El desarrollo seguro debe ser el sistema inmunitario de AppSec
Como profesional de seguridad de aplicaciones, es su trabajo garantizar la seguridad cibernética de las aplicaciones de su organización. Sin embargo, no eres responsable de escribir el código en el que se ejecuta la aplicación. Los ingenieros del equipo de desarrollo sí lo son. Entonces, ¿cómo se asegura de que están desarrollando esos sistemas teniendo en cuenta la seguridad?
Lo más probable es que estés realizando algunas o incluso todas las siguientes acciones:
- Revisar todo el código en busca de fallas de seguridad e informar al equipo de desarrollo para que las corrija.
- Imponer un estricto proceso de revisión por pares a lo largo de su ciclo de vida de desarrollo seguro.
- Que equipos de seguridad internos o externos realicen evaluaciones periódicas de las aplicaciones o pruebas de penetración.
- Implementación de herramientas de escaneo para detectar vulnerabilidades.
Estas son excelentes prácticas recomendadas, pero también son costosas y similares a tomar una ronda de antibióticos cada vez que te enfermas. Esto no solo tiene un costo elevado, sino que pierde eficacia y, con el tiempo, puede debilitar el sistema inmunitario.
¿Cómo se garantiza realmente que el código que envían los desarrolladores esté escrito de forma segura desde el principio?
Dejando a un lado la codificación segura, primero piense en cómo aprenden las personas. La mayoría de nosotros aprendemos de forma visual y aprendemos haciendo. Sin embargo, la formación sobre código seguro se imparte a menudo como una actividad que se puede cumplir y no es relevante para el trabajo diario de un desarrollador. Está diseñada para demostrar que los desarrolladores han recibido formación en seguridad con frecuencia para cumplir con los estándares del sector, y no para que los desarrolladores conserven realmente esos conocimientos, y mucho menos para que disfruten del proceso de aprendizaje.
Otra forma en que los humanos tienden a aprender es a través de nuestros errores de la misma manera que lo hace nuestro sistema inmunológico. Las células T recuerdan qué tipo de patógenos encontraron y erradicaron con éxito en el pasado, para poder protegerse contra ellos en el futuro. Este es exactamente el papel que los desarrolladores deberían desempeñar en tu seguro SDLC.
No es realista esperar que no cometan errores, pero puedes prepararlos de manera que puedan reconocer los patrones de codificación que se traducirán en vulnerabilidades de seguridad en el futuro.
También es así como un sólido proceso de revisión por pares se vuelve tan poderoso. El hecho de que un desarrollador no se dé cuenta de un fallo de seguridad no significa que otro no lo haga. Y cuanto mejor formado esté el equipo de desarrollo en su conjunto, más probabilidades hay de que las vulnerabilidades queden atrapadas y nunca lleguen a la fase de producción.
Las vulnerabilidades del software son como los patógenos
Las vulnerabilidades del software son como los patógenos en el sentido de que hay que recordarlas para poder combatirlas. En el caso de los patógenos, nuestro sistema inmunitario a menudo necesita estar expuesto varias veces antes de recordar cómo combatirlos, a fin de evitar enfermedades graves o peores.
Un ciberataque exitoso de software vulnerable puede paralizar gravemente o matar a una organización. Sin embargo, si los desarrolladores descubren las vulnerabilidades del software por primera vez en un entorno controlado, pueden trabajar para aumentar su inmunidad frente a las amenazas aumentando y practicando regularmente sus conocimientos y habilidades de codificación segura.
Exponga a los desarrolladores a fallas de seguridad en un entorno controlado
Nunca podemos protegernos por completo de enfermarnos, pero hay cosas que podemos hacer para reforzar nuestro sistema inmunitario y mantenernos lo más sanos posible. Algunas de las opciones de estilo de vida que suelen asociarse con un sistema inmunitario fuerte son algunas de las opciones de estilo de vida que suelen asociarse con un sistema inmunitario fuerte. Pero todas esas cosas requieren un poco de esfuerzo y deben ser continuas. Salir a correr todos los días durante una semana o dejar de beber durante un mes apenas afectará su salud en general. Tampoco es recomendable salir a correr 10 km el primer día que comencemos a correr. Primero necesitamos exponer nuestros corazones y músculos al ejercicio. También sabemos que se necesita un poco de experimentación hasta que encontremos un buen equilibrio para nuestro cuerpo y los alimentos y ejercicios saludables que nos encantan.
