Establecer un enfoque coherente para la seguridad dirigida por los desarrolladores
En respuesta a las principales brechas de seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18 000 usuarios del popular software de gestión Orion, incluidas muchas de las principales empresas y agencias gubernamentales, hay un creciente impulso en favor de iniciativas de seguridad más eficaces dirigidas por los desarrolladores. Las organizaciones de todos los tamaños están empezando a cuestionar su «cadena de suministro de software» y exigen que los desarrolladores que crean su software posean conocimientos y aptitudes comprobados en materia de seguridad.
Incluso el gobierno de los Estados Unidos pide mejores prácticas de seguridad dirigidas por los desarrolladores y un fortalecimiento de la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva para mejorar la ciberseguridad de la nación emitida por el presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a una fase más temprana del ciclo de vida del desarrollo de software (SDLC) mediante programas y movimientos como DevSecOps. Y, en una encuesta reciente, la comunidad de desarrolladores dijo que valoraba la formación en seguridad que había recibido para respaldar ese esfuerzo.
Vulnerabilidades de siguen siendo explotados, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que escribir código de calidad era una de las principales prioridades de la comunidad de desarrollo. Sin embargo, la encuesta también identificó varios motivos por los que la formación que se imparte a los desarrolladores, si bien se considera valiosa, no cumple con creces el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de recibir la formación que se les impartió, todavía no sabía cómo identificar o corregir las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de capacitación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más capacitación.
Está claro que la comunidad de desarrolladores valora la formación que reciben. Sin embargo, cuando se les preguntó acerca de las barreras para la adopción de prácticas de codificación seguras, la razón principal fue la falta de tiempo, seguida de una quinta parte de los encuestados que citaron la falta de un enfoque coherente como la culpable. La formación se consideró más como un evento puntual que como parte de un esfuerzo estratégico continuo para incorporar la seguridad en los flujos de trabajo de los desarrolladores y utilizarla a diario.
Por lo tanto, los desarrolladores no pueden desarrollar y conservar habilidades de codificación seguras como parte de un programa coherente y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es particularmente eficaz ni exhaustiva, dado que muchos desarrolladores afirman que todavía no pueden identificar y corregir las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 92% (50%) dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para solucionar la situación?
Es interesante que la abrumadora mayoría de los desarrolladores dijeran que necesitaban más formación en seguridad. Y si bien valoraron la formación que recibieron, esa podría ser una situación en la que simplemente estén satisfechos con lo que puedan obtener.
Cuando se les pidió que comentaran sobre las formas de mejorar su formación, empezaron a salir a la luz sus ideas reales sobre el tema. En general, la mayor parte de la formación que recibieron los desarrolladores fue limitada, no interactiva, solo se centró parcialmente en sus responsabilidades laborales y no formó parte de un plan general o continuo para ayudar a mejorar las habilidades y el conocimiento de la seguridad de su organización. Según los desarrolladores encuestados, si las organizaciones desean mejorar la eficacia de la formación que se ofrece, debe presentarse como parte de un enfoque integral para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían solicitudes específicas para que su formación fuera más valiosa. Una de las sugerencias más populares fue incluir más casos de uso y ejemplos prácticos de situaciones a las que podían enfrentarse desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que, con el tiempo, la educación cubriera escenarios cada vez más complejos o difíciles, una medida que probablemente también requeriría un enfoque más coherente y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades. Los desarrolladores también destacaron la necesidad de una mayor interactividad y, tal vez, incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios simplemente ven un vídeo o escuchan una conferencia sin la oportunidad de aprender de forma práctica y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil, como la codificación segura.
Los desarrolladores también hicieron hincapié en la necesidad de una mayor interactividad y tal vez incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad coherente?
La capacitación es, por supuesto, fundamental cuando se trata de mejorar la conciencia y las habilidades de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Sin embargo, un enfoque verdaderamente cohesivo para mejorar la conciencia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores. Por ejemplo, tradicionalmente se evaluaba a los desarrolladores en función de la rapidez con la que podían programar. Sin embargo, un enfoque coherente de la seguridad puede implicar cambiar esas métricas y valores de larga data. Por el contrario, las evaluaciones podrían desviar el énfasis de recompensar la velocidad bruta y, en su lugar, recompensar a los desarrolladores que pueden crear código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría involucrar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarte a exigir la seguridad a los desarrolladores, considera la posibilidad de crear o nombrar a expertos en seguridad de la comunidad. Se trata de desarrolladores talentosos y conscientes de la seguridad que destaquen por su formación o como parte de las nuevas evaluaciones centradas en las métricas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrolladores desde dentro.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores.
