Para que los desarrolladores ayuden a matar a la bestia del cibercrimen, la formación es una misión que consta de dos partes
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y distribuido aquí.
El campo de juego entre los héroes y los villanos en la ciberseguridad es notoriamente injusto. Los datos confidenciales son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las defensas, explotando los errores de seguridad grandes y pequeños para obtener ganancias potenciales.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad puedan enfrentarse a él (cada vez más escaso), y el creciente coste de las filtraciones de datos es una prueba de que algo tiene que ceder. Afortunadamente, en aras de nuestra seguridad digital y de la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a los desarrolladores a emprender el camino de la seguridad desde el principio del proceso de desarrollo del software. Se les reconoce como la primera línea de defensa contra los ciberatacantes, ya que tienen el poder de eliminar las vulnerabilidades más comunes al alcance de la mano.
Sin embargo, sus capacidades defensivas son tan buenas como la formación que reciben, y ese es otro desafío que deben afrontar los equipos de seguridad. Para muchos desarrolladores que reciben formación sobre programación segura mientras trabajan, su principal desafío es mantenerse despiertos mientras realizan actividades sin intervención y que no son eficaces ni les inspiran a mantener la seguridad como prioridad. Los cursos de vídeo sin alma no nos ayudan a conseguirlo, los eventos anuales simbólicos de «marcar las casillas» son una pérdida de tiempo y nadie está ganando contra el potencial actor de amenazas malintencionadas que espera aprovechar una pequeña oportunidad.
En esta etapa de nuestra industria, nos hemos dado cuenta de que la educación contextual y práctica que se imparte en los lenguajes y marcos de programación relevantes, con desafíos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a eliminar las vulnerabilidades más comunes, pero en la segunda fase es donde los escenarios deben hacerse realidad para contar con una fuerza defensiva sobrealimentada y consciente de la seguridad.
El aprendizaje en andamios es fundamental en la educación de adultos
Cuando se trata de cursos extracurriculares o de formación en el puesto de trabajo, a menudo se pasa por alto el hecho de que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación contribuye a esta base y está estructurada de manera que permita una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamios es un método de aprendizaje potente y positivo que busca activar y mejorar la experiencia previa, al tiempo que continúa desarrollando nuevas habilidades, en partes manejables, que permitan al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, es una metodología que se combina mejor con porciones saludables de demostración, ayudas visuales y exploración dirigida por los estudiantes.
Si vinculamos este enfoque a la formación en seguridad de los desarrolladores, no sorprende que el método dinámico de aprendizaje práctico se haya preferido durante mucho tiempo al trabajo pesado que supone el aprendizaje estático basado en la teoría. Son libres de ser los dueños de su dominio y deben asegurarse de que su tiempo esté bien empleado.
En ese sentido, aprender a programar de forma segura en un entorno contextual e hiperrelevante es clave, pero lo que se consigue a partir de este paso es ver una explotación del código vulnerable en acción. Si comparamos el frontend con el backend, existe un vínculo tangible entre las acciones que se llevan a cabo durante el proceso de codificación y lo que un atacante puede hacer si se toman atajos, errores de configuración o accidentes que no se detectan y solucionan.
Pase de la retirada a la solicitud para lograr un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas educativo, y es algo bastante raro, incluso con las opciones de formación en seguridad más modernas para desarrolladores. El trabajo fundamental dedicado a perfeccionar las habilidades para detectar y corregir las vulnerabilidades, y a recordar esa experiencia para eliminar los mismos errores del código mientras se escribe, es sumamente importante, pero no representa el panorama completo. Para ver cómo el código vulnerable explotado por un actor malintencionado añade una poderosa capa de contexto, una que realmente pone de manifiesto la importancia de proteger el código y de aplicar los conocimientos de seguridad adquiridos con tanto esfuerzo para cerrar todas las oportunidades.
En general, se acepta que a los desarrolladores no les encanta la seguridad y que sienten aún menos interés por la formación en seguridad. Sus experiencias con los especialistas de AppSec pueden ser muy frías, y la dificultad que supone el equipo de seguridad para devolver el código vulnerable a los desarrolladores para que lo corrijan es la ruina de su existencia. Para un equipo de ingeniería que ya está disperso, la seguridad es un problema ajeno, no su prioridad, sino un obstáculo para su creatividad natural y para su objetivo principal de crear funciones. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiados riesgos para los datos del mundo como para que esta mentalidad continúe.