No es tan diferente cuando se trata de un desarrollo de software seguro. El aprendizaje se produce con el tiempo y con la práctica, y los desarrolladores necesitan la misma formación continua para mejorar regularmente sus habilidades de codificación segura. Sin mencionar que el desarrollo de software siempre está evolucionando y adaptándose, lo que significa que las vulnerabilidades también lo están. Por eso, un simple curso de formación no es suficiente. Los desarrolladores necesitan mejorar sus habilidades con regularidad para estar lo suficientemente familiarizados con las amenazas potenciales y estar equipados adecuadamente para defenderse de ellas.
Intenta lograr la inmunidad colectiva dentro del equipo de desarrollo
Una sola persona no puede evitar todos y cada uno de los problemas de seguridad. Es fantástico contar con expertos en seguridad en el equipo, pero para obtener la mejor protección, cuantas más personas hayan aprendido sobre las vulnerabilidades de seguridad y cómo prevenirlas, más posibilidades tendrá la organización de prevenirlas. Una vez más, no es muy diferente a la forma en que el sistema inmunitario tiene diferentes tipos de células T para diferentes propósitos. Cada desarrollador forma parte de un equipo que garantiza la seguridad. Si están capacitados para asumir responsabilidades, hacerlo bien e incluso disfrutar haciéndolo, entonces puedes crear una inmunidad colectiva contra las ciberamenazas dentro del equipo de desarrollo.
Mantenga la seguridad como prioridad con la exposición repetida
Nuestros cerebros aprenden de manera similar al funcionamiento de nuestro sistema inmunitario. Psicólogo alemán Hermann Ebbinghaus fue pionero en el campo de la memoria y el aprendizaje. Dedujo que el aprendizaje tiene que ocurrir con el tiempo y con múltiples sesiones de aprendizaje. Cuando estamos en la escuela, nunca se espera que mantengamos nuevos conocimientos después de la primera introducción. Primero se nos presenta la información, luego la practicamos con orientación y luego la practicamos por nuestra cuenta. E incluso después de haberla aprendido lo suficientemente bien como para aprobar un examen, la información tiende a olvidarse poco después si no utilizamos con regularidad los conocimientos que hemos dedicado tiempo y esfuerzo a aprender. ¿Cuántos de nosotros podemos decir que recordamos el francés de la escuela secundaria?
Entonces, ¿cómo podemos creer que un solo día viendo diapositivas y escuchando a alguien hablar sobre seguridad lleve realmente a los desarrolladores presentes a programar de forma más segura?
Los patrones de vulnerabilidades recurrentes nos muestran que esto simplemente no funciona.
¿Cómo se logra una inmunidad de desarrollo segura?
La respuesta está en nuestra naturaleza. Nuestros cuerpos y mentes funcionan de la misma manera y brindan hermosas soluciones a los problemas, siempre y cuando trabajemos con ellos y no contra ellos.
Para garantizar la seguridad de sus aplicaciones, debe empezar por mejorar las habilidades de los desarrolladores para escribir código seguro. De lo contrario, AppSec seguirá dedicando todo su tiempo a revisar todo el código en busca de fallos de seguridad y a denunciar las mismas vulnerabilidades recurrentes para el desarrollo, solo para corregirlas rápidamente sin aprender nada. Y, a continuación, vuelva a hacerlo para la próxima versión.
Así que vamos a reiterar.
Si colaboras con tus gerentes de desarrollo para lograrlo, no solo implementarás un SDLC seguro y cumplirás con los requisitos de capacitación en seguridad para cumplir con los requisitos, sino que también lograrás un impacto real en el proceso de desarrollo. Como guinda del pastel, AppSec ya no detectará vulnerabilidades repetidas ni las denunciará a los equipos de desarrollo, y los desarrolladores dedicarán menos tiempo a solucionarlas. Esto significa que pueden dedicar más tiempo a crear y mejorar el increíble software que hace que nuestro mundo sea mejor.
