Nuestro contenido está cuidadosamente diseñado para cualquier rol en el ciclo de vida del desarrollo de software. Secure Code Warrior cree que todas las personas involucradas en el desarrollo de software tienen la responsabilidad de garantizar que el software se cree y se implemente correctamente. Por lo tanto, ofrecemos una serie de contenidos para los siguientes roles, desde la introducción al tema hasta ejercicios prácticos avanzados:

Secure Code Warrior una serie de contenidos Secure Code Warrior todos los roles Secure Code Warrior el ciclo de vida del desarrollo de software, desde temas de concienciación hasta ejercicios prácticos avanzados. Creemos que todas las personas involucradas en el desarrollo de software desempeñan un papel en la creación y el despliegue seguros del software. Nuestros contenidos están cuidadosamente diseñados para los distintos roles.

• Desarrolladores de software: programadores de IA/Vibe, ingenieros front-end, back-end, API, móviles, Android/iOS, ingenieros de sistemas integrados y del sector automovilístico.
• Profesionales técnicos: DevOps, administradores de sistemas, ingenieros de nube, arquitectos, ingenieros/gerentes/evaluadores de control de calidad.
• Dirección y otros: director de proyectos, director de producto/director de proyectos/analista de negocios, científico de datos/analista/ingeniero.

Secure Code Warrior ejercicios prácticos específicos para determinados lenguajes de programación y marcos de trabajo, de modo que los desarrolladores puedan aplicar estas habilidades en su trabajo diario. Admitimos más de 65 lenguajes de programación/marcos de trabajo y 10 000 actividades prácticas.

¿Quiere dominar el top 10 de OWASP? Descargue la guía No-BS para proteger su aplicación contra el top 10 de OWASP: 2025.

Los diez fallos de seguridad más comunes son imposibles de cometer para desarrolladores con habilidades de seguridad y altamente cualificados como usted. Este libro electrónico gratuito es la guía definitiva para conocer cada uno de los infames participantes del OWASP Top 10 de 2025 y cómo funciona cada error.

Comprenderás por qué son tan peligrosas y, lo que es más importante, cómo eliminarlas de forma permanente de tu software. Como ventaja adicional, esta guía proporciona enlaces a módulos de aprendizaje en vídeo orientativos para ayudarte a desarrollar tus habilidades.

¿Sabrás...?

• Aprenda a identificar y corregir errores comunes, como defectos de inyección y errores de tipo, fallos en el control de acceso.
• Obtener nuevas perspectivas y aprender de forma práctica sobre temas nuevos, como los fallos en la cadena de suministro de software y el manejo inadecuado de condiciones anómalas.
• Descubra por qué la codificación segura y la atención a la calidad del código son medidas de defensa eficaces para reducir el riesgo de vulnerabilidades y ataques cibernéticos.

¿Estás listo para conquistar el próximo reto de programación segura?

IAG集团是亚太地区许多领先保险公司的幕后黑手，每年为数百万客户承保约114亿澳元的保费。比安卡·沃思是IAG集团的企业安全教育和宣传经理。她高度意识到开发团队内部需要严格的安全意识和实践，因此着手创造一个真正创新的最佳环境，让团队可以在其中学习重要的安全编码技术。

输入：密码游戏

Desafío

开发人员往往时间紧张，有多个可交付成果和项目正在进行中。但是，保持最新的安全最佳实践对任何组织都至关重要，更不用说拥有数百万个敏感客户数据档案以防止黑客攻击的组织了。比安卡和她的团队在加强网络安全举措的道路上设定了明确的目标。他们确定最小化INIAG开发的应用程序的攻击面积是当务之急，他们将通过教育开发人员识别和修复关键和高风险漏洞来实现这一目标。漫长的安全编码培训课程固然存在，但它们可能很费力、乏味，而且会让关键员工离开交付时间表严格的开发项目，这给整个企业带来了压力。显而易见，需要快速提高开发团队的技能，同时尽量减少对工作量和运营的影响。而且，由于澳大利亚和新西兰的开发人员都在开发不一定相同的系统，这不是一件容易的事。