Un proceso de DevSecOps funcional hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de aprender aplicado, que les permite interactuar con un exploit simulado y comprobar el impacto de un código mal protegido, contribuye en gran medida a que los desarrolladores estén en sintonía con los molestos usuarios de AppSec (que, al fin y al cabo, no son tan malos).
El aprendizaje interactivo prepara a los desarrolladores para la lucha contra los jefes
En el momento de escribir este artículo, se denunciaron dos infracciones importantes en un período de 7 días: Razer anunció que se habían expuesto más de 100 000 registros de datos confidenciales, mientras que la cadena de material de oficina Staples también informó de una filtración de datos similar. En lo que va de 2020, se han expuesto más de mil millones de registros confidenciales, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores malintencionados tienen la sartén por el mango, y se necesita urgentemente a los desarrolladores que se preocupen por la seguridad para que sirvan de primera línea de defensa.
Los desafíos interactivos que se centran en simular este tipo de infracciones alejan a los desarrolladores de la recuperación pasiva, a aplicar habilidades que repercuten en la verdadera lucha contra un jefe: detener a los atacantes en su camino.
El campo de juego entre los héroes y los villanos en la ciberseguridad es notoriamente injusto. Los datos confidenciales son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las defensas, explotando los errores de seguridad grandes y pequeños para obtener ganancias potenciales.
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y distribuido aquí.
El campo de juego entre los héroes y los villanos en la ciberseguridad es notoriamente injusto. Los datos confidenciales son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las defensas, explotando los errores de seguridad grandes y pequeños para obtener ganancias potenciales.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad puedan enfrentarse a él (cada vez más escaso), y el creciente coste de las filtraciones de datos es una prueba de que algo tiene que ceder. Afortunadamente, en aras de nuestra seguridad digital y de la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a los desarrolladores a emprender el camino de la seguridad desde el principio del proceso de desarrollo del software. Se les reconoce como la primera línea de defensa contra los ciberatacantes, ya que tienen el poder de eliminar las vulnerabilidades más comunes al alcance de la mano.
Sin embargo, sus capacidades defensivas son tan buenas como la formación que reciben, y ese es otro desafío que deben afrontar los equipos de seguridad. Para muchos desarrolladores que reciben formación sobre programación segura mientras trabajan, su principal desafío es mantenerse despiertos mientras realizan actividades sin intervención y que no son eficaces ni les inspiran a mantener la seguridad como prioridad. Los cursos de vídeo sin alma no nos ayudan a conseguirlo, los eventos anuales simbólicos de «marcar las casillas» son una pérdida de tiempo y nadie está ganando contra el potencial actor de amenazas malintencionadas que espera aprovechar una pequeña oportunidad.
En esta etapa de nuestra industria, nos hemos dado cuenta de que la educación contextual y práctica que se imparte en los lenguajes y marcos de programación relevantes, con desafíos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a eliminar las vulnerabilidades más comunes, pero en la segunda fase es donde los escenarios deben hacerse realidad para contar con una fuerza defensiva sobrealimentada y consciente de la seguridad.
El aprendizaje en andamios es fundamental en la educación de adultos
Cuando se trata de cursos extracurriculares o de formación en el puesto de trabajo, a menudo se pasa por alto el hecho de que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación contribuye a esta base y está estructurada de manera que permita una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamios es un método de aprendizaje potente y positivo que busca activar y mejorar la experiencia previa, al tiempo que continúa desarrollando nuevas habilidades, en partes manejables, que permitan al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, es una metodología que se combina mejor con porciones saludables de demostración, ayudas visuales y exploración dirigida por los estudiantes.
Si vinculamos este enfoque a la formación en seguridad de los desarrolladores, no sorprende que el método dinámico de aprendizaje práctico se haya preferido durante mucho tiempo al trabajo pesado que supone el aprendizaje estático basado en la teoría. Son libres de ser los dueños de su dominio y deben asegurarse de que su tiempo esté bien empleado.
En ese sentido, aprender a programar de forma segura en un entorno contextual e hiperrelevante es clave, pero lo que se consigue a partir de este paso es ver una explotación del código vulnerable en acción. Si comparamos el frontend con el backend, existe un vínculo tangible entre las acciones que se llevan a cabo durante el proceso de codificación y lo que un atacante puede hacer si se toman atajos, errores de configuración o accidentes que no se detectan y solucionan.
