Establecer un enfoque unificado para la seguridad impulsada por los desarrolladores.
Ante importantes brechas de seguridad como la de SolarWinds, que infectó a más de 18 000 usuarios del popular software de gestión Orion, entre ellos muchas empresas y organismos gubernamentales de primer orden, mediante el proceso de actualización de software, se está impulsando cada vez más una labor de seguridad más eficaz dirigida por los desarrolladores. Organizaciones de todos los tamaños están empezando a cuestionar su «cadena de suministro de software» y a exigir a los desarrolladores de software que cuenten con habilidades y conocimientos de seguridad contrastados.
Incluso el Gobierno de Estados Unidos ha pedido que se adopten mejores medidas de seguridad dirigidas por los desarrolladores para reforzar la cadena de suministro de software. Estos conceptos son parte fundamental del decreto ejecutivo del presidente Biden para mejorar la ciberseguridad nacional.
En general, la comunidad de desarrolladores ha aceptado la idea de trasladar la seguridad a las primeras fases del ciclo de vida del desarrollo de software (SDLC) mediante programas y actividades como devSeCops. En una encuesta reciente, la comunidad de desarrolladores indicó que valora la formación en seguridad que recibe para respaldar esta labor.
Las vulnerabilidades de software siguen siendo explotadas, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en el código.
¿Por qué?
La encuesta confirma que escribir código de alta calidad es una prioridad fundamental para la comunidad de desarrolladores.Sin embargo, la encuesta también identificó varias razones por las que la formación que se ofrece a los desarrolladores, aunque se considera valiosa, está lejos de alcanzar el objetivo de ayudar a proteger la cadena de suministro de software. El 33 % afirmó que su código sigue teniendo vulnerabilidades porque, incluso después de recibir formación, siguen sin saber cómo identificar o corregir las vulnerabilidades conocidas. Un abrumador 92 % afirmó que necesita al menos cierto grado de formación adicional en materia de seguridad, mientras que el 50 % afirmó que necesita más formación.
Es evidente que la comunidad de desarrolladores valora cualquier formación que reciba. Sin embargo, cuando se les pregunta por los obstáculos para adoptar prácticas de codificación seguras, la falta de tiempo se considera la razón principal, seguida por la falta de un enfoque coherente, según una quinta parte de los encuestados. La formación se considera más una actividad puntual que parte de un esfuerzo estratégico continuo para integrar la seguridad en el flujo de trabajo de los desarrolladores y utilizarla a diario.
Por lo tanto, los desarrolladores no pueden desarrollar y mantener habilidades de programación seguras como parte de un plan estrecho y continuo dentro de su organización. También podemos concluir que, dado que muchos desarrolladores afirman que siguen sin poder identificar y corregir vulnerabilidades comunes, la formación que reciben actualmente no es especialmente eficaz ni exhaustiva.
El 92 % de los desarrolladores afirma que necesita al menos cierto grado de formación adicional en materia de seguridad, mientras que el 92 % de los desarrolladores afirma que necesita más formación.
¿Qué pueden hacer las organizaciones para resolver esta situación?
Es interesante que la gran mayoría de los desarrolladores indiquen que necesitan más formación en materia de seguridad. Aunque valoran la formación que reciben, es posible que se sientan satisfechos con todo lo que pueden obtener.
Cuando se les pidió que comentaran cómo mejorar la formación, comenzaron a aflorar sus verdaderas opiniones sobre el tema. En general, la mayoría de la formación que reciben los desarrolladores es limitada, no interactiva y solo se centra en cierta medida en sus responsabilidades laborales, en lugar de formar parte de un plan general o continuo para mejorar las habilidades y la concienciación sobre la seguridad de la organización. Según los desarrolladores encuestados, si las organizaciones desean mejorar la eficacia de la formación que ofrecen, deben incluirla como parte de un enfoque integral que promueva una mayor concienciación sobre la seguridad en todo el ciclo de vida del desarrollo de software (SDLC).Además, los desarrolladores plantearon requisitos específicos para aumentar el valor de la formación. Una de las sugerencias más populares fue incluir más casos de uso y ejemplos prácticos de situaciones a las que podrían enfrentarse desde el punto de vista de la seguridad. Otra medida popular para mejorar la eficacia fue que la formación abarcara finalmente situaciones cada vez más complejas o difíciles, lo que podría requerir un enfoque más cohesionado y un plan a largo plazo de aprendizaje continuo y desarrollo de habilidades. Los desarrolladores también destacaron la necesidad de una mayor interactividad, e incluso la posibilidad de añadir elementos competitivos.Por lo general, cuando se intenta enseñar habilidades complejas y (consideradas) difíciles, como la codificación segura, la formación que consiste simplemente en ver vídeos o escuchar conferencias, sin oportunidad de realizar un aprendizaje práctico y contextualizado, no resulta eficaz ni especialmente valiosa.