“今年，我对源代码进行了更改，删除了SQL注入漏洞。因为他们意识到了这一点，所以我把功劳归功于《密码游戏》。即使仅将安全编码放在首位也是有帮助的。竞争是推动人们尽力而为的好方法... 因为让我们面对现实吧，安全并不是每个人最愉快的话题，因此这是让人们参与的好方法。” R，IAG 开发人员

实施情况

Bianca制定了推出游戏化培训体验的策略，与她的团队和安全代码勇士合作实施了锦标赛和培训，以提高其内部开发人员的技能。为此，必须制定健全的沟通策略，并迎合员工在采用全新平台并充分发挥其潜力时所具有的不同动机和个性：

“我们设计了一项沟通计划，包括我们将如何向员工和主要利益相关者传达需要知道的要点、关键信息以及我们给予他们回应的激励措施。大多数人真的很喜欢游戏化体验。这只取决于他们的个性、动机以及驱动他们的动力。因此，这就是为什么我们努力为人们提供完全不同的动机。对于一些人来说，他们喜欢奖品，对于另一些人来说，成就方面本身就足够了，” 她说

Bianca和IAG专业地展示了Secure Code Warrior的游戏化学习平台，将他们的锦标赛转变为一种被誉为 “编程游戏” 的有趣竞赛体验，工作人员被安置在中世纪主题房屋（配有品牌玩家商品）中，进行一场名副其实的HBO同名战斗。

本次锦标赛甚至已经登上了国际舞台，即将举行的澳大利亚对阵新西兰的比赛即将开始。这使IAG有机会确定两国领先的安全支持者，并确保团队共同提高技能。

Resultado

实际上，《守则游戏》是一项专门的培训计划。它以互动式趣味锦标赛的形式推出，确保了工作人员以各种方式保持参与，但该练习的核心实用性仍然是：为开发人员提供识别和阻止IAG开发的应用程序中高风险漏洞所需的技能。

通过确保开发人员和安全团队都以安全为先的思维进行工作，并从一开始就做好准备，不仅能识别漏洞，还能修复漏洞，IAG预计，昂贵的渗透测试活动将减少，开展渗透测试的团队承受的压力。

除了这种至关重要的能力不断发展之外，Game of Codes还有助于建立关系，在参与的团队之间注入了友情感和友好的竞争力，同时也帮助个人在得分锦标赛环境中对自己的安全编码能力感到更加自信。

比安卡表示，内部对该计划的支持是巨大的，并受到了行政部门的积极欢迎。这也促成了一项大使计划，热衷于推广该计划和捍卫组织内部安全的个人可以参与其中：

“对于一些开发人员来说，这是一个很好的曝光率，也是他们技能的极好提升。他们在自己的工作中也从中受益，这一点很重要。”

Game of Codes 不是 “只是一场游戏”，也不是仅仅是部门经理完成合规培训的一种更愉快的方式，它提供了一种留存率高、引人入胜的解决方案，可以将安全新手快速转变为安全捍卫者，这对于最大限度地降低大规模漏洞的风险至关重要。

还有来自比安卡本人的终极建议：

“如果你推出任何程序并期望人们只使用它，那就行不通了。你需要围绕它设计一个计划，在那里你可以启动和激励行为的改变。我们构建的本质上是一个以安全为重点的开发人员变更管理计划。”

“在完成了 Game of Codes 的培训课程后，我发现自己对安全性更感兴趣，在创建自动化测试时更会考虑安全性。我是敏捷团队的高级测试员，这些培训课程激发了我更多地学习安全测试的知识，并将其视为一种可能的专业领域。” A、IAG 高级测试员

事实速览

• 除了游戏化学习外，IAG还使用Secure Code Warrior作为开发人员招聘中的技能测试工具。
• 他们正在将该计划推广到其开发团队的100％，其中55％的人已经活跃在系统中。
• 他们制定了一套关键的内部指标，使他们能够衡量该计划在一段时间内在最大限度地降低风险和降低成本方面的成功。
  ‍

