menos fiables a la creación de código seguro. Por ejemplo, el escrutinio del código existente (37%) y la confianza en bibliotecas de origen externo para obtener código seguro (37%) fueron las principales prácticas que los desarrolladores asociaron con la codificación segura. Reutilizar el código que ya se ha considerado seguro (32%) fue otra de las opciones más populares. La práctica activa de escribir código libre de vulnerabilidades ocupó el sexto lugar, con un 29% que declaró que era una práctica principal en la creación de código seguro. Cuando se les preguntó más a fondo, la falta de tiempo y la falta de un enfoque cohesivo por parte de la dirección se declararon como los principales obstáculos para crear código seguro.
La confianza en el código existente es uno de los factores que aumenta el riesgo de que el software se distribuya con vulnerabilidades explotables. Es necesario abordar esta desconexión de lo que constituye un código seguro para que los desarrolladores creen un código de calidad que también sea seguro.
Resulta que hay una gran discrepancia entre lo que los desarrolladores piensan que es un código seguro, y lo que es realmente un código seguro.
¿Qué pueden hacer las organizaciones para arreglar la situación?
Uno de los mensajes predominantes de la encuesta fue que la comunidad de desarrolladores en su conjunto está formada por personas profesionales que se preocupan por lo que hacen. Escribir un código de máxima calidad era abrumadoramente importante para ellos como grupo. El problema es que, en muchos casos, las organizaciones para las que trabajan no han identificado las mejores prácticas necesarias para producir código seguro, y no han dedicado suficientes recursos a la formación o han capacitado a sus desarrolladores para alcanzar esos objetivos.
De hecho, la mayoría de los desarrolladores afirmaron que sus organizaciones ni siquiera tenían una definición clara de lo que constituye un código seguro. Uno de los ejemplos más preocupantes es que el 28% de los encuestados afirmó que su organización consideraba que el código era seguro si no se denunciaba ninguna infracción una vez que la aplicación o el programa se desplegaba en un entorno de producción o se ponía a disposición del público.
Probablemente no hace falta decirlo, pero en el complejo panorama actual de las amenazas, limitarse a esperar buenos resultados sin trabajar realmente para conseguirlos probablemente producirá resultados predecibles: aún más violaciones de la seguridad.
Afortunadamente, se trata de una situación en la que es relativamente fácil, al menos, empezar a solucionar el problema y comenzar a trabajar para conseguir el objetivo de un código seguro. El primer paso, y posiblemente el más importante, es que las organizaciones definan lo que consideran código seguro. Y todo lo que esté fuera de esa definición debe ser considerado como no seguro.
La codificación segura debería definirse como la práctica de los desarrolladores cualificados de escribir código libre de vulnerabilidades, desde el inicio del SDLC. Solo una vez definida esta práctica, la comunidad de desarrolladores puede trabajar en pos de ese objetivo.
Hacer realidad el objetivo de un código seguro
Una vez establecida la definición de código seguro, las organizaciones deben estar preparadas para apoyar esos esfuerzos y a sus desarrolladores que llevarán a cabo el objetivo de implementar prácticas de código totalmente seguro. Ese apoyo es fundamental. Sin él, la definición de código seguro dentro de su organización, aunque importante, será poco más que un tigre de papel. Las prácticas de código seguro deben ser respaldadas por la dirección y recibir la consideración, la autoridad y el presupuesto adecuados para que tengan éxito.
Esto puede requerir nuevos objetivos de evaluación comparativa para los desarrolladores, que tradicionalmente se han medido por la velocidad de su codificación. De hecho, el 37% de los desarrolladores que participaron en la encuesta declararon haber dejado vulnerabilidades conocidas dentro de su código porque los plazos ajustados no les permitían disponer del tiempo necesario para solucionarlas, o para codificar correctamente desde el principio.Al principio, esto puede significar aumentar los plazos para dar a los desarrolladores más tiempo para codificar correctamente, aunque ese gasto de tiempo al principio del proceso de codificación probablemente se recuperará más tarde debido a la menor necesidad de revisiones del programa, parches y trabajo posterior a la implantación. Y eliminar la posibilidad de una brecha una vez desplegada puede acabar ahorrando cientos de horas y la posibilidad de millones en pérdidas de ingresos, multas y costes de limpieza.
Los desarrolladores también necesitarán una formación pertinente y práctica, especialmente en lo que respecta a las vulnerabilidades específicas con las que probablemente se encuentren, y ayuda para aprender a identificar y corregir las vulnerabilidades del código. Esto es especialmente cierto a la luz del 36% de los encuestados que dijeron que querían eliminar las vulnerabilidades de su código, pero no tenían las habilidades o el conocimiento para hacerlo.
El 37% de los desarrolladores que participaron en la encuesta declararon haber dejado vulnerabilidades conocidas dentro de su código porque los plazos ajustados no les permitían disponer del tiempo necesario para solucionarlas, o para codificar correctamente desde el principio.
¿Le interesa saber más sobre este tema?
Libro blanco: Los retos (y las oportunidades) para mejorar la seguridad del software.
Informe: Encuesta sobre el estado de la seguridad impulsada por los desarrolladores, 2022.
Índice
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostraciónDescargarRecursos útiles para empezar
Temas y contenidos de la formación sobre códigos de seguridad
El mejor contenido del sector evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo en cuenta el papel de los clientes. Se ofrecen temas que abarcan desde la inteligencia artificial hasta la inyección de XQuery, para diversas funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo al contenido que ofrece el catálogo por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos útiles para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ahora está disponible bajo demanda.
Cybermon 2025 Bit the Boss ya está disponible en SCW durante todo el año. Implemente tareas de seguridad avanzadas de IA/LLM para impulsar el desarrollo de IA de seguridad a gran escala.
Explicación de la Ley de Resiliencia Cibernética: El significado del diseño de seguridad en el desarrollo de software
Descubra los requisitos y el ámbito de aplicación de la Ley de Resiliencia Cibernética (CRA) de la UE, y cómo el equipo de ingeniería puede prepararse de forma segura mediante el diseño, las prácticas, la prevención de vulnerabilidades y la creación de un entorno de desarrollo.
Factor de éxito 1: Criterios de éxito definidos y medibles
El habilitador 1 ofrece una serie de 10 partes sobre los habilitadores del éxito, mostrando cómo la codificación segura puede mejorar los resultados empresariales, como la reducción de riesgos y costes y la aceleración de la madurez de los programas a largo plazo.