Los desarrolladores también enfatizaron la necesidad de una mayor interactividad, e incluso la posibilidad de añadir elementos competitivos.
¿Qué otros factores son importantes a la hora de adoptar un enfoque de seguridad unificado?
Por supuesto, la formación es fundamental a la hora de mejorar la concienciación y las habilidades de seguridad de la comunidad de desarrolladores de la organización. Además, es necesario garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual. Sin embargo, hay otras formas aún más eficaces de mejorar la concienciación sobre la seguridad.
Un enfoque verdaderamente cohesionado debe tener en cuenta las condiciones necesarias para fomentar una cultura de seguridad realmente impulsada por los desarrolladores. Esto puede requerir un cambio de enfoque con respecto a la forma típica de gestionar y organizar los equipos de desarrollo.Por ejemplo, tradicionalmente, los desarrolladores se evalúan en función de la velocidad con la que escriben código. Sin embargo, un enfoque de seguridad unificado puede implicar un cambio en estos indicadores y valores tradicionales. En su lugar, la evaluación podría pasar de recompensar la velocidad pura a recompensar a los desarrolladores que son capaces de crear código seguro y de alta calidad, es decir, sin vulnerabilidades.
Como parte del trabajo, también puede involucrar a la propia comunidad de desarrolladores. En lugar de limitarse a obligar a los desarrolladores a proporcionar garantías de seguridad, se puede considerar la posibilidad de crear o nombrar defensores de la seguridad dentro de la comunidad. Estas personas serán desarrolladores con talento y conscientes de la seguridad, que hayan destacado en la formación o en la evaluación de nuevos indicadores clave. También deben estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrolladores desde dentro.
Un enfoque verdaderamente cohesivo debe tener en cuenta las condiciones necesarias para fomentar una cultura de seguridad verdaderamente impulsada por los desarrolladores. Esto puede requerir un cambio de enfoque con respecto a las formas típicas de gestionar y organizar los equipos de desarrollo.
Para más información
Libro blanco:Los retos (y oportunidades) de mejorar la seguridad del software
Libro blanco: Método preventivo de seguridad de software impulsado por desarrolladores
Libro blanco:DevSecOps Super Bowl: cómo los defensores de la seguridad pueden ayudar a su equipo a superar las vulnerabilidades tardías
Informe:El estado actual de la seguridad impulsada por los desarrolladores 2022
Ante importantes brechas de seguridad como la de SolarWinds, que infectó a más de 18 000 usuarios del popular software de gestión Orion, entre ellos muchas empresas y organismos gubernamentales de primer orden, mediante el proceso de actualización de software, se está impulsando cada vez más una labor de seguridad más eficaz dirigida por los desarrolladores. Organizaciones de todos los tamaños están empezando a cuestionar su «cadena de suministro de software» y a exigir a los desarrolladores de software que cuenten con habilidades y conocimientos de seguridad contrastados.
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
Ante importantes brechas de seguridad como la de SolarWinds, que infectó a más de 18 000 usuarios del popular software de gestión Orion, entre ellos muchas empresas y organismos gubernamentales de primer orden, mediante el proceso de actualización de software, se está impulsando cada vez más una labor de seguridad más eficaz dirigida por los desarrolladores. Organizaciones de todos los tamaños están empezando a cuestionar su «cadena de suministro de software» y a exigir a los desarrolladores de software que cuenten con habilidades y conocimientos de seguridad contrastados.
Incluso el Gobierno de Estados Unidos ha pedido que se adopten mejores medidas de seguridad dirigidas por los desarrolladores para reforzar la cadena de suministro de software. Estos conceptos son parte fundamental del decreto ejecutivo del presidente Biden para mejorar la ciberseguridad nacional.
