Establecimiento de un enfoque coherente para la seguridad impulsada por los desarrolladores.
En respuesta a importantes violaciones de la seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18.000 usuarios del popular software de gestión Orion, entre los que se encontraban muchas de las principales empresas y organismos gubernamentales, se está produciendo un aumento de la presión para que los desarrolladores realicen esfuerzos de seguridad más eficaces. Organizaciones de todos los tamaños están empezando a cuestionar su "cadena de suministro de software", y a exigir que los desarrolladores que elaboran su software tengan conocimientos y conciencia de seguridad verificados.
Incluso el gobierno de los Estados Unidos pide que se mejoren las prácticas de seguridad dirigidas por los desarrolladores y que se refuerce la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva sobre la mejora de la ciberseguridad de la nación emitida por el Presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a las primeras fases del ciclo de vida del desarrollo de software (SDLC) a través de programas y movimientos como DevSecOps.
Las vulnerabilidades del software siguen siendo explotadas, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que la escritura de código de calidad era una de las principales prioridades de la comunidad de desarrolladores. Sin embargo, la encuesta también identificó varias razones por las que la formación que se imparte a los desarrolladores, aunque se considera valiosa, no alcanza el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de la formación impartida, seguía sin saber cómo identificar o solucionar las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más formación.
Está claro que la comunidad de desarrolladores valora cualquier tipo de formación que se les imparta. Sin embargo, cuando se les pregunta por los obstáculos que impiden la adopción de prácticas de codificación seguras, se cita la falta de tiempo como la razón número uno, seguida por una quinta parte de los encuestados que citan como culpable la falta de un enfoque cohesivo. La formación se considera más bien un acontecimiento puntual en lugar de formar parte de un esfuerzo estratégico continuo para incorporar la seguridad a los flujos de trabajo de los desarrolladores y utilizarla a diario.
De este modo, los desarrolladores no están capacitados para crear y mantener habilidades de codificación segura como parte de un programa cohesivo y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es especialmente eficaz ni completa, dado que muchos desarrolladores afirman que todavía no pueden identificar y solucionar las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en materia de seguridad, mientras que el 92% dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para arreglar la situación?
Resulta interesante que los desarrolladores afirmen mayoritariamente que necesitan más formación en materia de seguridad. Y aunque valoraban la formación que recibían, podría tratarse de una situación en la que simplemente se conforman con lo que puedan conseguir.
Cuando se les pidió que comentaran las formas de mejorar su formación, empezaron a aflorar sus verdaderas ideas sobre el tema. En general, la mayor parte de la formación que recibían los desarrolladores era limitada, no interactiva, sólo se dirigía en cierta medida a sus responsabilidades laborales, y no formaba parte de un plan general o continuo para ayudar a mejorar las habilidades y la concienciación sobre la seguridad de su organización.Según los desarrolladores encuestados, si las organizaciones quieren mejorar la eficacia de la formación que se ofrece, ésta debería presentarse como una parte de un enfoque global para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían peticiones específicas para que la formación fuera más valiosa. Una de las sugerencias más populares fue la de incluir más casos de uso y ejemplos prácticos de situaciones con las que probablemente se encontrarían desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que la formación cubriera con el tiempo escenarios cada vez más complejos o difíciles, algo que probablemente también requeriría un enfoque más cohesivo y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades.Los desarrolladores también destacaron la necesidad de más interactividad e incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios se limitan a ver un vídeo o a escuchar una conferencia sin oportunidad de aprendizaje práctico y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil como la codificación segura.
Los desarrolladores también destacaron la necesidad de una mayor interactividad e incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad cohesiva?
La formación es, por supuesto, fundamental cuando se trata de mejorar la concienciación y las habilidades en materia de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Pero un enfoque verdaderamente cohesivo para mejorar la concienciación en materia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores. Por ejemplo, los desarrolladores han sido evaluados tradicionalmente en función de la rapidez con la que podían codificar. Pero un enfoque cohesivo de la seguridad podría implicar el cambio de esas métricas y valores mantenidos durante mucho tiempo. En su lugar, las evaluaciones podrían dejar de recompensar la velocidad bruta y recompensar a los desarrolladores que puedan crear un código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría implicar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarse a imponer la seguridad a los desarrolladores, considere la posibilidad de crear o nombrar a campeones de seguridad de la comunidad. Se trataría de desarrolladores con talento y concienciados con la seguridad, que se distingan en la formación o como parte de las evaluaciones de métricas recién enfocadas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrollo desde dentro.