Pase de la retirada a la solicitud para lograr un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas educativo, y es algo bastante raro, incluso con las opciones de formación en seguridad más modernas para desarrolladores. El trabajo fundamental dedicado a perfeccionar las habilidades para detectar y corregir las vulnerabilidades, y a recordar esa experiencia para eliminar los mismos errores del código mientras se escribe, es sumamente importante, pero no representa el panorama completo. Para ver cómo el código vulnerable explotado por un actor malintencionado añade una poderosa capa de contexto, una que realmente pone de manifiesto la importancia de proteger el código y de aplicar los conocimientos de seguridad adquiridos con tanto esfuerzo para cerrar todas las oportunidades.
En general, se acepta que a los desarrolladores no les encanta la seguridad y que sienten aún menos interés por la formación en seguridad. Sus experiencias con los especialistas de AppSec pueden ser muy frías, y la dificultad que supone el equipo de seguridad para devolver el código vulnerable a los desarrolladores para que lo corrijan es la ruina de su existencia. Para un equipo de ingeniería que ya está disperso, la seguridad es un problema ajeno, no su prioridad, sino un obstáculo para su creatividad natural y para su objetivo principal de crear funciones. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiados riesgos para los datos del mundo como para que esta mentalidad continúe.
Un proceso de DevSecOps funcional hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de aprender aplicado, que les permite interactuar con un exploit simulado y comprobar el impacto de un código mal protegido, contribuye en gran medida a que los desarrolladores estén en sintonía con los molestos usuarios de AppSec (que, al fin y al cabo, no son tan malos).
El aprendizaje interactivo prepara a los desarrolladores para la lucha contra los jefes
En el momento de escribir este artículo, se denunciaron dos infracciones importantes en un período de 7 días: Razer anunció que se habían expuesto más de 100 000 registros de datos confidenciales, mientras que la cadena de material de oficina Staples también informó de una filtración de datos similar. En lo que va de 2020, se han expuesto más de mil millones de registros confidenciales, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores malintencionados tienen la sartén por el mango, y se necesita urgentemente a los desarrolladores que se preocupen por la seguridad para que sirvan de primera línea de defensa.
Los desafíos interactivos que se centran en simular este tipo de infracciones alejan a los desarrolladores de la recuperación pasiva, a aplicar habilidades que repercuten en la verdadera lucha contra un jefe: detener a los atacantes en su camino.
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y distribuido aquí.
El campo de juego entre los héroes y los villanos en la ciberseguridad es notoriamente injusto. Los datos confidenciales son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las defensas, explotando los errores de seguridad grandes y pequeños para obtener ganancias potenciales.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad puedan enfrentarse a él (cada vez más escaso), y el creciente coste de las filtraciones de datos es una prueba de que algo tiene que ceder. Afortunadamente, en aras de nuestra seguridad digital y de la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a los desarrolladores a emprender el camino de la seguridad desde el principio del proceso de desarrollo del software. Se les reconoce como la primera línea de defensa contra los ciberatacantes, ya que tienen el poder de eliminar las vulnerabilidades más comunes al alcance de la mano.
Sin embargo, sus capacidades defensivas son tan buenas como la formación que reciben, y ese es otro desafío que deben afrontar los equipos de seguridad. Para muchos desarrolladores que reciben formación sobre programación segura mientras trabajan, su principal desafío es mantenerse despiertos mientras realizan actividades sin intervención y que no son eficaces ni les inspiran a mantener la seguridad como prioridad. Los cursos de vídeo sin alma no nos ayudan a conseguirlo, los eventos anuales simbólicos de «marcar las casillas» son una pérdida de tiempo y nadie está ganando contra el potencial actor de amenazas malintencionadas que espera aprovechar una pequeña oportunidad.
En esta etapa de nuestra industria, nos hemos dado cuenta de que la educación contextual y práctica que se imparte en los lenguajes y marcos de programación relevantes, con desafíos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a eliminar las vulnerabilidades más comunes, pero en la segunda fase es donde los escenarios deben hacerse realidad para contar con una fuerza defensiva sobrealimentada y consciente de la seguridad.
El aprendizaje en andamios es fundamental en la educación de adultos
Cuando se trata de cursos extracurriculares o de formación en el puesto de trabajo, a menudo se pasa por alto el hecho de que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación contribuye a esta base y está estructurada de manera que permita una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamios es un método de aprendizaje potente y positivo que busca activar y mejorar la experiencia previa, al tiempo que continúa desarrollando nuevas habilidades, en partes manejables, que permitan al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, es una metodología que se combina mejor con porciones saludables de demostración, ayudas visuales y exploración dirigida por los estudiantes.