En general, la comunidad de desarrolladores ha aceptado la idea de trasladar la seguridad a las primeras fases del ciclo de vida del desarrollo de software (SDLC) mediante programas y actividades como devSeCops. En una encuesta reciente, la comunidad de desarrolladores indicó que valora la formación en seguridad que recibe para respaldar esta labor.
Las vulnerabilidades de software siguen siendo explotadas, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en el código.
¿Por qué?
La encuesta confirma que escribir código de alta calidad es una prioridad fundamental para la comunidad de desarrolladores.Sin embargo, la encuesta también identificó varias razones por las que la formación que se ofrece a los desarrolladores, aunque se considera valiosa, está lejos de alcanzar el objetivo de ayudar a proteger la cadena de suministro de software. El 33 % afirmó que su código sigue teniendo vulnerabilidades porque, incluso después de recibir formación, siguen sin saber cómo identificar o corregir las vulnerabilidades conocidas. Un abrumador 92 % afirmó que necesita al menos cierto grado de formación adicional en materia de seguridad, mientras que el 50 % afirmó que necesita más formación.
Es evidente que la comunidad de desarrolladores valora cualquier formación que reciba. Sin embargo, cuando se les pregunta por los obstáculos para adoptar prácticas de codificación seguras, la falta de tiempo se considera la razón principal, seguida por la falta de un enfoque coherente, según una quinta parte de los encuestados. La formación se considera más una actividad puntual que parte de un esfuerzo estratégico continuo para integrar la seguridad en el flujo de trabajo de los desarrolladores y utilizarla a diario.
Por lo tanto, los desarrolladores no pueden desarrollar y mantener habilidades de programación seguras como parte de un plan estrecho y continuo dentro de su organización. También podemos concluir que, dado que muchos desarrolladores afirman que siguen sin poder identificar y corregir vulnerabilidades comunes, la formación que reciben actualmente no es especialmente eficaz ni exhaustiva.
El 92 % de los desarrolladores afirma que necesita al menos cierto grado de formación adicional en materia de seguridad, mientras que el 92 % de los desarrolladores afirma que necesita más formación.
¿Qué pueden hacer las organizaciones para resolver esta situación?
Es interesante que la gran mayoría de los desarrolladores indiquen que necesitan más formación en materia de seguridad. Aunque valoran la formación que reciben, es posible que se sientan satisfechos con todo lo que pueden obtener.
Cuando se les pidió que comentaran cómo mejorar la formación, comenzaron a aflorar sus verdaderas opiniones sobre el tema. En general, la mayoría de la formación que reciben los desarrolladores es limitada, no interactiva y solo se centra en cierta medida en sus responsabilidades laborales, en lugar de formar parte de un plan general o continuo para mejorar las habilidades y la concienciación sobre la seguridad de la organización. Según los desarrolladores encuestados, si las organizaciones desean mejorar la eficacia de la formación que ofrecen, deben incluirla como parte de un enfoque integral que promueva una mayor concienciación sobre la seguridad en todo el ciclo de vida del desarrollo de software (SDLC).Además, los desarrolladores plantearon requisitos específicos para aumentar el valor de la formación. Una de las sugerencias más populares fue incluir más casos de uso y ejemplos prácticos de situaciones a las que podrían enfrentarse desde el punto de vista de la seguridad. Otra medida popular para mejorar la eficacia fue que la formación abarcara finalmente situaciones cada vez más complejas o difíciles, lo que podría requerir un enfoque más cohesionado y un plan a largo plazo de aprendizaje continuo y desarrollo de habilidades. Los desarrolladores también destacaron la necesidad de una mayor interactividad, e incluso la posibilidad de añadir elementos competitivos.Por lo general, cuando se intenta enseñar habilidades complejas y (consideradas) difíciles, como la codificación segura, la formación que consiste simplemente en ver vídeos o escuchar conferencias, sin oportunidad de realizar un aprendizaje práctico y contextualizado, no resulta eficaz ni especialmente valiosa.
Los desarrolladores también enfatizaron la necesidad de una mayor interactividad, e incluso la posibilidad de añadir elementos competitivos.
¿Qué otros factores son importantes a la hora de adoptar un enfoque de seguridad unificado?
Por supuesto, la formación es fundamental a la hora de mejorar la concienciación y las habilidades de seguridad de la comunidad de desarrolladores de la organización. Además, es necesario garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual. Sin embargo, hay otras formas aún más eficaces de mejorar la concienciación sobre la seguridad.