¿Estás listo para mejorar las habilidades de tu equipo de desarrollo? Adelante y reserve una demostración con nosotros.
Como profesional de seguridad de aplicaciones, es su trabajo garantizar la seguridad cibernética de las aplicaciones de su organización. Sin embargo, no eres responsable de escribir el código en el que se ejecuta la aplicación. Los ingenieros del equipo de desarrollo sí lo son. Entonces, ¿cómo se asegura de que están desarrollando esos sistemas teniendo en cuenta la seguridad?
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
Como profesional de seguridad de aplicaciones, es su trabajo garantizar la seguridad cibernética de las aplicaciones de su organización. Sin embargo, no eres responsable de escribir el código en el que se ejecuta la aplicación. Los ingenieros del equipo de desarrollo sí lo son. Entonces, ¿cómo se asegura de que están desarrollando esos sistemas teniendo en cuenta la seguridad?
Lo más probable es que estés realizando algunas o incluso todas las siguientes acciones:
- Revisar todo el código en busca de fallas de seguridad e informar al equipo de desarrollo para que las corrija.
- Imponer un estricto proceso de revisión por pares a lo largo de su ciclo de vida de desarrollo seguro.
- Que equipos de seguridad internos o externos realicen evaluaciones periódicas de las aplicaciones o pruebas de penetración.
- Implementación de herramientas de escaneo para detectar vulnerabilidades.
Estas son excelentes prácticas recomendadas, pero también son costosas y similares a tomar una ronda de antibióticos cada vez que te enfermas. Esto no solo tiene un costo elevado, sino que pierde eficacia y, con el tiempo, puede debilitar el sistema inmunitario.
¿Cómo se garantiza realmente que el código que envían los desarrolladores esté escrito de forma segura desde el principio?
Dejando a un lado la codificación segura, primero piense en cómo aprenden las personas. La mayoría de nosotros aprendemos de forma visual y aprendemos haciendo. Sin embargo, la formación sobre código seguro se imparte a menudo como una actividad que se puede cumplir y no es relevante para el trabajo diario de un desarrollador. Está diseñada para demostrar que los desarrolladores han recibido formación en seguridad con frecuencia para cumplir con los estándares del sector, y no para que los desarrolladores conserven realmente esos conocimientos, y mucho menos para que disfruten del proceso de aprendizaje.
Otra forma en que los humanos tienden a aprender es a través de nuestros errores de la misma manera que lo hace nuestro sistema inmunológico. Las células T recuerdan qué tipo de patógenos encontraron y erradicaron con éxito en el pasado, para poder protegerse contra ellos en el futuro. Este es exactamente el papel que los desarrolladores deberían desempeñar en tu seguro SDLC.
No es realista esperar que no cometan errores, pero puedes prepararlos de manera que puedan reconocer los patrones de codificación que se traducirán en vulnerabilidades de seguridad en el futuro.
También es así como un sólido proceso de revisión por pares se vuelve tan poderoso. El hecho de que un desarrollador no se dé cuenta de un fallo de seguridad no significa que otro no lo haga. Y cuanto mejor formado esté el equipo de desarrollo en su conjunto, más probabilidades hay de que las vulnerabilidades queden atrapadas y nunca lleguen a la fase de producción.
Las vulnerabilidades del software son como los patógenos
Las vulnerabilidades del software son como los patógenos en el sentido de que hay que recordarlas para poder combatirlas. En el caso de los patógenos, nuestro sistema inmunitario a menudo necesita estar expuesto varias veces antes de recordar cómo combatirlos, a fin de evitar enfermedades graves o peores.
Un ciberataque exitoso de software vulnerable puede paralizar gravemente o matar a una organización. Sin embargo, si los desarrolladores descubren las vulnerabilidades del software por primera vez en un entorno controlado, pueden trabajar para aumentar su inmunidad frente a las amenazas aumentando y practicando regularmente sus conocimientos y habilidades de codificación segura.
