Perspectivas sobre el código de seguridad

En mi propia carrera profesional en el ámbito del desarrollo de software y la seguridad, he hablado con muchos de ellos: gerentes de AppSec, directores de seguridad de la información, directores de información y expertos en ciberseguridad que trabajan en diversas empresas de todo el mundo.

En este mundo digital en constante cambio, independientemente de lo diferentes que sean sus situaciones, de la experiencia que tengan los equipos o del tiempo que lleven trabajando, hay una cuestión que siempre permanece igual: rara vez pueden participar activamente en el equipo de desarrollo en lo que respecta a la seguridad. La seguridad sigue siendo una palabra malsonante, una fuente de conflicto entre equipos y un auténtico dolor de cabeza para el sector.

Sin embargo, la seguridad del software es demasiado importante para nuestra forma de pensar general como para seguir por este camino. Debemos esforzarnos por cambiar la forma en que dialogamos, para que la seguridad se convierta en una parte indispensable del trabajo y la vida de cada desarrollador. Creo que una de las mejores formas de lograrlo es empoderar a los desarrolladores en materia de seguridad e interactuar con ellos a través de la gamificación, entre otras cosas.

La situación actual

Los desarrolladores salen de la universidad sin apenas conocimientos prácticos sobre código seguro, y los puestos de trabajo que ocupan rara vez dan prioridad a la formación en seguridad (si es que lo hacen, suele ser parte de vídeos obligatorios sobre salud y seguridad, tan aburridos que nadie se preocupa por la codificación segura).Por lo general, su primera experiencia con la seguridad es una auditoría o un informe de errores de prueba que interrumpe repentinamente un futuro lanzamiento y se convierte inmediatamente en la prioridad principal de su pensamiento creativo. Se encuentran discutiendo con las personas responsables de los informes de seguridad, por lo que, en su mente, «seguridad» se convierte en sinónimo de «crítica». Jajaja.

Sinceramente, es una pena que esta visión negativa de la seguridad del software esté tan extendida. Al fin y al cabo, los mejores recuerdos de mi carrera profesional están relacionados con el aprendizaje de la seguridad del software. Mis primeros años como hacker los pasé asistiendo a conferencias, donde no solo podía poner a prueba mis habilidades con otros compañeros (y, sinceramente, presumir un poco), sino también conocer a personas con ideas afines a las mías a las que les gustaba destrozar software y con las que me lo pasaba muy bien.

BruCon, DefCon, BlackHat... Estos eventos ofrecen a personas como yo la oportunidad de demostrar nuestras habilidades en un entorno amistoso. Aunque nunca he admitido haber participado en actividades antisociales de este tipo, hay quienes incluso hackean los teléfonos móviles de otros asistentes y muestran su información en la pantalla de presentación para que todos la vean, con el fin de demostrar sus habilidades como hackers. Se ha convertido en un juego que descubre estos defectos, los aprovecha y los corrige para mejorar el software.Hace unos años, tuve la oportunidad de conocer a cientos de niños de Oriente Medio y enseñarles sobre ciberseguridad. Todavía recuerdo a una niña de ocho años entre mis alumnos que estaba aprendiendo sobre ataques de fuerza bruta y codificación base64 mientras jugaba.

La gamificación también se utiliza para enseñar habilidades de programación. Instituciones educativas de todo el mundo están utilizando este método para enseñar programación a niños pequeños, incluso hasta la edad de secundaria. Ahora, niños de tan solo cuatro años suelen participar en eventos festivos, como CodeCamp, y haymuchos programas en línea excelentes que enseñan a los niños a programar con Python y otros lenguajes. Incluso compré la maravillosa herramienta de programación sin pantalla, Cubetto, para regalársela ami hija de cuatro años.

Sin embargo, a pesar de toda esta diversión y estos avances, sigue habiendo una brecha. Nadie ha pensado en la posibilidad de utilizar la gamificación para formar a los desarrolladores en la escritura de código seguro.

Bueno... casi nadie. Hace unos años, me di cuenta de que necesitábamos volver a inspirar la seguridad, motivar realmente a los desarrolladores para que participaran y comenzaran a jugar.

Juego: una forma sencilla de avanzar.

En lo más profundo de mi corazón, siento la motivación de mejorar y reforzar los conocimientos de los desarrolladores en materia de seguridad, y es precisamente esta pasión la que me ha llevado a crear Secure Code Warrior. La seguridad del software es muy importante y realmente apasionante.

No estoy solo.

La gamificación puede hacer que incluso las tareas más mundanas resulten más interesantes y mantener a las personas lo suficientemente involucradas como para que quieran seguir jugando, ganando y progresando. ¡Basta con ver el camino recorrido por Pokémon! Incluso consigue que las personas más perezosas se levanten del sofá y salgan al aire libre en busca de criaturas ficticias, o que FitBit convierta el número de pasos en el objetivo diario de muchas personas... Si no se alcanzan estos objetivos, si se rompe la racha de victorias o no se consigue la insignia, se produce una sensación de decepción muy real.

Por lo tanto, volvamos a la formación en seguridad. Hemos demostrado a muchos clientes que la gamificación es clave para cambiar realmente la cultura de seguridad en sus organizaciones, tender puentes entre los equipos de AppSec y desarrollo, y, en general, ayudarles a crear software de mayor calidad.

En la actualidad, la seguridad no es la prioridad principal de los desarrolladores. Al añadir elementos amigables, competitivos y atractivos a los métodos de entrenamiento, los motivas no solo a «jugar», sino también a volver para ganar más puntos, superar las puntuaciones más altas, ser más precisos y desafiar a sus compañeros de equipo.

Ya sabemos que una formación exitosa es así:

• Los desarrolladores pueden trabajar con código real y sus propios lenguajes/marcos.
• El desafío es breve y abarca todas las vulnerabilidades de seguridad comunes.
• Los desafíos se amplían y actualizan constantemente, por lo que los desarrolladores pueden seguir perfeccionando sus habilidades con el paso del tiempo.
• El nivel de complejidad de los desafíos varía, por lo que tanto los desarrolladores experimentados como los menos experimentados pueden participar.
• Los desarrolladores y sus gerentes pueden ver el progreso, incluyendo los retos que han completado, sus fortalezas y debilidades, el tiempo dedicado a la formación y su precisión general.

Uno de nuestros principales clientes demostró el verdadero poder de la gamificación al lanzar su plataforma, proporcionando equipamiento temático a los desarrolladores y premios increíbles a los ganadores de los juegos, lo que convirtió sus torneos en días verdaderamente memorables. Desde entonces, han organizado competiciones internacionales y, a día de hoy, todo su equipo sigue sometiéndose a un riguroso entrenamiento.