你应该更多地包括开发者的内容、时间和原因。

‍

Antecedentes

El Grupo Thales es una multinacional francesa que diseña, desarrolla y fabrica sistemas eléctricos, equipos y dispositivos para los sectores aeroespacial, de defensa, transporte y seguridad. Viswanath S. Chirravuri es director técnico de seguridad de software en Thales.Viswanath, también conocido como Vis, comenzó su carrera profesional como programador. Ahora es responsable sénior de seguridad en Thales, cuenta con más de 18 años de experiencia en el sector de la seguridad y posee más de 30 certificaciones, entre las que se incluyen CISSP, PMP y GSE. Ha formado a más de 3000 profesionales del software en más de 18 países.Además, Vis ha ganado más de 10 medallas SANS en competiciones internacionales de ciberseguridad, como Netwars, y es miembro activo del consejo asesor de GIAC. Hablamos con Vis para saber cómo coordina a las personas, los procesos y la tecnología para desarrollar con éxito el programa de aprendizaje de código seguro de Thales.

situación

Cuando Vis comenzó a trabajar en Thales, orientó a los distintos departamentos de negocio a investigar el origen de las vulnerabilidades detectadas mediante pruebas escritas, como posible solución para reducir la acumulación de deuda tecnológica. El equipo de seguridad de aplicaciones utilizó siete proveedores diferentes con los que colaboraban para consolidar su postura de seguridad, desde herramientas IAST/DAST hasta herramientas de pruebas escritas. Vis quería conocer las tendencias del mercado y gestionar las amenazas de forma escalable, desarrollando estrategias de mitigación mediante una sólida integración entre procesos y tecnología.Esto significaba pasar de un enfoque puramente basado en herramientas a una estrategia con un fuerte componente de aprendizaje. Se dio cuenta de que muchos desarrolladores no tenían experiencia ni conocimientos en materia de seguridad. Su enfoque inicial consistió en impartir formación presencial a los desarrolladores sobre temas como el Top 10 de OWASP, pero pronto se dio cuenta de que esta formación no podía ampliarse debido a todos los viajes que requería la enseñanza presencial y a la necesidad de llegar a miles de desarrolladores en todo el mundo. Vis señala:

«La relación entre seguridad y desarrollo siempre es desequilibrada. Incluso si mi ratio de seguridad y desarrollo fuera de 1:1, no podría mantenerlos involucrados todo el tiempo. Mantener a nuestros desarrolladores al día sobre nuevos vectores de ataque, mejores prácticas, nuevos lenguajes y vulnerabilidades recién descubiertas significa que necesitamos promover el autoaprendizaje de los desarrolladores para que puedan avanzar a su propio ritmo. Si necesitan ayuda, puedo ayudarlos, pero soy consciente de que no puedo ser quien les enseñe cómo corregir cada vulnerabilidad que descubren».

Al principio, el director de desarrollo se dio cuenta de que había muchos desarrolladores que partían de cero, por lo que se oponía al tiempo que estos debían dedicar al aprendizaje de código seguro. Vis necesitaba controlar la idea de que comprometerse con el aprendizaje de código seguro podría interferir en el ciclo de lanzamiento del software o ralentizar el ritmo de los sprints de tareas críticas. Necesitaba encontrar una forma de motivar adecuadamente a la organización para que dedicara tiempo al aprendizaje ágil de código seguro. Vis adoptó un enfoque centrado en las personas para abordar las vulnerabilidades desde la raíz. «La gente suele decir que la seguridad ocupa tiempo de desarrollo. Para mí, si desarrollas algo que no es seguro, estás perdiendo el tiempo desde el principio. Siempre debes desarrollar software seguro, lo que te ahorrará tiempo en corregir vulnerabilidades que se podrían haber evitado fácilmente. Todos debemos tener un objetivo común: publicar código fiable».