Un enfoque verdaderamente cohesionado debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores.
Para más información
Libro blanco: Los retos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: Cómo los campeones de la seguridad pueden apoyar a su equipo a la victoria contra las vulnerabilidades de última hora
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
A raíz de importantes violaciones de seguridad, como la campaña SolarWinds, que infectó a más de 18 000 usuarios del popular software de gestión Orion, entre los que se encontraban importantes empresas y organismos gubernamentales, a través del proceso de actualización de software, existe una creciente demanda de iniciativas de seguridad más eficaces impulsadas por los desarrolladores. Organizaciones de todos los tamaños están empezando a cuestionar su «cadena de suministro de software» y exigen a los desarrolladores de software que cuenten con tecnologías de seguridad probadas y sean conscientes de la importancia de la seguridad.
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
En respuesta a importantes violaciones de la seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18.000 usuarios del popular software de gestión Orion, entre los que se encontraban muchas de las principales empresas y organismos gubernamentales, se está produciendo un aumento de la presión para que los desarrolladores realicen esfuerzos de seguridad más eficaces. Organizaciones de todos los tamaños están empezando a cuestionar su "cadena de suministro de software", y a exigir que los desarrolladores que elaboran su software tengan conocimientos y conciencia de seguridad verificados.
Incluso el gobierno de los Estados Unidos pide que se mejoren las prácticas de seguridad dirigidas por los desarrolladores y que se refuerce la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva sobre la mejora de la ciberseguridad de la nación emitida por el Presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a las primeras fases del ciclo de vida del desarrollo de software (SDLC) a través de programas y movimientos como DevSecOps.
Las vulnerabilidades del software siguen siendo explotadas, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que la escritura de código de calidad era una de las principales prioridades de la comunidad de desarrolladores. Sin embargo, la encuesta también identificó varias razones por las que la formación que se imparte a los desarrolladores, aunque se considera valiosa, no alcanza el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de la formación impartida, seguía sin saber cómo identificar o solucionar las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más formación.
Está claro que la comunidad de desarrolladores valora cualquier tipo de formación que se les imparta. Sin embargo, cuando se les pregunta por los obstáculos que impiden la adopción de prácticas de codificación seguras, se cita la falta de tiempo como la razón número uno, seguida por una quinta parte de los encuestados que citan como culpable la falta de un enfoque cohesivo. La formación se considera más bien un acontecimiento puntual en lugar de formar parte de un esfuerzo estratégico continuo para incorporar la seguridad a los flujos de trabajo de los desarrolladores y utilizarla a diario.
De este modo, los desarrolladores no están capacitados para crear y mantener habilidades de codificación segura como parte de un programa cohesivo y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es especialmente eficaz ni completa, dado que muchos desarrolladores afirman que todavía no pueden identificar y solucionar las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en materia de seguridad, mientras que el 92% dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para arreglar la situación?
Resulta interesante que los desarrolladores afirmen mayoritariamente que necesitan más formación en materia de seguridad. Y aunque valoraban la formación que recibían, podría tratarse de una situación en la que simplemente se conforman con lo que puedan conseguir.
Cuando se les pidió que comentaran las formas de mejorar su formación, empezaron a aflorar sus verdaderas ideas sobre el tema. En general, la mayor parte de la formación que recibían los desarrolladores era limitada, no interactiva, sólo se dirigía en cierta medida a sus responsabilidades laborales, y no formaba parte de un plan general o continuo para ayudar a mejorar las habilidades y la concienciación sobre la seguridad de su organización.Según los desarrolladores encuestados, si las organizaciones quieren mejorar la eficacia de la formación que se ofrece, ésta debería presentarse como una parte de un enfoque global para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían peticiones específicas para que la formación fuera más valiosa. Una de las sugerencias más populares fue la de incluir más casos de uso y ejemplos prácticos de situaciones con las que probablemente se encontrarían desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que la formación cubriera con el tiempo escenarios cada vez más complejos o difíciles, algo que probablemente también requeriría un enfoque más cohesivo y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades.Los desarrolladores también destacaron la necesidad de más interactividad e incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios se limitan a ver un vídeo o a escuchar una conferencia sin oportunidad de aprendizaje práctico y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil como la codificación segura.