Exponga a los desarrolladores a fallas de seguridad en un entorno controlado
Nunca podemos protegernos por completo de enfermarnos, pero hay cosas que podemos hacer para reforzar nuestro sistema inmunitario y mantenernos lo más sanos posible. Algunas de las opciones de estilo de vida que suelen asociarse con un sistema inmunitario fuerte son algunas de las opciones de estilo de vida que suelen asociarse con un sistema inmunitario fuerte. Pero todas esas cosas requieren un poco de esfuerzo y deben ser continuas. Salir a correr todos los días durante una semana o dejar de beber durante un mes apenas afectará su salud en general. Tampoco es recomendable salir a correr 10 km el primer día que comencemos a correr. Primero necesitamos exponer nuestros corazones y músculos al ejercicio. También sabemos que se necesita un poco de experimentación hasta que encontremos un buen equilibrio para nuestro cuerpo y los alimentos y ejercicios saludables que nos encantan.
No es tan diferente cuando se trata de un desarrollo de software seguro. El aprendizaje se produce con el tiempo y con la práctica, y los desarrolladores necesitan la misma formación continua para mejorar regularmente sus habilidades de codificación segura. Sin mencionar que el desarrollo de software siempre está evolucionando y adaptándose, lo que significa que las vulnerabilidades también lo están. Por eso, un simple curso de formación no es suficiente. Los desarrolladores necesitan mejorar sus habilidades con regularidad para estar lo suficientemente familiarizados con las amenazas potenciales y estar equipados adecuadamente para defenderse de ellas.
Intenta lograr la inmunidad colectiva dentro del equipo de desarrollo
Una sola persona no puede evitar todos y cada uno de los problemas de seguridad. Es fantástico contar con expertos en seguridad en el equipo, pero para obtener la mejor protección, cuantas más personas hayan aprendido sobre las vulnerabilidades de seguridad y cómo prevenirlas, más posibilidades tendrá la organización de prevenirlas. Una vez más, no es muy diferente a la forma en que el sistema inmunitario tiene diferentes tipos de células T para diferentes propósitos. Cada desarrollador forma parte de un equipo que garantiza la seguridad. Si están capacitados para asumir responsabilidades, hacerlo bien e incluso disfrutar haciéndolo, entonces puedes crear una inmunidad colectiva contra las ciberamenazas dentro del equipo de desarrollo.
Mantenga la seguridad como prioridad con la exposición repetida
Nuestros cerebros aprenden de manera similar al funcionamiento de nuestro sistema inmunitario. Psicólogo alemán Hermann Ebbinghaus fue pionero en el campo de la memoria y el aprendizaje. Dedujo que el aprendizaje tiene que ocurrir con el tiempo y con múltiples sesiones de aprendizaje. Cuando estamos en la escuela, nunca se espera que mantengamos nuevos conocimientos después de la primera introducción. Primero se nos presenta la información, luego la practicamos con orientación y luego la practicamos por nuestra cuenta. E incluso después de haberla aprendido lo suficientemente bien como para aprobar un examen, la información tiende a olvidarse poco después si no utilizamos con regularidad los conocimientos que hemos dedicado tiempo y esfuerzo a aprender. ¿Cuántos de nosotros podemos decir que recordamos el francés de la escuela secundaria?
Entonces, ¿cómo podemos creer que un solo día viendo diapositivas y escuchando a alguien hablar sobre seguridad lleve realmente a los desarrolladores presentes a programar de forma más segura?
Los patrones de vulnerabilidades recurrentes nos muestran que esto simplemente no funciona.
¿Cómo se logra una inmunidad de desarrollo segura?
La respuesta está en nuestra naturaleza. Nuestros cuerpos y mentes funcionan de la misma manera y brindan hermosas soluciones a los problemas, siempre y cuando trabajemos con ellos y no contra ellos.