Tu propia revolución tecnológica comienza aquí. El sector bancario australiano está a la vanguardia en la adopción de la gamificación para combatir el código defectuoso, utilizando un enfoque verdaderamente innovador que puede revolucionar la formación tradicional (o aburrida). Echa un vistazo a lo que nuestros clientes han hecho con ellos en el torneo de nivel superior. ¿Estás listo para subir de nivel a tu equipo con nosotros?

Debemos esforzarnos por cambiar la forma en que dialogamos, para que la seguridad se convierta en una parte indispensable del trabajo y la vida de cada desarrollador. Creo que una de las mejores formas de lograrlo es empoderar a los desarrolladores en materia de seguridad e interactuar con ellos a través de la gamificación, entre otras cosas.

El 3 de septiembre, algunos miembros de mi equipo y yo asistimos a una magnífica ceremonia de entrega de premios de seguridad, organizada por CSO Australia. Uno de los primeros premios de este tipo en Australia, los Premios a las Mujeres en Seguridad 2019 son el resultado del increíble trabajo de algunas de las expertas en seguridad más respetadas del sector. Se trata de una celebración de la contribución de las mujeres al campo de la ciberseguridad y una plataforma muy necesaria para mostrar el increíble talento y la innovación que aportan estas mujeres, que a menudo trabajan en la sombra y se esfuerzan por hacer un trabajo excelente.

Me enorgullece decir que Fatemah Beydoun, vicepresidenta de éxito de clientes (también conocida como Chief Awesome) de Secure Code Warrior, fue una parte indispensable de la jornada. Pronunció una charla titulada «Orientación para el futuro: cómo podemos mejorar en la formación de mujeres en ciberseguridad» ante un público muy receptivo. Aunque doce minutos no bastan para revelar su impacto a largo plazo en nosotros y en todo el sector de la ciberseguridad, ella ya ha visto (por no decir impulsado) cambios positivos fundamentales.

Un enfoque más inclusivo.

«Cuando empecé mi carrera en este sector», dice Fatma, «era una de las pocas mujeres del equipo al que me uní. Muchas de las oportunidades sociales también se centraban en los hombres, lo que me dificultaba participar, conocer a las personas adecuadas y mostrar mi valor clave a las empresas. Intenté cambiar esta dinámica y crear un espacio más inclusivo en la medida de lo posible.

Por ejemplo, solía asistir a eventos del sector y me di cuenta de que muchos stands de empresas utilizaban modelos promocionales para atraer la atención del público. En teoría, no hay ningún problema, pero a menudo me ignoraban porque era evidente que no formaba parte del mercado objetivo. Al principio de mi carrera, me encargué de organizar eventos y me prometí a mí misma que se nos ocurrirían formas más inclusivas e interesantes de atraer la atención del público hacia nuestros propios eventos», afirma.

Fatemah y yo llevamos mucho tiempo trabajando juntas y ella siempre ha promovido la inclusión y la diversidad en nuestra empresa. Esto ha proporcionado más oportunidades para que las mujeres se unan al equipo, se reconozcan sus contribuciones clave y se refuerce el equipo con diferentes enfoques, perspectivas y profesiones.

Fatma dijo: «Mira, por supuesto, nadie quiere ser una mujer simbólica». «Pero el problema puede ser que algunos equipos ejecutivos menos diversos tienden a pasar el testigo del liderazgo a personas similares a ellos, con las que pueden establecer vínculos a nivel personal. Los mismos ejecutivos pueden beneficiarse de las contribuciones de las mujeres basadas en sus resultados y habilidades, pero a menudo les cuesta llamar la atención.Según ella, si se conciencia al equipo directivo ejecutivo del poder que puede aportar la diversidad (que no se limita al género), suelen estar muy dispuestos a abrir esas vías y empezar a ascender a aquellas mujeres que están preparadas, dispuestas y capacitadas para hacer un trabajo excelente en la organización».

Flexibilidad en el lugar de trabajo: un factor clave para el éxito.

Al crear mi propia empresa, pronto me di cuenta de que el mejor trabajo se realiza cuando los miembros del equipo tienen espacio para respirar. La flexibilidad es importante para todos, pero las políticas que ayudan a conciliar la vida laboral y familiar pueden contribuir a retener a los empleados más valiosos.

Una de las primeras políticas introducidas aquí fue la «Política sobre bebés en el trabajo», que permite a las madres primerizas reincorporarse al trabajo lo antes posible, al tiempo que les ofrece la flexibilidad necesaria para concertar citas y llevar a sus bebés al trabajo sin temor a ser juzgadas.

Fatma dijo: «No quiero tener que elegir entre ser madre y mi carrera profesional. Poder llevar a mi hijo pequeño al trabajo es algo muy positivo, me hace sentir apoyada y valorada». «Mis habilidades no desaparecen después de dar a luz. Como miembro fundador de una empresa emergente, ¡bueno, solo quieres volver al trabajo!».

Incluso habló con ABC News sobre las ventajas del trabajo flexible:

¿Tienes una cultura de mentores en pleno auge?

Para que cualquier persona pueda iniciar una buena trayectoria profesional y mantener el impulso, es buena idea buscar un mentor. En muchos ámbitos de las tecnologías de la información, la ciberseguridad y otros sectores dominados por los hombres, existe un desequilibrio considerable entre el número de mujeres y hombres en puestos ejecutivos, por lo que puede resultar un poco complicado.

Aunque es importante que las mujeres vean «su propio reflejo» en puestos de liderazgo, los hombres también pueden ayudar promoviendo a las mujeres inteligentes de su equipo y participando en su orientación siempre que sea posible.

«Los equipos directivos pueden tener un gran impacto en la diversidad de las organizaciones y garantizar que las mujeres destacadas obtengan el reconocimiento y la trayectoria profesional que se merecen, al igual que el resto. Lo he visto en Yvette Liggins, responsable de ciberseguridad de Jetstar. Es una defensora de las mujeres y, gracias a su éxito y su arduo trabajo, ha devuelto lo que ha recibido y ha ayudado a otras mujeres a tener la confianza necesaria para llegar a lo más alto», afirma Fatma.

En este momento, Secure Code Warrior acaba de celebrar que su plantilla ha alcanzado los 100 empleados. Me enorgullece decir que más del 50 % de nuestra empresa está representada por mujeres, y Fatemah es un ejemplo y mentora excepcional para todos.