Los desarrolladores también destacaron la necesidad de una mayor interactividad e incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad cohesiva?
La formación es, por supuesto, fundamental cuando se trata de mejorar la concienciación y las habilidades en materia de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Pero un enfoque verdaderamente cohesivo para mejorar la concienciación en materia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores. Por ejemplo, los desarrolladores han sido evaluados tradicionalmente en función de la rapidez con la que podían codificar. Pero un enfoque cohesivo de la seguridad podría implicar el cambio de esas métricas y valores mantenidos durante mucho tiempo. En su lugar, las evaluaciones podrían dejar de recompensar la velocidad bruta y recompensar a los desarrolladores que puedan crear un código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría implicar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarse a imponer la seguridad a los desarrolladores, considere la posibilidad de crear o nombrar a campeones de seguridad de la comunidad. Se trataría de desarrolladores con talento y concienciados con la seguridad, que se distingan en la formación o como parte de las evaluaciones de métricas recién enfocadas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrollo desde dentro.
Un enfoque verdaderamente cohesionado debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores.
Para más información
Libro blanco: Los retos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: Cómo los campeones de la seguridad pueden apoyar a su equipo a la victoria contra las vulnerabilidades de última hora
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
En respuesta a importantes violaciones de la seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18.000 usuarios del popular software de gestión Orion, entre los que se encontraban muchas de las principales empresas y organismos gubernamentales, se está produciendo un aumento de la presión para que los desarrolladores realicen esfuerzos de seguridad más eficaces. Organizaciones de todos los tamaños están empezando a cuestionar su "cadena de suministro de software", y a exigir que los desarrolladores que elaboran su software tengan conocimientos y conciencia de seguridad verificados.
Incluso el gobierno de los Estados Unidos pide que se mejoren las prácticas de seguridad dirigidas por los desarrolladores y que se refuerce la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva sobre la mejora de la ciberseguridad de la nación emitida por el Presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a las primeras fases del ciclo de vida del desarrollo de software (SDLC) a través de programas y movimientos como DevSecOps.
Las vulnerabilidades del software siguen siendo explotadas, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que la escritura de código de calidad era una de las principales prioridades de la comunidad de desarrolladores. Sin embargo, la encuesta también identificó varias razones por las que la formación que se imparte a los desarrolladores, aunque se considera valiosa, no alcanza el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de la formación impartida, seguía sin saber cómo identificar o solucionar las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más formación.
Está claro que la comunidad de desarrolladores valora cualquier tipo de formación que se les imparta. Sin embargo, cuando se les pregunta por los obstáculos que impiden la adopción de prácticas de codificación seguras, se cita la falta de tiempo como la razón número uno, seguida por una quinta parte de los encuestados que citan como culpable la falta de un enfoque cohesivo. La formación se considera más bien un acontecimiento puntual en lugar de formar parte de un esfuerzo estratégico continuo para incorporar la seguridad a los flujos de trabajo de los desarrolladores y utilizarla a diario.
De este modo, los desarrolladores no están capacitados para crear y mantener habilidades de codificación segura como parte de un programa cohesivo y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es especialmente eficaz ni completa, dado que muchos desarrolladores afirman que todavía no pueden identificar y solucionar las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en materia de seguridad, mientras que el 92% dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para arreglar la situación?
Resulta interesante que los desarrolladores afirmen mayoritariamente que necesitan más formación en materia de seguridad. Y aunque valoraban la formación que recibían, podría tratarse de una situación en la que simplemente se conforman con lo que puedan conseguir.