Un enfoque verdaderamente cohesionado debe tener en cuenta las condiciones necesarias para fomentar una cultura de seguridad realmente impulsada por los desarrolladores. Esto puede requerir un cambio de enfoque con respecto a la forma típica de gestionar y organizar los equipos de desarrollo.Por ejemplo, tradicionalmente, los desarrolladores se evalúan en función de la velocidad con la que escriben código. Sin embargo, un enfoque de seguridad unificado puede implicar un cambio en estos indicadores y valores tradicionales. En su lugar, la evaluación podría pasar de recompensar la velocidad pura a recompensar a los desarrolladores que son capaces de crear código seguro y de alta calidad, es decir, sin vulnerabilidades.
Como parte del trabajo, también puede involucrar a la propia comunidad de desarrolladores. En lugar de limitarse a obligar a los desarrolladores a proporcionar garantías de seguridad, se puede considerar la posibilidad de crear o nombrar defensores de la seguridad dentro de la comunidad. Estas personas serán desarrolladores con talento y conscientes de la seguridad, que hayan destacado en la formación o en la evaluación de nuevos indicadores clave. También deben estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrolladores desde dentro.
Un enfoque verdaderamente cohesivo debe tener en cuenta las condiciones necesarias para fomentar una cultura de seguridad verdaderamente impulsada por los desarrolladores. Esto puede requerir un cambio de enfoque con respecto a las formas típicas de gestionar y organizar los equipos de desarrollo.
Para más información
Libro blanco:Los retos (y oportunidades) de mejorar la seguridad del software
Libro blanco: Método preventivo de seguridad de software impulsado por desarrolladores
Libro blanco:DevSecOps Super Bowl: cómo los defensores de la seguridad pueden ayudar a su equipo a superar las vulnerabilidades tardías
Informe:El estado actual de la seguridad impulsada por los desarrolladores 2022
Ante importantes brechas de seguridad como la de SolarWinds, que infectó a más de 18 000 usuarios del popular software de gestión Orion, entre ellos muchas empresas y organismos gubernamentales de primer orden, mediante el proceso de actualización de software, se está impulsando cada vez más una labor de seguridad más eficaz dirigida por los desarrolladores. Organizaciones de todos los tamaños están empezando a cuestionar su «cadena de suministro de software» y a exigir a los desarrolladores de software que cuenten con habilidades y conocimientos de seguridad contrastados.
Incluso el Gobierno de Estados Unidos ha pedido que se adopten mejores medidas de seguridad dirigidas por los desarrolladores para reforzar la cadena de suministro de software. Estos conceptos son parte fundamental del decreto ejecutivo del presidente Biden para mejorar la ciberseguridad nacional.
En general, la comunidad de desarrolladores ha aceptado la idea de trasladar la seguridad a las primeras fases del ciclo de vida del desarrollo de software (SDLC) mediante programas y actividades como devSeCops. En una encuesta reciente, la comunidad de desarrolladores indicó que valora la formación en seguridad que recibe para respaldar esta labor.
Las vulnerabilidades de software siguen siendo explotadas, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en el código.
¿Por qué?
La encuesta confirma que escribir código de alta calidad es una prioridad fundamental para la comunidad de desarrolladores.Sin embargo, la encuesta también identificó varias razones por las que la formación que se ofrece a los desarrolladores, aunque se considera valiosa, está lejos de alcanzar el objetivo de ayudar a proteger la cadena de suministro de software. El 33 % afirmó que su código sigue teniendo vulnerabilidades porque, incluso después de recibir formación, siguen sin saber cómo identificar o corregir las vulnerabilidades conocidas. Un abrumador 92 % afirmó que necesita al menos cierto grado de formación adicional en materia de seguridad, mientras que el 50 % afirmó que necesita más formación.
Es evidente que la comunidad de desarrolladores valora cualquier formación que reciba. Sin embargo, cuando se les pregunta por los obstáculos para adoptar prácticas de codificación seguras, la falta de tiempo se considera la razón principal, seguida por la falta de un enfoque coherente, según una quinta parte de los encuestados. La formación se considera más una actividad puntual que parte de un esfuerzo estratégico continuo para integrar la seguridad en el flujo de trabajo de los desarrolladores y utilizarla a diario.