Si vinculamos este enfoque a la formación en seguridad de los desarrolladores, no sorprende que el método dinámico de aprendizaje práctico se haya preferido durante mucho tiempo al trabajo pesado que supone el aprendizaje estático basado en la teoría. Son libres de ser los dueños de su dominio y deben asegurarse de que su tiempo esté bien empleado.
En ese sentido, aprender a programar de forma segura en un entorno contextual e hiperrelevante es clave, pero lo que se consigue a partir de este paso es ver una explotación del código vulnerable en acción. Si comparamos el frontend con el backend, existe un vínculo tangible entre las acciones que se llevan a cabo durante el proceso de codificación y lo que un atacante puede hacer si se toman atajos, errores de configuración o accidentes que no se detectan y solucionan.
Pase de la retirada a la solicitud para lograr un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas educativo, y es algo bastante raro, incluso con las opciones de formación en seguridad más modernas para desarrolladores. El trabajo fundamental dedicado a perfeccionar las habilidades para detectar y corregir las vulnerabilidades, y a recordar esa experiencia para eliminar los mismos errores del código mientras se escribe, es sumamente importante, pero no representa el panorama completo. Para ver cómo el código vulnerable explotado por un actor malintencionado añade una poderosa capa de contexto, una que realmente pone de manifiesto la importancia de proteger el código y de aplicar los conocimientos de seguridad adquiridos con tanto esfuerzo para cerrar todas las oportunidades.
En general, se acepta que a los desarrolladores no les encanta la seguridad y que sienten aún menos interés por la formación en seguridad. Sus experiencias con los especialistas de AppSec pueden ser muy frías, y la dificultad que supone el equipo de seguridad para devolver el código vulnerable a los desarrolladores para que lo corrijan es la ruina de su existencia. Para un equipo de ingeniería que ya está disperso, la seguridad es un problema ajeno, no su prioridad, sino un obstáculo para su creatividad natural y para su objetivo principal de crear funciones. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiados riesgos para los datos del mundo como para que esta mentalidad continúe.
Un proceso de DevSecOps funcional hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de aprender aplicado, que les permite interactuar con un exploit simulado y comprobar el impacto de un código mal protegido, contribuye en gran medida a que los desarrolladores estén en sintonía con los molestos usuarios de AppSec (que, al fin y al cabo, no son tan malos).
El aprendizaje interactivo prepara a los desarrolladores para la lucha contra los jefes
En el momento de escribir este artículo, se denunciaron dos infracciones importantes en un período de 7 días: Razer anunció que se habían expuesto más de 100 000 registros de datos confidenciales, mientras que la cadena de material de oficina Staples también informó de una filtración de datos similar. En lo que va de 2020, se han expuesto más de mil millones de registros confidenciales, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores malintencionados tienen la sartén por el mango, y se necesita urgentemente a los desarrolladores que se preocupen por la seguridad para que sirvan de primera línea de defensa.
Los desafíos interactivos que se centran en simular este tipo de infracciones alejan a los desarrolladores de la recuperación pasiva, a aplicar habilidades que repercuten en la verdadera lucha contra un jefe: detener a los atacantes en su camino.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y distribuido aquí.
El campo de juego entre los héroes y los villanos en la ciberseguridad es notoriamente injusto. Los datos confidenciales son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las defensas, explotando los errores de seguridad grandes y pequeños para obtener ganancias potenciales.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad puedan enfrentarse a él (cada vez más escaso), y el creciente coste de las filtraciones de datos es una prueba de que algo tiene que ceder. Afortunadamente, en aras de nuestra seguridad digital y de la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a los desarrolladores a emprender el camino de la seguridad desde el principio del proceso de desarrollo del software. Se les reconoce como la primera línea de defensa contra los ciberatacantes, ya que tienen el poder de eliminar las vulnerabilidades más comunes al alcance de la mano.
Sin embargo, sus capacidades defensivas son tan buenas como la formación que reciben, y ese es otro desafío que deben afrontar los equipos de seguridad. Para muchos desarrolladores que reciben formación sobre programación segura mientras trabajan, su principal desafío es mantenerse despiertos mientras realizan actividades sin intervención y que no son eficaces ni les inspiran a mantener la seguridad como prioridad. Los cursos de vídeo sin alma no nos ayudan a conseguirlo, los eventos anuales simbólicos de «marcar las casillas» son una pérdida de tiempo y nadie está ganando contra el potencial actor de amenazas malintencionadas que espera aprovechar una pequeña oportunidad.