Todas las empresas pueden encontrar una gran fuerza en la diversidad de sus equipos. Las opiniones de personas de diferentes sectores pueden ser el ingrediente secreto necesario para convertir una buena idea en una gran idea. Como siempre, juntos somos más fuertes.

Existe una teoría muy conocida que sostiene que las cucarachas pueden sobrevivir prácticamente en cualquier circunstancia, incluso a una explosión nuclear. Aunque esta teoría es cierta hasta cierto punto, su sencilla constitución física las hace extremadamente resistentes al frío y difíciles de eliminar en la mayoría de las condiciones.

Si las cucarachas tuvieran una vulnerabilidad similar en el mundo digital, sería la vulnerabilidad de inyección SQL (SQLi) en el código. Esta vulnerabilidad es conocida desde hace más de veinte años, pero las organizaciones siguen siendo víctimas de ella una y otra vez. En general, ataques costosos a objetivos específicos son el resultado de inyecciones SQL, como por ejemplo el hackeo electoral en Illinois, donde se filtraron 200 000 registros de votantes, lo que llevó al FBI a recomendar a todos los administradores de TI que tomaran medidas rápidas para reforzar la seguridad.

El informe sobre la iniciativa de inteligencia sobre piratería informática de Imperva revela que, entre 2005 y 2011, el 83 % de todas las fugas de datos notificadas se debieron a ataques SQLi. Hoy en día, las vulnerabilidades de inyección siguen siendo la principal amenaza en Estados Unidos según la lista OWASP Top 10. Son relativamente sencillas, pero no desaparecen.

Parece absurdo que sigan apareciendo las mismas vulnerabilidades en gran cantidad de análisis de seguridad de aplicaciones. Sabemos cómo funciona y sabemos cómo impedirlo. ¿Cómo es posible? La realidad es que la seguridad de nuestro software aún tiene mucho margen de mejora.

El informe sobre la seguridad del software de Veracode, basado en 400 000 análisis de aplicaciones realizados en 2017, muestra una estadística alarmante: solo el 30 % de las aplicaciones cumplen las diez políticas principales de la OWASP. En los últimos cinco años, este ha sido un tema recurrente, ya que casi un tercio de las nuevas aplicaciones analizadas presentaban inyecciones SQL. Esto demuestra que se trata de un problema generalizado.no estamos aprendiendo de nuestros errores, y los directores de seguridad de la información parecen tener dificultades para contratar a suficientes profesionales de la seguridad. Por lo general, la proporción de expertos en seguridad de aplicaciones y desarrolladores es inferior a 1:100.

¿Por qué la seguridad del software es vital?

La escasez de personal especializado en seguridad ya no es ningún secreto, pero también debemos prestar atención al hecho de que los desarrolladores no corrigen los problemas cuando surgen y, evidentemente, no son capaces de evitar introducir vulnerabilidades desde el principio. En el mismo informe de Veracode, se revela que, de todas las vulnerabilidades de desarrollo, solo se ha documentado el 14,4 % de las medidas de mitigación. En otras palabras,la mayoría de las vulnerabilidades se envían sin medidas de mitigación desarrolladas. Menos de un tercio de las vulnerabilidades se cierran en los primeros 90 días, y el 42 % nunca se cierran durante el desarrollo.

He estado hablando con profesionales de la seguridad, directores de seguridad de la información y directores ejecutivos, y es interesante observar que muchas empresas se sienten tan frustradas por las vulnerabilidades detectadas que no pueden mitigarse (además de la plaga conocida como falsos positivos) que han dejado de escanearlas por completo y cruzan los dedos esperando lo mejor.

¿Por qué los profesionales de AppSec permiten que esto suceda?

Sin duda alguna, los profesionales de AppSec son muy conscientes de los problemas que pueden surgir en el código. Al fin y al cabo, esa es una de sus habilidades principales, lo que los convierte en un recurso tan valioso para sus equipos. Sin embargo, a menudo se ven obstaculizados por múltiples factores.

Por ejemplo, el responsable de AppSec detecta un problema y pregunta al desarrollador: «¿Puedes corregir el código?». La respuesta a esta importante pregunta varía según la organización, pero en general, los desarrolladores están tan ocupados cumpliendo con los estrictos sprints de entrega de funciones que no tienen tiempo para resolver estos problemas, ni tampoco cuentan con herramientas adecuadas que les ayuden. Los profesionales de AppSec pueden identificar las vulnerabilidades por sí mismos, pero normalmente no tienen las habilidades y/o los permisos para corregirlas sobre el terreno.

También debemos reconocer que, para cada problema, hay un proceso que requiere encontrar una solución,implementarla y luego probarla. Incluso el más mínimo problema detectado en el código requiere mucho tiempo para solucionarlo, por no hablar de los recursos necesarios. Se pueden introducir más de 700 vulnerabilidades en el software, y es imposible para cualquiera defenderse de todas ellas. Por esta razón, la mayoría de las empresas se centran únicamente en las diez principales vulnerabilidades de OWASP. Al mismo tiempo, los desarrolladores siguen creando funciones y, a su vez, introducen continuamente vulnerabilidades en el código que escriben.

¿Cuál es la solución?

La simple realidad es que no proporcionamos a los desarrolladores las herramientas y la formación necesarias para garantizar el éxito de la codificación segura. No existe ninguna normativa que obligue a las organizaciones a garantizar que los desarrolladores cuenten con los conocimientos de seguridad adecuados, y la triste realidad es que la mayoría de las universidades y centros de prácticas tampoco preparan a los desarrolladores principiantes para la codificación segura.

Cuando alguien quiere pilotar un avión, existe un proceso muy estricto que garantiza que reciba formación, experiencia práctica, un examen médico, conocimientos de seguridad y una inspección antes de volar. Nadie se atrevería a imaginar que, sin una preparación tan exhaustiva y una verificación de sus habilidades, se le dejaría volar sin más, pero eso es lo que ocurre a diario en la programación de código.

Necesitamos dedicar tiempo a formar a los desarrolladores sobre cómo escribir código seguro. Sin embargo, en el mundo actual, con el rápido ritmo de desarrollo de software y la escasez de buenos desarrolladores y profesionales de la seguridad, esto nunca parece ser una prioridad. Es hora de cambiar el discurso.

La noticia más reciente proviene del Foro Económico Mundial, que afirma: «Sin seguridad no puede haber economía digital», y añade que la seguridad debe ser una parte fundamental de cualquier estrategia de transformación digital. «La seguridad es clave para proteger a las empresas y permitirles innovar y desarrollar nuevos productos y servicios. Además de su función defensiva, la seguridad también proporciona a las empresas una ventaja estratégica para el crecimiento».