Para leer más
Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: cómo los campeones de la seguridad pueden ayudar a su equipo a lograr la victoria contra las vulnerabilidades en fase avanzada
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
En respuesta a las principales brechas de seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18 000 usuarios del popular software de gestión Orion, incluidas muchas de las principales empresas y agencias gubernamentales, hay un creciente impulso en favor de iniciativas de seguridad más eficaces dirigidas por los desarrolladores. Las organizaciones de todos los tamaños están empezando a cuestionar su «cadena de suministro de software» y exigen que los desarrolladores que crean su software posean conocimientos y aptitudes comprobados en materia de seguridad.
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
En respuesta a las principales brechas de seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18 000 usuarios del popular software de gestión Orion, incluidas muchas de las principales empresas y agencias gubernamentales, hay un creciente impulso en favor de iniciativas de seguridad más eficaces dirigidas por los desarrolladores. Las organizaciones de todos los tamaños están empezando a cuestionar su «cadena de suministro de software» y exigen que los desarrolladores que crean su software posean conocimientos y aptitudes comprobados en materia de seguridad.
Incluso el gobierno de los Estados Unidos pide mejores prácticas de seguridad dirigidas por los desarrolladores y un fortalecimiento de la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva para mejorar la ciberseguridad de la nación emitida por el presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a una fase más temprana del ciclo de vida del desarrollo de software (SDLC) mediante programas y movimientos como DevSecOps. Y, en una encuesta reciente, la comunidad de desarrolladores dijo que valoraba la formación en seguridad que había recibido para respaldar ese esfuerzo.
Vulnerabilidades de siguen siendo explotados, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que escribir código de calidad era una de las principales prioridades de la comunidad de desarrollo. Sin embargo, la encuesta también identificó varios motivos por los que la formación que se imparte a los desarrolladores, si bien se considera valiosa, no cumple con creces el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de recibir la formación que se les impartió, todavía no sabía cómo identificar o corregir las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de capacitación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más capacitación.
Está claro que la comunidad de desarrolladores valora la formación que reciben. Sin embargo, cuando se les preguntó acerca de las barreras para la adopción de prácticas de codificación seguras, la razón principal fue la falta de tiempo, seguida de una quinta parte de los encuestados que citaron la falta de un enfoque coherente como la culpable. La formación se consideró más como un evento puntual que como parte de un esfuerzo estratégico continuo para incorporar la seguridad en los flujos de trabajo de los desarrolladores y utilizarla a diario.
Por lo tanto, los desarrolladores no pueden desarrollar y conservar habilidades de codificación seguras como parte de un programa coherente y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es particularmente eficaz ni exhaustiva, dado que muchos desarrolladores afirman que todavía no pueden identificar y corregir las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 92% (50%) dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para solucionar la situación?
Es interesante que la abrumadora mayoría de los desarrolladores dijeran que necesitaban más formación en seguridad. Y si bien valoraron la formación que recibieron, esa podría ser una situación en la que simplemente estén satisfechos con lo que puedan obtener.
Cuando se les pidió que comentaran sobre las formas de mejorar su formación, empezaron a salir a la luz sus ideas reales sobre el tema. En general, la mayor parte de la formación que recibieron los desarrolladores fue limitada, no interactiva, solo se centró parcialmente en sus responsabilidades laborales y no formó parte de un plan general o continuo para ayudar a mejorar las habilidades y el conocimiento de la seguridad de su organización. Según los desarrolladores encuestados, si las organizaciones desean mejorar la eficacia de la formación que se ofrece, debe presentarse como parte de un enfoque integral para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían solicitudes específicas para que su formación fuera más valiosa. Una de las sugerencias más populares fue incluir más casos de uso y ejemplos prácticos de situaciones a las que podían enfrentarse desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que, con el tiempo, la educación cubriera escenarios cada vez más complejos o difíciles, una medida que probablemente también requeriría un enfoque más coherente y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades. Los desarrolladores también destacaron la necesidad de una mayor interactividad y, tal vez, incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios simplemente ven un vídeo o escuchan una conferencia sin la oportunidad de aprender de forma práctica y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil, como la codificación segura.
Los desarrolladores también hicieron hincapié en la necesidad de una mayor interactividad y tal vez incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad coherente?
La capacitación es, por supuesto, fundamental cuando se trata de mejorar la conciencia y las habilidades de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Sin embargo, un enfoque verdaderamente cohesivo para mejorar la conciencia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores. Por ejemplo, tradicionalmente se evaluaba a los desarrolladores en función de la rapidez con la que podían programar. Sin embargo, un enfoque coherente de la seguridad puede implicar cambiar esas métricas y valores de larga data. Por el contrario, las evaluaciones podrían desviar el énfasis de recompensar la velocidad bruta y, en su lugar, recompensar a los desarrolladores que pueden crear código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría involucrar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarte a exigir la seguridad a los desarrolladores, considera la posibilidad de crear o nombrar a expertos en seguridad de la comunidad. Se trata de desarrolladores talentosos y conscientes de la seguridad que destaquen por su formación o como parte de las nuevas evaluaciones centradas en las métricas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrolladores desde dentro.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores.