Por lo tanto, los desarrolladores no pueden desarrollar y mantener habilidades de programación seguras como parte de un plan estrecho y continuo dentro de su organización. También podemos concluir que, dado que muchos desarrolladores afirman que siguen sin poder identificar y corregir vulnerabilidades comunes, la formación que reciben actualmente no es especialmente eficaz ni exhaustiva.
El 92 % de los desarrolladores afirma que necesita al menos cierto grado de formación adicional en materia de seguridad, mientras que el 92 % de los desarrolladores afirma que necesita más formación.
¿Qué pueden hacer las organizaciones para resolver esta situación?
Es interesante que la gran mayoría de los desarrolladores indiquen que necesitan más formación en materia de seguridad. Aunque valoran la formación que reciben, es posible que se sientan satisfechos con todo lo que pueden obtener.
Cuando se les pidió que comentaran cómo mejorar la formación, comenzaron a aflorar sus verdaderas opiniones sobre el tema. En general, la mayoría de la formación que reciben los desarrolladores es limitada, no interactiva y solo se centra en cierta medida en sus responsabilidades laborales, en lugar de formar parte de un plan general o continuo para mejorar las habilidades y la concienciación sobre la seguridad de la organización. Según los desarrolladores encuestados, si las organizaciones desean mejorar la eficacia de la formación que ofrecen, deben incluirla como parte de un enfoque integral que promueva una mayor concienciación sobre la seguridad en todo el ciclo de vida del desarrollo de software (SDLC).Además, los desarrolladores plantearon requisitos específicos para aumentar el valor de la formación. Una de las sugerencias más populares fue incluir más casos de uso y ejemplos prácticos de situaciones a las que podrían enfrentarse desde el punto de vista de la seguridad. Otra medida popular para mejorar la eficacia fue que la formación abarcara finalmente situaciones cada vez más complejas o difíciles, lo que podría requerir un enfoque más cohesionado y un plan a largo plazo de aprendizaje continuo y desarrollo de habilidades. Los desarrolladores también destacaron la necesidad de una mayor interactividad, e incluso la posibilidad de añadir elementos competitivos.Por lo general, cuando se intenta enseñar habilidades complejas y (consideradas) difíciles, como la codificación segura, la formación que consiste simplemente en ver vídeos o escuchar conferencias, sin oportunidad de realizar un aprendizaje práctico y contextualizado, no resulta eficaz ni especialmente valiosa.
Los desarrolladores también enfatizaron la necesidad de una mayor interactividad, e incluso la posibilidad de añadir elementos competitivos.
¿Qué otros factores son importantes a la hora de adoptar un enfoque de seguridad unificado?
Por supuesto, la formación es fundamental a la hora de mejorar la concienciación y las habilidades de seguridad de la comunidad de desarrolladores de la organización. Además, es necesario garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual. Sin embargo, hay otras formas aún más eficaces de mejorar la concienciación sobre la seguridad.
Un enfoque verdaderamente cohesionado debe tener en cuenta las condiciones necesarias para fomentar una cultura de seguridad realmente impulsada por los desarrolladores. Esto puede requerir un cambio de enfoque con respecto a la forma típica de gestionar y organizar los equipos de desarrollo.Por ejemplo, tradicionalmente, los desarrolladores se evalúan en función de la velocidad con la que escriben código. Sin embargo, un enfoque de seguridad unificado puede implicar un cambio en estos indicadores y valores tradicionales. En su lugar, la evaluación podría pasar de recompensar la velocidad pura a recompensar a los desarrolladores que son capaces de crear código seguro y de alta calidad, es decir, sin vulnerabilidades.
Como parte del trabajo, también puede involucrar a la propia comunidad de desarrolladores. En lugar de limitarse a obligar a los desarrolladores a proporcionar garantías de seguridad, se puede considerar la posibilidad de crear o nombrar defensores de la seguridad dentro de la comunidad. Estas personas serán desarrolladores con talento y conscientes de la seguridad, que hayan destacado en la formación o en la evaluación de nuevos indicadores clave. También deben estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrolladores desde dentro.
Un enfoque verdaderamente cohesivo debe tener en cuenta las condiciones necesarias para fomentar una cultura de seguridad verdaderamente impulsada por los desarrolladores. Esto puede requerir un cambio de enfoque con respecto a las formas típicas de gestionar y organizar los equipos de desarrollo.