Mejorar las habilidades y los resultados en materia de codificación segura añadirá una sólida capa de protección cibernética a las organizaciones y les ayudará a crear un código mejor y más rápido. Los desarrolladores no necesitan convertirse en expertos en seguridad, pero deben adquirir habilidades proactivas y prácticas para convertirse en la primera línea de defensa contra los ciberataques. Los desarrolladores pueden convertirse en los próximos héroes de la seguridad y la innovación. Son personas muy inteligentes, creativas a la hora de resolver problemas y, en general, entusiastas por desarrollar sus habilidades. Aprovechen sus puntos fuertes con la formación profesional adecuada y comprométanse con unos estándares de seguridad de software más elevados. Lea nuestro informe técnico para obtener más información.

Cuando alguien quiere pilotar un avión, existe un proceso muy estricto que garantiza que reciba formación, experiencia práctica, un examen médico, conocimientos de seguridad y una inspección antes de volar. Nadie se atrevería a imaginar que, sin una preparación tan exhaustiva y una verificación de sus habilidades, se le dejaría volar sin más, pero eso es lo que ocurre a diario en la programación de código.

Hay muchas referencias en la cultura popular a la IA y los robots rebeldes, así como a los electrodomésticos que se activan por sí solos. Todo ello está lleno de diversión y fantasía de ciencia ficción, pero a medida que el Internet de las cosas y los dispositivos conectados se vuelven cada vez más comunes en nuestros hogares, también debería serlo el debate sobre la ciberseguridad y la seguridad. El software está en todas partes, y es fácil olvidar hasta qué punto dependemos de unas pocas líneas de código para llevar a cabo todas esas cosas ingeniosas que nos aportan grandes innovaciones y comodidades. Al igual que el software basado en la web yAPI y dispositivos móviles, si un atacante encuentra código vulnerable en un sistema integrado, lo aprovechará.

Aunque es poco probable que un ejército de microondas venga a esclavizar a la humanidad (pero los robots de Tesla son un poco preocupantes), los incidentes cibernéticos maliciosos siguen siendo posibles debido a los ataques cibernéticos. Algunos de nuestros automóviles, aviones y equipos médicos aún dependen de un complejo código de sistemas integrados para realizar tareas críticas, y la posibilidad de que estos objetos sean pirateados no solo es alarmante, sino que también puede poner en peligro la vida.

Al igual que con cualquier otro tipo de software, los desarrolladores son los primeros en entrar en contacto con el código, justo al inicio de la fase de creación. Al igual que con cualquier otro tipo de software, esto puede ser un caldo de cultivo para vulnerabilidades potenciales que podrían pasar desapercibidas antes de que el producto se lance al mercado.

Los desarrolladores no son expertos en seguridad, y ninguna empresa debe esperar que desempeñen ese papel, pero pueden disponer de un arsenal más potente para hacer frente a las amenazas que les afectan. A medida que nuestras necesidades tecnológicas evolucionan, los sistemas integrados (normalmente escritos en C y C++) se utilizarán con mayor frecuencia, por lo que es fundamental que los desarrolladores reciban formación especializada en seguridad sobre las herramientas de ese entorno.

Explosiones de freidoras de aire caliente, vehículos robados... ¿Vamos a quedarnos de brazos cruzados?

Aunque existen algunas normas y reglamentos en torno al desarrollo de la seguridad para garantizar nuestra seguridad, necesitamos lograr avances más precisos y significativos en la seguridad de todo tipo de software. Puede parecer descabellado pensar en un problema que pueda provocar el hackeo de una freidora, pero ha ocurrido en forma de un ataque de ejecución remota de código (que permite a los actores maliciosos elevar la temperatura a niveles peligrosos), al igual que la vulnerabilidad que permite el control remoto de un vehículo.

En particular, los vehículos son especialmente complejos, con múltiples sistemas integrados, cada uno de los cuales es responsable de microfunciones; desde los limpiaparabrisas automáticos hasta las funciones del motor y los frenos,todo lo que se pueda imaginar. Los vehículos conectados, junto con la creciente tecnología de comunicaciones (como Wi-Fi, Bluetooth y GPS), representan una compleja infraestructura digital que se enfrenta a múltiples vectores de ataque. Además, se prevé que en 2023 habrá 76,3 millones de vehículos conectados en las carreteras de todo el mundo, lo quesupone una base sólida para una defensa que garantice una seguridad real.

MISRA es una organización clave que aborda activamente las amenazas a los sistemas embebidos y ha establecido directrices para promover la seguridad, la protección, la portabilidad y la fiabilidad del código en entornos de sistemas embebidos. Estas directrices son la guía que todas las empresas deben seguir en sus proyectos de sistemas embebidos.

Sin embargo, para crear y ejecutar código que cumpla con este estándar de oro, se necesitan ingenieros de sistemas embebidos que confíen plenamente en las herramientas (por no hablar de la concienciación sobre la seguridad).

¿Por qué es tan específico el aumento de las habilidades de seguridad de los sistemas integrados?

Según los estándares actuales, los lenguajes de programación C y C++ están obsoletos, pero siguen siendo ampliamente utilizados. Constituyen el núcleo funcional del código de los sistemas embebidos, y el C/C++ embebido disfruta de una brillante vida moderna como parte del mundo de los dispositivos conectados.

A pesar de que estos lenguajes tienen raíces bastante antiguas y muestran un comportamiento similar en cuanto a vulnerabilidades comunes, como inyección de defectos y desbordamiento de búfer, para que los desarrolladores puedan mitigar con éxito las vulnerabilidades de seguridad en los sistemas embebidos, deben experimentar de primera mano el código que imita su entorno de trabajo. La formación genérica en C de las prácticas de seguridad generales no es tan potente e inolvidable como la que se obtiene trabajando en un entorno C embebido.

Dado que los automóviles modernos cuentan con entre una docena y más de cien sistemas integrados, es necesario formar adecuadamente a los desarrolladores para que sepan qué buscar en el IDE y cómo solucionarlo.
‍

Proteger los sistemas integrados desde la base es responsabilidad de todos.

La realidad actual de muchas organizaciones es que la velocidad de desarrollo prima sobre la seguridad, al menos en lo que respecta a las responsabilidades de los desarrolladores. Rara vez se les evalúa en función de su capacidad para generar código seguro, sino que el estándar de oro es desarrollar rápidamente funciones excelentes. La demanda de software no hará más que aumentar, pero esta cultura nos predispone al fracaso a la hora de defendernos contra las vulnerabilidades y los ciberataques que estas permiten.