Para garantizar la seguridad de sus aplicaciones, debe empezar por mejorar las habilidades de los desarrolladores para escribir código seguro. De lo contrario, AppSec seguirá dedicando todo su tiempo a revisar todo el código en busca de fallos de seguridad y a denunciar las mismas vulnerabilidades recurrentes para el desarrollo, solo para corregirlas rápidamente sin aprender nada. Y, a continuación, vuelva a hacerlo para la próxima versión.
Así que vamos a reiterar.
Si colaboras con tus gerentes de desarrollo para lograrlo, no solo implementarás un SDLC seguro y cumplirás con los requisitos de capacitación en seguridad para cumplir con los requisitos, sino que también lograrás un impacto real en el proceso de desarrollo. Como guinda del pastel, AppSec ya no detectará vulnerabilidades repetidas ni las denunciará a los equipos de desarrollo, y los desarrolladores dedicarán menos tiempo a solucionarlas. Esto significa que pueden dedicar más tiempo a crear y mejorar el increíble software que hace que nuestro mundo sea mejor.
¿Estás listo para mejorar las habilidades de tu equipo de desarrollo? Adelante y reserve una demostración con nosotros.
Como profesional de seguridad de aplicaciones, es su trabajo garantizar la seguridad cibernética de las aplicaciones de su organización. Sin embargo, no eres responsable de escribir el código en el que se ejecuta la aplicación. Los ingenieros del equipo de desarrollo sí lo son. Entonces, ¿cómo se asegura de que están desarrollando esos sistemas teniendo en cuenta la seguridad?
Lo más probable es que estés realizando algunas o incluso todas las siguientes acciones:
- Revisar todo el código en busca de fallas de seguridad e informar al equipo de desarrollo para que las corrija.
- Imponer un estricto proceso de revisión por pares a lo largo de su ciclo de vida de desarrollo seguro.
- Que equipos de seguridad internos o externos realicen evaluaciones periódicas de las aplicaciones o pruebas de penetración.
- Implementación de herramientas de escaneo para detectar vulnerabilidades.
Estas son excelentes prácticas recomendadas, pero también son costosas y similares a tomar una ronda de antibióticos cada vez que te enfermas. Esto no solo tiene un costo elevado, sino que pierde eficacia y, con el tiempo, puede debilitar el sistema inmunitario.
¿Cómo se garantiza realmente que el código que envían los desarrolladores esté escrito de forma segura desde el principio?
Dejando a un lado la codificación segura, primero piense en cómo aprenden las personas. La mayoría de nosotros aprendemos de forma visual y aprendemos haciendo. Sin embargo, la formación sobre código seguro se imparte a menudo como una actividad que se puede cumplir y no es relevante para el trabajo diario de un desarrollador. Está diseñada para demostrar que los desarrolladores han recibido formación en seguridad con frecuencia para cumplir con los estándares del sector, y no para que los desarrolladores conserven realmente esos conocimientos, y mucho menos para que disfruten del proceso de aprendizaje.
Otra forma en que los humanos tienden a aprender es a través de nuestros errores de la misma manera que lo hace nuestro sistema inmunológico. Las células T recuerdan qué tipo de patógenos encontraron y erradicaron con éxito en el pasado, para poder protegerse contra ellos en el futuro. Este es exactamente el papel que los desarrolladores deberían desempeñar en tu seguro SDLC.
No es realista esperar que no cometan errores, pero puedes prepararlos de manera que puedan reconocer los patrones de codificación que se traducirán en vulnerabilidades de seguridad en el futuro.
También es así como un sólido proceso de revisión por pares se vuelve tan poderoso. El hecho de que un desarrollador no se dé cuenta de un fallo de seguridad no significa que otro no lo haga. Y cuanto mejor formado esté el equipo de desarrollo en su conjunto, más probabilidades hay de que las vulnerabilidades queden atrapadas y nunca lleguen a la fase de producción.
Las vulnerabilidades del software son como los patógenos
Las vulnerabilidades del software son como los patógenos en el sentido de que hay que recordarlas para poder combatirlas. En el caso de los patógenos, nuestro sistema inmunitario a menudo necesita estar expuesto varias veces antes de recordar cómo combatirlos, a fin de evitar enfermedades graves o peores.