Para más información
Libro blanco:Los retos (y oportunidades) de mejorar la seguridad del software
Libro blanco: Método preventivo de seguridad de software impulsado por desarrolladores
Libro blanco:DevSecOps Super Bowl: cómo los defensores de la seguridad pueden ayudar a su equipo a superar las vulnerabilidades tardías
Informe:El estado actual de la seguridad impulsada por los desarrolladores 2022
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
Ante importantes brechas de seguridad como la de SolarWinds, que infectó a más de 18 000 usuarios del popular software de gestión Orion, entre ellos muchas empresas y organismos gubernamentales de primer orden, mediante el proceso de actualización de software, se está impulsando cada vez más una labor de seguridad más eficaz dirigida por los desarrolladores. Organizaciones de todos los tamaños están empezando a cuestionar su «cadena de suministro de software» y a exigir a los desarrolladores de software que cuenten con habilidades y conocimientos de seguridad contrastados.
Incluso el Gobierno de Estados Unidos ha pedido que se adopten mejores medidas de seguridad dirigidas por los desarrolladores para reforzar la cadena de suministro de software. Estos conceptos son parte fundamental del decreto ejecutivo del presidente Biden para mejorar la ciberseguridad nacional.
En general, la comunidad de desarrolladores ha aceptado la idea de trasladar la seguridad a las primeras fases del ciclo de vida del desarrollo de software (SDLC) mediante programas y actividades como devSeCops. En una encuesta reciente, la comunidad de desarrolladores indicó que valora la formación en seguridad que recibe para respaldar esta labor.
Las vulnerabilidades de software siguen siendo explotadas, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en el código.
¿Por qué?
La encuesta confirma que escribir código de alta calidad es una prioridad fundamental para la comunidad de desarrolladores.Sin embargo, la encuesta también identificó varias razones por las que la formación que se ofrece a los desarrolladores, aunque se considera valiosa, está lejos de alcanzar el objetivo de ayudar a proteger la cadena de suministro de software. El 33 % afirmó que su código sigue teniendo vulnerabilidades porque, incluso después de recibir formación, siguen sin saber cómo identificar o corregir las vulnerabilidades conocidas. Un abrumador 92 % afirmó que necesita al menos cierto grado de formación adicional en materia de seguridad, mientras que el 50 % afirmó que necesita más formación.
Es evidente que la comunidad de desarrolladores valora cualquier formación que reciba. Sin embargo, cuando se les pregunta por los obstáculos para adoptar prácticas de codificación seguras, la falta de tiempo se considera la razón principal, seguida por la falta de un enfoque coherente, según una quinta parte de los encuestados. La formación se considera más una actividad puntual que parte de un esfuerzo estratégico continuo para integrar la seguridad en el flujo de trabajo de los desarrolladores y utilizarla a diario.
Por lo tanto, los desarrolladores no pueden desarrollar y mantener habilidades de programación seguras como parte de un plan estrecho y continuo dentro de su organización. También podemos concluir que, dado que muchos desarrolladores afirman que siguen sin poder identificar y corregir vulnerabilidades comunes, la formación que reciben actualmente no es especialmente eficaz ni exhaustiva.
El 92 % de los desarrolladores afirma que necesita al menos cierto grado de formación adicional en materia de seguridad, mientras que el 92 % de los desarrolladores afirma que necesita más formación.
¿Qué pueden hacer las organizaciones para resolver esta situación?
Es interesante que la gran mayoría de los desarrolladores indiquen que necesitan más formación en materia de seguridad. Aunque valoran la formación que reciben, es posible que se sientan satisfechos con todo lo que pueden obtener.
Cuando se les pidió que comentaran cómo mejorar la formación, comenzaron a aflorar sus verdaderas opiniones sobre el tema. En general, la mayoría de la formación que reciben los desarrolladores es limitada, no interactiva y solo se centra en cierta medida en sus responsabilidades laborales, en lugar de formar parte de un plan general o continuo para mejorar las habilidades y la concienciación sobre la seguridad de la organización. Según los desarrolladores encuestados, si las organizaciones desean mejorar la eficacia de la formación que ofrecen, deben incluirla como parte de un enfoque integral que promueva una mayor concienciación sobre la seguridad en todo el ciclo de vida del desarrollo de software (SDLC).Además, los desarrolladores plantearon requisitos específicos para aumentar el valor de la formación. Una de las sugerencias más populares fue incluir más casos de uso y ejemplos prácticos de situaciones a las que podrían enfrentarse desde el punto de vista de la seguridad. Otra medida popular para mejorar la eficacia fue que la formación abarcara finalmente situaciones cada vez más complejas o difíciles, lo que podría requerir un enfoque más cohesionado y un plan a largo plazo de aprendizaje continuo y desarrollo de habilidades. Los desarrolladores también destacaron la necesidad de una mayor interactividad, e incluso la posibilidad de añadir elementos competitivos.Por lo general, cuando se intenta enseñar habilidades complejas y (consideradas) difíciles, como la codificación segura, la formación que consiste simplemente en ver vídeos o escuchar conferencias, sin oportunidad de realizar un aprendizaje práctico y contextualizado, no resulta eficaz ni especialmente valiosa.