Si los desarrolladores no han recibido formación, no es culpa suya, sino que alguien del equipo de AppSec debe ayudar a subsanar esta carencia recomendando a toda la comunidad de desarrolladores programas de mejora de habilidades adecuados, accesibles (por no hablar de evaluables). La seguridad debe ser una prioridad desde el inicio de cualquier proyecto de desarrollo de software, y todos, especialmente los desarrolladores, deben tener en cuenta que deben desempeñar su papel.

Experiencia personal con los problemas de seguridad de los sistemas integrados

El desbordamiento del búfer, los defectos de inyección y los errores de lógica de negocio son trampas comunes en el desarrollo de sistemas integrados. Cuando están profundamente enterrados en el laberinto de microcontroladores de un solo vehículo o dispositivo, desde el punto de vista de la seguridad, pueden significar un desastre.

Los desbordamientos de búfer son especialmente comunes. Si desea obtener más información sobre cómo pueden afectar a la freidora que hemos mencionado anteriormente (permitiendo la ejecución remota de código), consulte este informe sobre CVE-2020-28592.

Ahora es el momento de experimentar de primera mano una vulnerabilidad de desbordamiento de búfer en código C/C++ integrado real. Participa en este desafío y comprueba si eres capaz de encontrar, identificar y corregir el patrón de codificación defectuoso que provoca este error tan insidioso:
‍

¿Cómo lo estás haciendo? Visita www.securecodewarrior.com para obtener formación precisa y eficaz sobre seguridad en sistemas embebidos.

Este artículo se publicó originalmente en Devops.com. Ha sido actualizado y modificado.

Al igual que «cadena de bloques», «big data» y «disrupción digital», el término «DevOps» es otra palabra de moda que se utiliza actualmente en los departamentos de TI de las grandes organizaciones.

Muchas personas ya han reconocido (correctamente) la necesidad de un ciclo de vida de desarrollo de software más rápido; un proceso más preciso y estrechamente relacionado con los objetivos empresariales, que permita un flujo de trabajo y una colaboración más claros entre los equipos de desarrollo y operaciones. DevOps es, en esencia, desarrollo «ágil», en el que todos los desarrolladores crecen y están preparados para responder a las necesidades de innovación y rápida implementación de las empresas modernas. Para los profesionales de la seguridad, se trata de una iniciativa formidable: podemos incorporar la seguridad en el proceso desde el principio, lo que reduce el coste de corregir errores y evita posibles desastres.

El problema es que muy pocas empresas logran implementar DevOps con éxito. Sin el apoyo, la formación y la comprensión adecuados de toda la empresa, pronto se convierte en un elefante blanco... Ya sabes, uno de esos proyectos de los que «no se debe hablar».

Entonces, ¿cuál es el problema? Es un debate interesante, y creo que hay varias formas de implementar DevOps que facilitarán el proceso. Una planificación eficaz no consiste solo en nuevas herramientas sofisticadas, títulos y reuniones de equipo. No siempre es fácil, pero a largo plazo, dedicar tiempo a corregir una estrategia que no funciona (o implementarla correctamente desde el principio) es mucho menos doloroso. Al final, se obtendrá un software de mayor calidad y más seguro.

Analicemos esto:

Soltar el cordón del delantal «ágil».

Existe un malentendido según el cual las organizaciones deben elegir entre agilidad o DevOps, establecer un camino u otro y no mirar atrás nunca.

El problema es que el proceso de desarrollo funciona mejor cuando se considera e implementa como un todo. DevOps no es una reinvención del desarrollo ágil; por el contrario, es una extensión del desarrollo ágil. Cuando se espera que el proceso cambie, las cosas suelen salirse de control, ya sea de forma totalmente similar a la agilidad o totalmente diferente de ella.

Agile apoya el principio de equipos multifuncionales, reuniendo desde el principio a diseñadores, probadores y desarrolladores, y comprometiéndose a mantener abiertos los canales de comunicación durante todo el proyecto. El objetivo es poner fin a las entregas aisladas y reducir la duplicación de tareas, dos de las ventajas del proceso DevOps. Sin embargo, DevOps va más allá e integra sistemas, seguridad y operaciones para ofrecer un sólido conjunto de habilidades de extremo a extremo, con el objetivo final de entregar al cliente un software con todas las funciones.

En el inevitable proceso de transición hacia un enfoque más centrado en DevOps, puede reaparecer el riesgo de un desarrollo aislado. Por lo general, se puede hacer que el equipo ágil inicial trabaje en conjunto, mientras que el personal de seguridad y operaciones recién incorporado sigue buscando su lugar en el sistema informático; nadie sabe con certeza cómo incluirlos, qué deben hacer y cuáles son sus objetivos generales.

DevOps no puede funcionar sin objetivos claros, una incorporación multifuncional y una comunicación directa con todas las partes. Por supuesto, habrá un período de adaptación que requerirá una gestión cuidadosa del cambio, pero lograr que todos lleguen a un consenso sobre las mejoras que aporta la funcionalidad de DevOps es la mitad del camino hacia el éxito.

(Gracias a Dios), DevOps también está prestando cada vez más atención a las mejores prácticas de seguridad, incorporándolas como parte del proceso, desvelando el misterio que rodea a este paso y cerrando la brecha entre el equipo de seguridad y el resto. Como he dicho antes, aún nos queda un largo camino por recorrer para dotar a los desarrolladores de la capacidad de programar de forma segura desde el principio, pero la implementación exitosa del enfoque DevOps es una base excelente para fomentar las habilidades de seguridad dentro del equipo de desarrollo.

La automatización no lo es todo (ni es lo más seguro).

En cierta medida, otra característica del enfoque DevOps es la automatización del proceso de desarrollo de software. Los principios de integración continua y entrega continua (CI/CD) son la piedra angular de este concepto y, como se puede imaginar, dependen en gran medida de las herramientas. Las herramientas de

son excelentes, sin duda. Aportan una velocidad sin precedentes al proceso de entrega de software y gestionan de forma relativamente fluida el repositorio de código, las pruebas, el mantenimiento y los elementos de almacenamiento.

Sin embargo, aunque algún día los robots puedan quitarnos todos nuestros trabajos y encerrarnos, todavía no lo han hecho. La gran dependencia de las herramientas y la automatización abre la puerta a los errores. Es posible que los escaneos y las pruebas no detecten todo, que el código no se revise, lo que puede provocar grandes problemas de calidad (por no hablar de la seguridad). Los atacantes solo necesitan una puerta trasera para robar datos, y dejar de lado el factor humano en el control de calidad y seguridad puede tener consecuencias desastrosas.