Un ciberataque exitoso de software vulnerable puede paralizar gravemente o matar a una organización. Sin embargo, si los desarrolladores descubren las vulnerabilidades del software por primera vez en un entorno controlado, pueden trabajar para aumentar su inmunidad frente a las amenazas aumentando y practicando regularmente sus conocimientos y habilidades de codificación segura.
Exponga a los desarrolladores a fallas de seguridad en un entorno controlado
Nunca podemos protegernos por completo de enfermarnos, pero hay cosas que podemos hacer para reforzar nuestro sistema inmunitario y mantenernos lo más sanos posible. Algunas de las opciones de estilo de vida que suelen asociarse con un sistema inmunitario fuerte son algunas de las opciones de estilo de vida que suelen asociarse con un sistema inmunitario fuerte. Pero todas esas cosas requieren un poco de esfuerzo y deben ser continuas. Salir a correr todos los días durante una semana o dejar de beber durante un mes apenas afectará su salud en general. Tampoco es recomendable salir a correr 10 km el primer día que comencemos a correr. Primero necesitamos exponer nuestros corazones y músculos al ejercicio. También sabemos que se necesita un poco de experimentación hasta que encontremos un buen equilibrio para nuestro cuerpo y los alimentos y ejercicios saludables que nos encantan.
No es tan diferente cuando se trata de un desarrollo de software seguro. El aprendizaje se produce con el tiempo y con la práctica, y los desarrolladores necesitan la misma formación continua para mejorar regularmente sus habilidades de codificación segura. Sin mencionar que el desarrollo de software siempre está evolucionando y adaptándose, lo que significa que las vulnerabilidades también lo están. Por eso, un simple curso de formación no es suficiente. Los desarrolladores necesitan mejorar sus habilidades con regularidad para estar lo suficientemente familiarizados con las amenazas potenciales y estar equipados adecuadamente para defenderse de ellas.
Intenta lograr la inmunidad colectiva dentro del equipo de desarrollo
Una sola persona no puede evitar todos y cada uno de los problemas de seguridad. Es fantástico contar con expertos en seguridad en el equipo, pero para obtener la mejor protección, cuantas más personas hayan aprendido sobre las vulnerabilidades de seguridad y cómo prevenirlas, más posibilidades tendrá la organización de prevenirlas. Una vez más, no es muy diferente a la forma en que el sistema inmunitario tiene diferentes tipos de células T para diferentes propósitos. Cada desarrollador forma parte de un equipo que garantiza la seguridad. Si están capacitados para asumir responsabilidades, hacerlo bien e incluso disfrutar haciéndolo, entonces puedes crear una inmunidad colectiva contra las ciberamenazas dentro del equipo de desarrollo.
Mantenga la seguridad como prioridad con la exposición repetida
Nuestros cerebros aprenden de manera similar al funcionamiento de nuestro sistema inmunitario. Psicólogo alemán Hermann Ebbinghaus fue pionero en el campo de la memoria y el aprendizaje. Dedujo que el aprendizaje tiene que ocurrir con el tiempo y con múltiples sesiones de aprendizaje. Cuando estamos en la escuela, nunca se espera que mantengamos nuevos conocimientos después de la primera introducción. Primero se nos presenta la información, luego la practicamos con orientación y luego la practicamos por nuestra cuenta. E incluso después de haberla aprendido lo suficientemente bien como para aprobar un examen, la información tiende a olvidarse poco después si no utilizamos con regularidad los conocimientos que hemos dedicado tiempo y esfuerzo a aprender. ¿Cuántos de nosotros podemos decir que recordamos el francés de la escuela secundaria?
Entonces, ¿cómo podemos creer que un solo día viendo diapositivas y escuchando a alguien hablar sobre seguridad lleve realmente a los desarrolladores presentes a programar de forma más segura?
Los patrones de vulnerabilidades recurrentes nos muestran que esto simplemente no funciona.
¿Cómo se logra una inmunidad de desarrollo segura?
La respuesta está en nuestra naturaleza. Nuestros cuerpos y mentes funcionan de la misma manera y brindan hermosas soluciones a los problemas, siempre y cuando trabajemos con ellos y no contra ellos.