Los desarrolladores también enfatizaron la necesidad de una mayor interactividad, e incluso la posibilidad de añadir elementos competitivos.
¿Qué otros factores son importantes a la hora de adoptar un enfoque de seguridad unificado?
Por supuesto, la formación es fundamental a la hora de mejorar la concienciación y las habilidades de seguridad de la comunidad de desarrolladores de la organización. Además, es necesario garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual. Sin embargo, hay otras formas aún más eficaces de mejorar la concienciación sobre la seguridad.
Un enfoque verdaderamente cohesionado debe tener en cuenta las condiciones necesarias para fomentar una cultura de seguridad realmente impulsada por los desarrolladores. Esto puede requerir un cambio de enfoque con respecto a la forma típica de gestionar y organizar los equipos de desarrollo.Por ejemplo, tradicionalmente, los desarrolladores se evalúan en función de la velocidad con la que escriben código. Sin embargo, un enfoque de seguridad unificado puede implicar un cambio en estos indicadores y valores tradicionales. En su lugar, la evaluación podría pasar de recompensar la velocidad pura a recompensar a los desarrolladores que son capaces de crear código seguro y de alta calidad, es decir, sin vulnerabilidades.
Como parte del trabajo, también puede involucrar a la propia comunidad de desarrolladores. En lugar de limitarse a obligar a los desarrolladores a proporcionar garantías de seguridad, se puede considerar la posibilidad de crear o nombrar defensores de la seguridad dentro de la comunidad. Estas personas serán desarrolladores con talento y conscientes de la seguridad, que hayan destacado en la formación o en la evaluación de nuevos indicadores clave. También deben estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrolladores desde dentro.
Un enfoque verdaderamente cohesivo debe tener en cuenta las condiciones necesarias para fomentar una cultura de seguridad verdaderamente impulsada por los desarrolladores. Esto puede requerir un cambio de enfoque con respecto a las formas típicas de gestionar y organizar los equipos de desarrollo.
Para más información
Libro blanco:Los retos (y oportunidades) de mejorar la seguridad del software
Libro blanco: Método preventivo de seguridad de software impulsado por desarrolladores
Libro blanco:DevSecOps Super Bowl: cómo los defensores de la seguridad pueden ayudar a su equipo a superar las vulnerabilidades tardías
Informe:El estado actual de la seguridad impulsada por los desarrolladores 2022
Índice
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de la formación sobre códigos de seguridad
Nuestro contenido líder en el sector está en constante evolución para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Los temas abarcan desde la IA hasta la inyección de XQuery, y son aptos para puestos que van desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo por adelantado a nuestro catálogo de contenidos, ordenados por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon ha vuelto: la misión de derrotar al jefe IA ya está disponible bajo demanda.
Cybermon 2025 ya está disponible en SCW durante todo el año. Guerra de seguridad de IA/LLM de alto nivel de la tribu, desarrollo de IA de seguridad reforzada con modelos de gran escala.
Interpretación de la Ley de Resiliencia de la Red: ¿Qué significa lograr la seguridad mediante el diseño del desarrollo de software?
Comprenda los requisitos de la Ley de Resiliencia de las Redes de la Unión Europea (CRA), a quiénes se aplica y cómo los equipos de ingeniería pueden prepararse mediante prácticas de diseño, prevención de vulnerabilidades y desarrollo de capacidades de los desarrolladores.
Factor impulsor 1: Criterios de éxito claros y medibles
El facilitador 1 es el preludio de nuestra serie de 10 partes sobre los impulsores del éxito, que muestra cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y el aumento de la velocidad de maduración de los planes a largo plazo.