El «punto de equilibrio» es una herramienta que garantiza el equilibrio entre las personas. La herramienta debe actuar como asistente de su equipo de confianza para alcanzar los objetivos del proyecto. Usted debe:

• Asignar tiempo suficiente para que las personas se familiaricen con la cadena de herramientas DevOps seleccionada.
• Centrarse en la colaboración eficaz (y en cómo las herramientas pueden facilitarla).
• Cubrir cualquier laguna en el proceso, ya sea en materia de habilidades/conocimientos o de herramientas.

En resumen, no basta con «animarse» y esperar obtener los mejores resultados.

DevOps no es una palabra de moda, sino una cultura. ¿Estás creciendo?

Incluso en el mejor de los casos, la gestión del cambio es difícil. El miedo a lo desconocido puede impedir que incluso los mejores miembros del equipo mejoren sus habilidades y amplíen sus horizontes.

Verás, decir simplemente «vamos a hacer DevOps» y hacer que el equipo de operaciones se mude de oficina no va a hacer que, por arte de magia, se produzca un proceso exitoso. Muchos se sentirán confundidos y los miembros del equipo con más antigüedad se sentirán descontentos. La comunicación esperada es fundamental, al igual que «ponerse en marcha». DevOps es tanto un método de desarrollo como un movimiento cultural, y el equipo debe vivirlo y respirarlo con una mentalidad colaborativa e interfuncional.

¿Cómo es una cultura DevOps excelente?

• Las personas tienen derecho a aportar sus conocimientos especializados al proceso, y no solo los líderes.
• Comunicación abierta, honesta y respetuosa entre los equipos.
• Todos son responsables de integrar la calidad y la seguridad en el objetivo general del proceso de desarrollo.
• Todos están de acuerdo con la definición de DevOps en la empresa, la hoja de ruta y el papel, contenido y motivos de cada persona.

Durante muchos años, he insistido en la importancia de crear una cultura de seguridad positiva en los equipos de desarrollo, y DevOps no es una excepción.

Las herramientas, los conocimientos y el apoyo adecuados son fundamentales para implementar las mejores prácticas de seguridad, reducir las vulnerabilidades detectadas y concienciar al equipo sobre la importancia de proteger los datos. Con DevOps, es necesario sentar las bases culturales para un cambio positivo: asegurarse de que todos comprendan su función, su valor y sus expectativas, así como los objetivos generales del proyecto y los pasos del proceso.

¿Lo tienes claro? Estupendo. Ahora, cambiemos el enfoque y mejoremos la seguridad para que DevSecOps se convierta en el plan definitivo para lograr un software excelente.

¡Aburrido, aburrido, aburrido! Esta es una de las principales respuestas que se escuchan de los desarrolladores cada vez que se menciona la formación en código seguro. En Secure Code Warriordebe haber una forma mejor de hacerlo, por lo que nos hemos asociado con Evans Data Corp. para realizar un estudio preliminar sobre la actitud de los desarrolladores hacia la codificación segura, las prácticas de código seguro y las operaciones seguras (descargue su copia del informe técnico). Aquí).

En la próxima versión , Pasando de la reacción a la prevención: el cambiante panorama de la seguridad de las aplicaciones, se preguntó a los desarrolladores cuáles eran los principales problemas que encontraban en la formación actual sobre código seguro, y las respuestas fueron muy reveladoras.

La formación que decepciona a los desarrolladores

El 40 % de los desarrolladores encuestados considera que la programación segura se enseña de forma aislada. Otro 40 % opina que la formación es demasiado teórica, que no guarda relación con su trabajo y que no es lo suficientemente práctica. El 30 % cree que falta formación sobre los marcos de trabajo de los lenguajes que utilizan a diario. Esto es grave, ya que nos indica que la formación actual en programación segura carece de contexto y no guarda ninguna relación significativa con el trabajo diario de los desarrolladores.

Para muchos desarrolladores, el principal reto es mantenerse despiertos durante actividades tediosas e indiferentes que no son eficaces ni les motivan a dar prioridad a la seguridad.‍

La formación en un entorno aislado impide que los desarrolladores establezcan conexiones cognitivas entre el laboratorio y el mundo real.

Los desarrolladores esperan obtener tres cosas de la formación en código seguro:

1. La gran mayoría de los desarrolladores indican que desean una formación más práctica y más acorde con su trabajo diario.
2. El 65 % de los desarrolladores afirma necesitar más formación sobre vulnerabilidades específicas de lenguaje y las 10 principales vulnerabilidades de OWASP.
3. El 75 % de los desarrolladores encuestados prefiere la formación estructurada en el puesto de trabajo.

Formación para mejorar las capacidades de los desarrolladores

En lo que respecta a la formación en el puesto de trabajo, los desarrolladores aportan un cierto nivel de experiencia y conocimientos previos. Esto indica la necesidad de un aprendizaje «andamiaje». Se trata de una formación estructurada (o andamiaje) diseñada para construir sobre la base de lo que los desarrolladores ya saben. La educación andamiaje activa y refuerza cualquier experiencia previa, al tiempo que continúa desarrollando nuevas habilidades de forma gradual. Esto la convierte en un medio perfecto para el aprendizaje en el puesto de trabajo.

Enseñar habilidades de perseverancia

En lo que respecta a la formación en seguridad para desarrolladores, sabemos que estos prefieren aprender sobre la marcha, en lugar de realizar tareas tediosas basadas en el aprendizaje teórico estático. En este sentido, es fundamental aprender a programar de forma segura en un contexto altamente relevante. Como defensores del cambio en la codificación segura,Secure Code Warrior ofrece formación práctica y contextualizada en los lenguajes de programación y marcos relevantes, con retos que imitan los que se enfrentan los desarrolladores en el mundo real. El contenido de aprendizaje incluye más de 5500 retos y tareas que abarcan más de 147 tipos diferentes de vulnerabilidades, entre las que se incluyen las 10 principales de OWASP, las 10 principales de OWASP Mobile, las 10 principales de OWASP API Security y las 25 principales de CWE/SANS.

Si desea conocer el impacto potencial en su equipo y su capacidad para entregar código seguro más rápidamente, reserve una demostración ahora mismo.