Para leer más
Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: cómo los campeones de la seguridad pueden ayudar a su equipo a lograr la victoria contra las vulnerabilidades en fase avanzada
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
En respuesta a las principales brechas de seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18 000 usuarios del popular software de gestión Orion, incluidas muchas de las principales empresas y agencias gubernamentales, hay un creciente impulso en favor de iniciativas de seguridad más eficaces dirigidas por los desarrolladores. Las organizaciones de todos los tamaños están empezando a cuestionar su «cadena de suministro de software» y exigen que los desarrolladores que crean su software posean conocimientos y aptitudes comprobados en materia de seguridad.
Incluso el gobierno de los Estados Unidos pide mejores prácticas de seguridad dirigidas por los desarrolladores y un fortalecimiento de la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva para mejorar la ciberseguridad de la nación emitida por el presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a una fase más temprana del ciclo de vida del desarrollo de software (SDLC) mediante programas y movimientos como DevSecOps. Y, en una encuesta reciente, la comunidad de desarrolladores dijo que valoraba la formación en seguridad que había recibido para respaldar ese esfuerzo.
Vulnerabilidades de siguen siendo explotados, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que escribir código de calidad era una de las principales prioridades de la comunidad de desarrollo. Sin embargo, la encuesta también identificó varios motivos por los que la formación que se imparte a los desarrolladores, si bien se considera valiosa, no cumple con creces el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de recibir la formación que se les impartió, todavía no sabía cómo identificar o corregir las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de capacitación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más capacitación.
Está claro que la comunidad de desarrolladores valora la formación que reciben. Sin embargo, cuando se les preguntó acerca de las barreras para la adopción de prácticas de codificación seguras, la razón principal fue la falta de tiempo, seguida de una quinta parte de los encuestados que citaron la falta de un enfoque coherente como la culpable. La formación se consideró más como un evento puntual que como parte de un esfuerzo estratégico continuo para incorporar la seguridad en los flujos de trabajo de los desarrolladores y utilizarla a diario.
Por lo tanto, los desarrolladores no pueden desarrollar y conservar habilidades de codificación seguras como parte de un programa coherente y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es particularmente eficaz ni exhaustiva, dado que muchos desarrolladores afirman que todavía no pueden identificar y corregir las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 92% (50%) dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para solucionar la situación?
Es interesante que la abrumadora mayoría de los desarrolladores dijeran que necesitaban más formación en seguridad. Y si bien valoraron la formación que recibieron, esa podría ser una situación en la que simplemente estén satisfechos con lo que puedan obtener.
Cuando se les pidió que comentaran sobre las formas de mejorar su formación, empezaron a salir a la luz sus ideas reales sobre el tema. En general, la mayor parte de la formación que recibieron los desarrolladores fue limitada, no interactiva, solo se centró parcialmente en sus responsabilidades laborales y no formó parte de un plan general o continuo para ayudar a mejorar las habilidades y el conocimiento de la seguridad de su organización. Según los desarrolladores encuestados, si las organizaciones desean mejorar la eficacia de la formación que se ofrece, debe presentarse como parte de un enfoque integral para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían solicitudes específicas para que su formación fuera más valiosa. Una de las sugerencias más populares fue incluir más casos de uso y ejemplos prácticos de situaciones a las que podían enfrentarse desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que, con el tiempo, la educación cubriera escenarios cada vez más complejos o difíciles, una medida que probablemente también requeriría un enfoque más coherente y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades. Los desarrolladores también destacaron la necesidad de una mayor interactividad y, tal vez, incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios simplemente ven un vídeo o escuchan una conferencia sin la oportunidad de aprender de forma práctica y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil, como la codificación segura.
Los desarrolladores también hicieron hincapié en la necesidad de una mayor interactividad y tal vez incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad coherente?
La capacitación es, por supuesto, fundamental cuando se trata de mejorar la conciencia y las habilidades de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Sin embargo, un enfoque verdaderamente cohesivo para mejorar la conciencia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores. Por ejemplo, tradicionalmente se evaluaba a los desarrolladores en función de la rapidez con la que podían programar. Sin embargo, un enfoque coherente de la seguridad puede implicar cambiar esas métricas y valores de larga data. Por el contrario, las evaluaciones podrían desviar el énfasis de recompensar la velocidad bruta y, en su lugar, recompensar a los desarrolladores que pueden crear código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría involucrar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarte a exigir la seguridad a los desarrolladores, considera la posibilidad de crear o nombrar a expertos en seguridad de la comunidad. Se trata de desarrolladores talentosos y conscientes de la seguridad que destaquen por su formación o como parte de las nuevas evaluaciones centradas en las métricas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrolladores desde dentro.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores.