Acción

Vis tiene dos objetivos principales: proteger su software y aumentar la concienciación sobre seguridad del equipo de desarrollo de Thales. Era fundamental implementar un programa que permitiera a los desarrolladores formarse de forma independiente y a su propio ritmo. La estrategia de Vis consistía en crear una comunidad de seguridad a lo largo del tiempo, esforzándose por vincular la codificación segura con las políticas de la empresa y estableciendo requisitos de aprendizaje de código seguro en la organización. Al fomentar una cultura comunitaria que conectara a desarrolladores, testers, arquitectos e ingenieros, vio cómo se multiplicaba el efecto motivador.El surgimiento de defensores de la seguridad apasionados por este tema, como parte de su trabajo diario, ayuda a difundir el conocimiento sobre las prácticas de codificación segura en toda la organización. Vis evaluó a más de una docena de proveedores de formación en seguridad y se convirtió en cliente de SCW en 2019. Para Thales, era una gran ventaja que el proveedor pudiera cubrir todos los lenguajes de programación y marcos de su entorno, en lugar de ofrecer soluciones fragmentadas.Vis se basa en Secure Code Warrior para ofrecer formación y oportunidades de aprendizaje a su propio ritmo a los desarrolladores de su programa de seguridad:

«El Top 10 de OWASP no es solo las diez cosas que necesitas saber. La profundidad y diversidad de las vulnerabilidades que abarca OWASP, junto con la gran cantidad de lenguajes de programación, pueden resultar abrumadoras. Los amplios retos y la cobertura de estos temas fueron factores clave para elegir SCW. Siempre están añadiendo cosas nuevas. La profundidad, la diversidad de temas, el contenido actualizado y el enfoque en los principios de diseño de código seguro realmente hacen que SCW sea diferente. Con ellos, no se trata de una formación puntual,sino que nos brinda la oportunidad de crear un programa continuo».

Vis y su equipo diseñaron el lanzamiento de cuatro niveles del programa de aprendizaje de código seguro, cada uno con diferentes hitos para cada puesto de ingeniería:

Es importante destacar que SCW se ha convertido en una fuente fiable para la corrección de vulnerabilidades. Vis no depende de búsquedas en Google que pueden llevarte a realizar tareas de resolución de problemas, sino que publica guías del equipo AppSec y del repositorio de contenido de SCW, de modo que los desarrolladores puedan consultar fuentes fiables y auténticas para corregir las vulnerabilidades del código. Según Vis:

«Los desarrolladores no deben decidir libremente cómo corregir las vulnerabilidades, ni deben introducir nuevas vulnerabilidades en el proceso. Integramos los vídeos de SCW en nuestro LMS a través de la integración SCORM de SCW para garantizar que los desarrolladores aprendan a corregir las vulnerabilidades de la manera correcta. Esto también nos proporciona una forma de garantizar que los desarrolladores que entregan software seguro obtengan reconocimiento. Les exigimos que alcancen un cierto nivel de codificación segura, y podemos hacer un seguimiento de ello a través de las vulnerabilidades que resuelven y no vuelven a introducir.De esta manera, el arduo trabajo que realizan es reconocido y valorado por la empresa».

Resultado

Vis y su equipo publican cada mes un boletín informativo sobre código de seguridad en el que reconocen a los mejores alumnos de la empresa. Utilizan SCW para consultar las puntuaciones de las evaluaciones, la participación en los torneos y los retos para ampliar los logros. Esto también motiva a otros desarrolladores a aprender. Los indicadores clave de rendimiento que estableció inicialmente se centraban en reducir el número total de vulnerabilidades en dos años. Tras la implementación de SCW, observó que la línea de tendencia descendía. Estas vulnerabilidades no se reintroducen a nivel de código fuente.Vis lo explica así:

«Los indicadores clave de rendimiento que presentamos a la dirección reflejan las decisiones acertadas que tomamos. Nos enorgullecemos de nuestra formación en códigos de seguridad, que genera confianza comercial en nuestros clientes. Somos reconocidos por nuestro completo programa de formación en códigos de seguridad y gozamos del respeto de nuestros clientes y compañeros. Cuando se cuenta con un programa así, se añade mucho valor a la empresa».

Puntos clave

Vis reconoce que el personal, los procesos y la tecnología pueden desempeñar un papel importante en cualquier plan de seguridad. Al centrarse en la seguridad del software, los conocimientos de los desarrolladores y los requisitos de cumplimiento, se puede integrar el aprendizaje ágil en los programas de código seguro, lo que reduce las vulnerabilidades del código fuente con el tiempo. Vis ofrece estas recomendaciones a los profesionales del sector con el fin de fomentar las habilidades de seguridad entre los equipos de desarrolladores.