En todo el mundo, las empresas están experimentando una transformación. Debido al gran interés que despierta el negocio digital, se puede afirmar con justicia que la mayoría de las organizaciones son, en realidad, empresas de software. Las grandes empresas cuentan con enormes equipos de desarrollo entre sus empleados, cuya misión es desarrollar e implementar funciones de forma continua en entornos DevOps ágiles. La entrega de estas funciones debe seguir el ritmo de la innovación y las expectativas de los clientes, por lo que la seguridad suele considerarse un obstáculo en lugar de una necesidad.Sin embargo, dado que nuestra dependencia del software ha alcanzado niveles históricos (con las consiguientes vulnerabilidades y riesgos potenciales para la ciberseguridad), esta situación no puede prolongarse.

El equipo de seguridad no ha crecido, y aunque pudiera hacerlo, la demanda de conocimientos especializados supera la oferta. Una proporción de más de 1:100 es claramente insuficiente; no se puede considerar que los expertos en seguridad especializados sean la única solución para hacer frente a las amenazas cibernéticas.

Nuestro seminario web, moderado por Stephen Allor, director de Security Code Warriors (América), y Lars Wolf, director de ciberseguridad de Capital One, profundizó en los retos actuales de DevOps y en las medidas que están tomando instituciones financieras como Capital One para atraer a equipos de desarrollo y mejorar sus habilidades de codificación segura, fomentar eficazmente una cultura de seguridad proactiva y lograr con éxito el «movimiento hacia la izquierda».

Descubrirás que:

• Si eres víctima de un «agujero negro» en materia de conocimientos sobre seguridad.
• ¿Por qué la seguridad era más sólida hace décadas que en la actualidad?
• La actitud tradicional de considerar la seguridad de las aplicaciones (AppSec) como una simple «casilla de verificación» de cumplimiento normativo, y por qué esto es, en el mejor de los casos, superficial.
• La evaluación de la calidad de las aplicaciones debe incluir la seguridad como parte de las pruebas de referencia; las aplicaciones inseguras no pueden considerarse de alta calidad, independientemente de su diseño o funcionalidad.
• ¿Por qué la industria aún no ha incorporado la seguridad del software en la mentalidad y la cultura de los desarrolladores comunes (y por qué esto debe cambiar)?
• ¿Cómo la falta de habilidades compartidas en materia de codificación segura hace que las mismas vulnerabilidades aparezcan una y otra vez?
• ¿Por qué las herramientas de análisis de aplicaciones no detectan todas las vulnerabilidades y por qué es una estrategia más viable evitar estas vulnerabilidades mediante el uso de ingenieros/desarrolladores de seguridad debidamente formados?
• El problema del aumento constante de las vulnerabilidades de software y sus causas fundamentales
• ¿Por qué es necesario cambiar el método, en lugar de a los estudiantes, para reducir realmente el riesgo?
• ¿Por qué la mayoría de la formación en seguridad no aprovecha las ventajas de los desarrolladores y qué formación necesitan para destacar?
• Las razones por las que la conformidad y el establecimiento de expectativas en ingeniería de software se han quedado atrás con respecto a otras ramas de la ingeniería, y cómo podemos crear soluciones.
• Cómo Lars Wolf y su equipo de Capital One diseñaron un programa de certificación en torno a una divertida formación gamificada para mantener la participación de los desarrolladores, aprender código fuente del mundo real y alcanzar los estándares de las mejores prácticas de seguridad.
• ¿Cómo promueve este programa de certificación la participación, la retención de información y el aprendizaje continuo?
• ¿Cómo ayudan las medidas de incentivo a los desarrolladores a completar los niveles de formación, mejorar rápidamente sus habilidades y cumplir con las políticas de seguridad clave?
• Evaluación de cómo ayudar a identificar a los defensores de la seguridad y mejorar la participación en la formación.

Vea nuestro seminario web ahora mismo ydescubra las ventajas de moverse hacia la izquierda, proporcionando a los desarrolladores herramientas y conocimientos para la codificación segura desde el principio, con especial atención a las prácticas de seguridad proactivas.

Comprender qué medidas están tomando instituciones financieras como Capital One para atraer a equipos de desarrollo y mejorar sus habilidades de codificación segura, fomentar eficazmente una cultura de seguridad proactiva y lograr con éxito el «movimiento hacia la izquierda».

El aumento del número de ciberataques y su mayor complejidad han impulsado cambios en todos los ámbitos y sectores a nivel mundial. Todo el mundo está intentando «moverse hacia la izquierda», es decir, incorporar la seguridad lo antes posible en todos los procesos y procedimientos. Esta situación ha dado lugar incluso a nuevos movimientos destinados a mejorar la defensa cibernética , como DevSecOps, enlos quela seguridad se ha integrado en la estructura de creación de nuevo software y aplicaciones.

Muchos de estos cambios recaen sobre la comunidad de desarrolladores. Dado que son ellos quienes crean, escriben y programan el nuevo software y las nuevas aplicaciones, parece una buena idea pedirles que adopten prácticas de codificación más seguras. Al fin y al cabo, no se puede ir más allá de lo que se hizo al crear por primera vez una nueva aplicación.

¿Pero qué piensa la comunidad de desarrolladores sobre esta responsabilidad? Tradicionalmente, los desarrolladores han sido evaluados casi exclusivamente en función de su velocidad de programación. ¿Cómo ven ahora su nuevo papel como defensores de la seguridad? ¿Creen que la dirección de la empresa respalda estos esfuerzos con formación de alta calidad, mayores incentivos y el reconocimiento que merecen por asumir esta nueva responsabilidad fundamental?

Por segundo año consecutivo, hemos colaborado con Evans Data Corp. para realizar una encuesta exhaustiva a la comunidad global de desarrolladores sobre sus habilidades, conocimientos y comportamientos en materia de prácticas de codificación segura, así como sobre su percepción de la influencia y la relevancia de estas prácticas en el ciclo de vida del desarrollo de software (SDLC). Los resultados han sido sorprendentes en muchos aspectos.

《Encuesta sobre la seguridad impulsada por los desarrolladores en 2022》

Evans Data Corp realizó en diciembre de 2021 una encuesta sobre la situación de la seguridad impulsada por los desarrolladores, titulada «Security Code Warriors» (Guerreros del código seguro). Se preguntó a 1200 desarrolladores de software activos que trabajan en la región Asia-Pacífico, Europa y Norteamérica sobre cuestiones relacionadas con la codificación de software, la concienciación sobre la seguridad,formación, apoyo, motivación y otras cuestiones. La encuesta se realizó en inglés y se tradujo cuando fue necesario para obtener una perspectiva global precisa. Entre los encuestados se encontraban desarrolladores que están creando nuevas aplicaciones y gerentes dentro de la comunidad de desarrolladores.