Cuando se les pidió que comentaran las formas de mejorar su formación, empezaron a aflorar sus verdaderas ideas sobre el tema. En general, la mayor parte de la formación que recibían los desarrolladores era limitada, no interactiva, sólo se dirigía en cierta medida a sus responsabilidades laborales, y no formaba parte de un plan general o continuo para ayudar a mejorar las habilidades y la concienciación sobre la seguridad de su organización.Según los desarrolladores encuestados, si las organizaciones quieren mejorar la eficacia de la formación que se ofrece, ésta debería presentarse como una parte de un enfoque global para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían peticiones específicas para que la formación fuera más valiosa. Una de las sugerencias más populares fue la de incluir más casos de uso y ejemplos prácticos de situaciones con las que probablemente se encontrarían desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que la formación cubriera con el tiempo escenarios cada vez más complejos o difíciles, algo que probablemente también requeriría un enfoque más cohesivo y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades.Los desarrolladores también destacaron la necesidad de más interactividad e incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios se limitan a ver un vídeo o a escuchar una conferencia sin oportunidad de aprendizaje práctico y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil como la codificación segura.
Los desarrolladores también destacaron la necesidad de una mayor interactividad e incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad cohesiva?
La formación es, por supuesto, fundamental cuando se trata de mejorar la concienciación y las habilidades en materia de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Pero un enfoque verdaderamente cohesivo para mejorar la concienciación en materia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores. Por ejemplo, los desarrolladores han sido evaluados tradicionalmente en función de la rapidez con la que podían codificar. Pero un enfoque cohesivo de la seguridad podría implicar el cambio de esas métricas y valores mantenidos durante mucho tiempo. En su lugar, las evaluaciones podrían dejar de recompensar la velocidad bruta y recompensar a los desarrolladores que puedan crear un código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría implicar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarse a imponer la seguridad a los desarrolladores, considere la posibilidad de crear o nombrar a campeones de seguridad de la comunidad. Se trataría de desarrolladores con talento y concienciados con la seguridad, que se distingan en la formación o como parte de las evaluaciones de métricas recién enfocadas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrollo desde dentro.
Un enfoque verdaderamente cohesionado debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores.
Para más información
Libro blanco: Los retos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: Cómo los campeones de la seguridad pueden apoyar a su equipo a la victoria contra las vulnerabilidades de última hora
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Ver informeReserva de demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
En respuesta a importantes violaciones de la seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18.000 usuarios del popular software de gestión Orion, entre los que se encontraban muchas de las principales empresas y organismos gubernamentales, se está produciendo un aumento de la presión para que los desarrolladores realicen esfuerzos de seguridad más eficaces. Organizaciones de todos los tamaños están empezando a cuestionar su "cadena de suministro de software", y a exigir que los desarrolladores que elaboran su software tengan conocimientos y conciencia de seguridad verificados.
Incluso el gobierno de los Estados Unidos pide que se mejoren las prácticas de seguridad dirigidas por los desarrolladores y que se refuerce la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva sobre la mejora de la ciberseguridad de la nación emitida por el Presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a las primeras fases del ciclo de vida del desarrollo de software (SDLC) a través de programas y movimientos como DevSecOps.
Las vulnerabilidades del software siguen siendo explotadas, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que la escritura de código de calidad era una de las principales prioridades de la comunidad de desarrolladores. Sin embargo, la encuesta también identificó varias razones por las que la formación que se imparte a los desarrolladores, aunque se considera valiosa, no alcanza el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de la formación impartida, seguía sin saber cómo identificar o solucionar las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más formación.
Está claro que la comunidad de desarrolladores valora cualquier tipo de formación que se les imparta. Sin embargo, cuando se les pregunta por los obstáculos que impiden la adopción de prácticas de codificación seguras, se cita la falta de tiempo como la razón número uno, seguida por una quinta parte de los encuestados que citan como culpable la falta de un enfoque cohesivo. La formación se considera más bien un acontecimiento puntual en lugar de formar parte de un esfuerzo estratégico continuo para incorporar la seguridad a los flujos de trabajo de los desarrolladores y utilizarla a diario.
De este modo, los desarrolladores no están capacitados para crear y mantener habilidades de codificación segura como parte de un programa cohesivo y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es especialmente eficaz ni completa, dado que muchos desarrolladores afirman que todavía no pueden identificar y solucionar las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en materia de seguridad, mientras que el 92% dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para arreglar la situación?