En esta etapa de nuestra industria, nos hemos dado cuenta de que la educación contextual y práctica que se imparte en los lenguajes y marcos de programación relevantes, con desafíos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a eliminar las vulnerabilidades más comunes, pero en la segunda fase es donde los escenarios deben hacerse realidad para contar con una fuerza defensiva sobrealimentada y consciente de la seguridad.
El aprendizaje en andamios es fundamental en la educación de adultos
Cuando se trata de cursos extracurriculares o de formación en el puesto de trabajo, a menudo se pasa por alto el hecho de que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación contribuye a esta base y está estructurada de manera que permita una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamios es un método de aprendizaje potente y positivo que busca activar y mejorar la experiencia previa, al tiempo que continúa desarrollando nuevas habilidades, en partes manejables, que permitan al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, es una metodología que se combina mejor con porciones saludables de demostración, ayudas visuales y exploración dirigida por los estudiantes.
Si vinculamos este enfoque a la formación en seguridad de los desarrolladores, no sorprende que el método dinámico de aprendizaje práctico se haya preferido durante mucho tiempo al trabajo pesado que supone el aprendizaje estático basado en la teoría. Son libres de ser los dueños de su dominio y deben asegurarse de que su tiempo esté bien empleado.
En ese sentido, aprender a programar de forma segura en un entorno contextual e hiperrelevante es clave, pero lo que se consigue a partir de este paso es ver una explotación del código vulnerable en acción. Si comparamos el frontend con el backend, existe un vínculo tangible entre las acciones que se llevan a cabo durante el proceso de codificación y lo que un atacante puede hacer si se toman atajos, errores de configuración o accidentes que no se detectan y solucionan.
Pase de la retirada a la solicitud para lograr un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas educativo, y es algo bastante raro, incluso con las opciones de formación en seguridad más modernas para desarrolladores. El trabajo fundamental dedicado a perfeccionar las habilidades para detectar y corregir las vulnerabilidades, y a recordar esa experiencia para eliminar los mismos errores del código mientras se escribe, es sumamente importante, pero no representa el panorama completo. Para ver cómo el código vulnerable explotado por un actor malintencionado añade una poderosa capa de contexto, una que realmente pone de manifiesto la importancia de proteger el código y de aplicar los conocimientos de seguridad adquiridos con tanto esfuerzo para cerrar todas las oportunidades.
En general, se acepta que a los desarrolladores no les encanta la seguridad y que sienten aún menos interés por la formación en seguridad. Sus experiencias con los especialistas de AppSec pueden ser muy frías, y la dificultad que supone el equipo de seguridad para devolver el código vulnerable a los desarrolladores para que lo corrijan es la ruina de su existencia. Para un equipo de ingeniería que ya está disperso, la seguridad es un problema ajeno, no su prioridad, sino un obstáculo para su creatividad natural y para su objetivo principal de crear funciones. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiados riesgos para los datos del mundo como para que esta mentalidad continúe.
Un proceso de DevSecOps funcional hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de aprender aplicado, que les permite interactuar con un exploit simulado y comprobar el impacto de un código mal protegido, contribuye en gran medida a que los desarrolladores estén en sintonía con los molestos usuarios de AppSec (que, al fin y al cabo, no son tan malos).
El aprendizaje interactivo prepara a los desarrolladores para la lucha contra los jefes
En el momento de escribir este artículo, se denunciaron dos infracciones importantes en un período de 7 días: Razer anunció que se habían expuesto más de 100 000 registros de datos confidenciales, mientras que la cadena de material de oficina Staples también informó de una filtración de datos similar. En lo que va de 2020, se han expuesto más de mil millones de registros confidenciales, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores malintencionados tienen la sartén por el mango, y se necesita urgentemente a los desarrolladores que se preocupen por la seguridad para que sirvan de primera línea de defensa.
Los desafíos interactivos que se centran en simular este tipo de infracciones alejan a los desarrolladores de la recuperación pasiva, a aplicar habilidades que repercuten en la verdadera lucha contra un jefe: detener a los atacantes en su camino.
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示下载
%20(1).avif)
.avif)