Algunos descubrimientos sorprendentes

El informe técnico detallado (Desafíos (y oportunidades) para mejorar la seguridad del software) y el informe (Estado de la seguridad impulsada por los desarrolladores en 2022) profundizan en todos los aspectos de la encuesta y se publicarán el lunes 11 de abril.El informe técnico incluye nuestro análisis de los resultados de la encuesta y las preocupaciones de la comunidad sobre las prácticas de codificación segura, y ofrece recomendaciones a las organizaciones para que sus equipos de desarrollo mejoren la seguridad del software.

Algunos de estos retos pueden plantear interrogantes a cualquiera que trabaje con desarrolladores en una organización, así como a los miembros de la comunidad de desarrolladores, y de hecho lo hacen.

Por ejemplo, solo el 14 % de los encuestados considera que la seguridad de las aplicaciones es una prioridad absoluta. Por el contrario, siguen dando prioridad general a indicadores más tradicionales, como el rendimiento de las aplicaciones y la prioridad de las características y funciones.

La prioridad de la seguridad es tan baja que el 67 % de los desarrolladores encuestados admite que a menudo deja vulnerabilidades y fallos conocidos en el código. Lo hacen porque los plazos son muy ajustados y dan prioridad a la funcionalidad sobre la seguridad, o porque carecen de la formación o los conocimientos necesarios para solucionar los problemas de seguridad.

En muchos casos, los desarrolladores afirman que sus organizaciones no definen qué constituye un código seguro y tampoco proporcionan la formación o el apoyo suficientes para cambiar esta situación.

Sin embargo, a pesar de algunos hallazgos negativos, es evidente que las actitudes están cambiando. La gran mayoría de los desarrolladores (66 %) prevé que la seguridad se convertirá en una prioridad más importante en los próximos 12 a 18 meses, mientras que el 82 % de los responsables de contratación que participaron en la encuesta manifestaron su interés en contratar desarrolladores con conocimientos de seguridad, en lugar de desarrolladores sin conocimientos de seguridad.

Aunque los resultados de la encuesta muestran claramente que la comunidad de desarrolladores y las organizaciones que colaboran con ellos se enfrentan a cambios significativos, afortunadamente se están elaborando rápidamente planes a corto y largo plazo.

Estén atentos al informe técnico y al informe que detallan los resultados completos de la investigación, así como a los comentarios de los expertos sobre los retos a los que se enfrentan las prácticas actuales de codificación segura y las oportunidades que pueden aprovechar las organizaciones para mejorar las habilidades de seguridad de los desarrolladores e incluso la seguridad del software.

Venga a ver los guerreros del código de seguridad La página del blog ofrece más información sobre la ciberseguridad y el panorama cada vez más peligroso de las amenazas, y explica cómo utilizar tecnologías innovadoras y formación para proteger mejor a su organización y a sus clientes.

‍

En los últimos años, se han sacrificado muchas cosas en aras de una rápida comercialización, como la ciberseguridad, terabytes de datos confidenciales de clientes y la inestimable reputación de la marca. La enorme presión para acelerar el lanzamiento de nuevas características y funciones ha llevado a equipos complejos y dispersos a centrarse en el desarrollo rápido, sin saber mucho sobre las vulnerabilidades o los enormes riesgos que pueden causar. Ahora más que nunca, se necesita una nueva forma de trabajar. Por eso, en 2020, Secure Code Warrior se asoció con Evans Data Corporation para realizar un estudio preliminar* sobre la actitud de los desarrolladores y sus gerentes hacia la codificación segura, las prácticas de código seguro y las operaciones seguras (descargue su copia del informe técnico). Aquí).

Indicadores de rendimiento para el éxito del proyecto: ¿dónde está la seguridad?

Los desarrolladores y gerentes consideran que tener un código seguro es importante, pero no tan importante como otros factores. Cuando preguntamos a los desarrolladores y gerentes cuáles son las prioridades más importantes en el proceso de desarrollo de software:

• 76 % de rendimiento de la aplicación de nominación
• El 62 % eligió características y funciones.
• También hay un código de seguridad seleccionado ligeramente superior al 50 %.
  

En comparación con otros indicadores de rendimiento que miden el éxito de los proyectos, la codificación segura solo ocupa actualmente el tercer lugar.

En la actualidad (quizás no sea sorprendente), los desarrolladores juzgan el éxito de un proyecto basándose en indicadores de rendimiento, que solo pueden evaluarse una vez finalizado el proyecto.

Sin embargo, cuando se les preguntó cómo cambiaría el futuro, la situación dio un giro radical. La forma en que las organizaciones utilizan la seguridad como criterio para medir el éxito está cambiando. La codificación segura se ha convertido en una prioridad.

Cuando se les preguntó por la prioridad más importante para medir el éxito de los proyectos futuros, el 79 % de los encuestados consideró que la importancia de la codificación segura aumentará. Sorprendentemente, un porcentaje mayor que el de cualquier otro indicador de rendimiento consideró que la seguridad cobrará mayor importancia en el futuro. La concienciación sobre la codificación segura está aumentando, al igual que el movimiento «movimiento hacia la izquierda». En esencia, la práctica de la codificación segura significa tener en cuenta la seguridad desde las primeras fases del ciclo de vida del desarrollo de software (SDLC).Esto significa construir activamente la seguridad en el software desde el principio, en lugar de dejarla para más adelante.

A medida que los directores de informática se esfuerzan por mejorar la flexibilidad de las organizaciones, la capacidad de codificación segura se convertirá en un importante arma innovadora. Los directores de informática y los directores de seguridad de la información deben considerar cuidadosamente si sus equipos de desarrollo son la primera línea de riesgo o la primera línea de defensa.

Esta perspectiva tiene un impacto crucial en cómo las organizaciones forman a los desarrolladores. Los equipos necesitan conocer las vulnerabilidades recientemente descubiertas y aprender sobre ellas utilizando su propio lenguaje y marco de trabajo. En resumen, necesitan saber cómo localizar, identificar y corregir vulnerabilidades conocidas en el código en su entorno de trabajo diario.

Como impulsor del cambio en la codificación segura, Secure Code Warrior adopta un enfoque centrado en las personas para animar a los desarrolladores a aprender y desarrollar sus habilidades de codificación segura. Si desea conocer el impacto potencial en la capacidad de su equipo para iniciar a la izquierda y entregar código seguro más rápidamente sin comprometer la seguridad, reserve una demostración hoy mismo.

‍

*De la reacción a la prevención: cambios en el panorama de la seguridad de las aplicaciones. Security Code Warriors y Evans Data Corporation, 2020.