Resulta interesante que los desarrolladores afirmen mayoritariamente que necesitan más formación en materia de seguridad. Y aunque valoraban la formación que recibían, podría tratarse de una situación en la que simplemente se conforman con lo que puedan conseguir.
Cuando se les pidió que comentaran las formas de mejorar su formación, empezaron a aflorar sus verdaderas ideas sobre el tema. En general, la mayor parte de la formación que recibían los desarrolladores era limitada, no interactiva, sólo se dirigía en cierta medida a sus responsabilidades laborales, y no formaba parte de un plan general o continuo para ayudar a mejorar las habilidades y la concienciación sobre la seguridad de su organización.Según los desarrolladores encuestados, si las organizaciones quieren mejorar la eficacia de la formación que se ofrece, ésta debería presentarse como una parte de un enfoque global para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían peticiones específicas para que la formación fuera más valiosa. Una de las sugerencias más populares fue la de incluir más casos de uso y ejemplos prácticos de situaciones con las que probablemente se encontrarían desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que la formación cubriera con el tiempo escenarios cada vez más complejos o difíciles, algo que probablemente también requeriría un enfoque más cohesivo y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades.Los desarrolladores también destacaron la necesidad de más interactividad e incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios se limitan a ver un vídeo o a escuchar una conferencia sin oportunidad de aprendizaje práctico y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil como la codificación segura.
Los desarrolladores también destacaron la necesidad de una mayor interactividad e incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad cohesiva?
La formación es, por supuesto, fundamental cuando se trata de mejorar la concienciación y las habilidades en materia de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Pero un enfoque verdaderamente cohesivo para mejorar la concienciación en materia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores. Por ejemplo, los desarrolladores han sido evaluados tradicionalmente en función de la rapidez con la que podían codificar. Pero un enfoque cohesivo de la seguridad podría implicar el cambio de esas métricas y valores mantenidos durante mucho tiempo. En su lugar, las evaluaciones podrían dejar de recompensar la velocidad bruta y recompensar a los desarrolladores que puedan crear un código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría implicar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarse a imponer la seguridad a los desarrolladores, considere la posibilidad de crear o nombrar a campeones de seguridad de la comunidad. Se trataría de desarrolladores con talento y concienciados con la seguridad, que se distingan en la formación o como parte de las evaluaciones de métricas recién enfocadas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrollo desde dentro.
Un enfoque verdaderamente cohesionado debe considerar lo que se necesita para fomentar una auténtica cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque de las formas típicas de gestión y creación de equipos de desarrolladores.
Para más información
Libro blanco: Los retos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: Cómo los campeones de la seguridad pueden apoyar a su equipo a la victoria contra las vulnerabilidades de última hora
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
Índice
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostraciónDescargarRecursos útiles para empezar
Temas y contenidos de la formación sobre códigos de seguridad
El mejor contenido del sector evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo en cuenta el papel de los clientes. Se ofrecen temas que abarcan desde la inteligencia artificial hasta la inyección de XQuery, para diversas funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo al contenido que ofrece el catálogo por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos útiles para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ahora está disponible bajo demanda.
Cybermon 2025 Bit the Boss ya está disponible en SCW durante todo el año. Implemente tareas de seguridad avanzadas de IA/LLM para impulsar el desarrollo de IA de seguridad a gran escala.
Explicación de la Ley de Resiliencia Cibernética: El significado del diseño de seguridad en el desarrollo de software
Descubra los requisitos y el ámbito de aplicación de la Ley de Resiliencia Cibernética (CRA) de la UE, y cómo el equipo de ingeniería puede prepararse de forma segura mediante el diseño, las prácticas, la prevención de vulnerabilidades y la creación de un entorno de desarrollo.
Factor de éxito 1: Criterios de éxito definidos y medibles
El habilitador 1 ofrece una serie de 10 partes sobre los habilitadores del éxito, mostrando cómo la codificación segura puede mejorar los resultados empresariales, como la reducción de riesgos y costes y la aceleración de la madurez de los programas a largo plazo.