Para leer más
Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: cómo los campeones de la seguridad pueden ayudar a su equipo a lograr la victoria contra las vulnerabilidades en fase avanzada
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
查看报告预约演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
En respuesta a las principales brechas de seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18 000 usuarios del popular software de gestión Orion, incluidas muchas de las principales empresas y agencias gubernamentales, hay un creciente impulso en favor de iniciativas de seguridad más eficaces dirigidas por los desarrolladores. Las organizaciones de todos los tamaños están empezando a cuestionar su «cadena de suministro de software» y exigen que los desarrolladores que crean su software posean conocimientos y aptitudes comprobados en materia de seguridad.
Incluso el gobierno de los Estados Unidos pide mejores prácticas de seguridad dirigidas por los desarrolladores y un fortalecimiento de la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva para mejorar la ciberseguridad de la nación emitida por el presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a una fase más temprana del ciclo de vida del desarrollo de software (SDLC) mediante programas y movimientos como DevSecOps. Y, en una encuesta reciente, la comunidad de desarrolladores dijo que valoraba la formación en seguridad que había recibido para respaldar ese esfuerzo.
Vulnerabilidades de siguen siendo explotados, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que escribir código de calidad era una de las principales prioridades de la comunidad de desarrollo. Sin embargo, la encuesta también identificó varios motivos por los que la formación que se imparte a los desarrolladores, si bien se considera valiosa, no cumple con creces el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de recibir la formación que se les impartió, todavía no sabía cómo identificar o corregir las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de capacitación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más capacitación.
Está claro que la comunidad de desarrolladores valora la formación que reciben. Sin embargo, cuando se les preguntó acerca de las barreras para la adopción de prácticas de codificación seguras, la razón principal fue la falta de tiempo, seguida de una quinta parte de los encuestados que citaron la falta de un enfoque coherente como la culpable. La formación se consideró más como un evento puntual que como parte de un esfuerzo estratégico continuo para incorporar la seguridad en los flujos de trabajo de los desarrolladores y utilizarla a diario.
Por lo tanto, los desarrolladores no pueden desarrollar y conservar habilidades de codificación seguras como parte de un programa coherente y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es particularmente eficaz ni exhaustiva, dado que muchos desarrolladores afirman que todavía no pueden identificar y corregir las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 92% (50%) dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para solucionar la situación?
Es interesante que la abrumadora mayoría de los desarrolladores dijeran que necesitaban más formación en seguridad. Y si bien valoraron la formación que recibieron, esa podría ser una situación en la que simplemente estén satisfechos con lo que puedan obtener.
Cuando se les pidió que comentaran sobre las formas de mejorar su formación, empezaron a salir a la luz sus ideas reales sobre el tema. En general, la mayor parte de la formación que recibieron los desarrolladores fue limitada, no interactiva, solo se centró parcialmente en sus responsabilidades laborales y no formó parte de un plan general o continuo para ayudar a mejorar las habilidades y el conocimiento de la seguridad de su organización. Según los desarrolladores encuestados, si las organizaciones desean mejorar la eficacia de la formación que se ofrece, debe presentarse como parte de un enfoque integral para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían solicitudes específicas para que su formación fuera más valiosa. Una de las sugerencias más populares fue incluir más casos de uso y ejemplos prácticos de situaciones a las que podían enfrentarse desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que, con el tiempo, la educación cubriera escenarios cada vez más complejos o difíciles, una medida que probablemente también requeriría un enfoque más coherente y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades. Los desarrolladores también destacaron la necesidad de una mayor interactividad y, tal vez, incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios simplemente ven un vídeo o escuchan una conferencia sin la oportunidad de aprender de forma práctica y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil, como la codificación segura.
Los desarrolladores también hicieron hincapié en la necesidad de una mayor interactividad y tal vez incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad coherente?
La capacitación es, por supuesto, fundamental cuando se trata de mejorar la conciencia y las habilidades de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Sin embargo, un enfoque verdaderamente cohesivo para mejorar la conciencia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores. Por ejemplo, tradicionalmente se evaluaba a los desarrolladores en función de la rapidez con la que podían programar. Sin embargo, un enfoque coherente de la seguridad puede implicar cambiar esas métricas y valores de larga data. Por el contrario, las evaluaciones podrían desviar el énfasis de recompensar la velocidad bruta y, en su lugar, recompensar a los desarrolladores que pueden crear código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría involucrar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarte a exigir la seguridad a los desarrolladores, considera la posibilidad de crear o nombrar a expertos en seguridad de la comunidad. Se trata de desarrolladores talentosos y conscientes de la seguridad que destaquen por su formación o como parte de las nuevas evaluaciones centradas en las métricas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrolladores desde dentro.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores.
%20(1).avif)
.avif)