Para garantizar la seguridad de sus aplicaciones, debe empezar por mejorar las habilidades de los desarrolladores para escribir código seguro. De lo contrario, AppSec seguirá dedicando todo su tiempo a revisar todo el código en busca de fallos de seguridad y a denunciar las mismas vulnerabilidades recurrentes para el desarrollo, solo para corregirlas rápidamente sin aprender nada. Y, a continuación, vuelva a hacerlo para la próxima versión.
Así que vamos a reiterar.
Si colaboras con tus gerentes de desarrollo para lograrlo, no solo implementarás un SDLC seguro y cumplirás con los requisitos de capacitación en seguridad para cumplir con los requisitos, sino que también lograrás un impacto real en el proceso de desarrollo. Como guinda del pastel, AppSec ya no detectará vulnerabilidades repetidas ni las denunciará a los equipos de desarrollo, y los desarrolladores dedicarán menos tiempo a solucionarlas. Esto significa que pueden dedicar más tiempo a crear y mejorar el increíble software que hace que nuestro mundo sea mejor.
¿Estás listo para mejorar las habilidades de tu equipo de desarrollo? Adelante y reserve una demostración con nosotros.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
查看报告预约演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
Como profesional de seguridad de aplicaciones, es su trabajo garantizar la seguridad cibernética de las aplicaciones de su organización. Sin embargo, no eres responsable de escribir el código en el que se ejecuta la aplicación. Los ingenieros del equipo de desarrollo sí lo son. Entonces, ¿cómo se asegura de que están desarrollando esos sistemas teniendo en cuenta la seguridad?
Lo más probable es que estés realizando algunas o incluso todas las siguientes acciones:
- Revisar todo el código en busca de fallas de seguridad e informar al equipo de desarrollo para que las corrija.
- Imponer un estricto proceso de revisión por pares a lo largo de su ciclo de vida de desarrollo seguro.
- Que equipos de seguridad internos o externos realicen evaluaciones periódicas de las aplicaciones o pruebas de penetración.
- Implementación de herramientas de escaneo para detectar vulnerabilidades.
Estas son excelentes prácticas recomendadas, pero también son costosas y similares a tomar una ronda de antibióticos cada vez que te enfermas. Esto no solo tiene un costo elevado, sino que pierde eficacia y, con el tiempo, puede debilitar el sistema inmunitario.
¿Cómo se garantiza realmente que el código que envían los desarrolladores esté escrito de forma segura desde el principio?
Dejando a un lado la codificación segura, primero piense en cómo aprenden las personas. La mayoría de nosotros aprendemos de forma visual y aprendemos haciendo. Sin embargo, la formación sobre código seguro se imparte a menudo como una actividad que se puede cumplir y no es relevante para el trabajo diario de un desarrollador. Está diseñada para demostrar que los desarrolladores han recibido formación en seguridad con frecuencia para cumplir con los estándares del sector, y no para que los desarrolladores conserven realmente esos conocimientos, y mucho menos para que disfruten del proceso de aprendizaje.
Otra forma en que los humanos tienden a aprender es a través de nuestros errores de la misma manera que lo hace nuestro sistema inmunológico. Las células T recuerdan qué tipo de patógenos encontraron y erradicaron con éxito en el pasado, para poder protegerse contra ellos en el futuro. Este es exactamente el papel que los desarrolladores deberían desempeñar en tu seguro SDLC.
No es realista esperar que no cometan errores, pero puedes prepararlos de manera que puedan reconocer los patrones de codificación que se traducirán en vulnerabilidades de seguridad en el futuro.
También es así como un sólido proceso de revisión por pares se vuelve tan poderoso. El hecho de que un desarrollador no se dé cuenta de un fallo de seguridad no significa que otro no lo haga. Y cuanto mejor formado esté el equipo de desarrollo en su conjunto, más probabilidades hay de que las vulnerabilidades queden atrapadas y nunca lleguen a la fase de producción.
Las vulnerabilidades del software son como los patógenos
Las vulnerabilidades del software son como los patógenos en el sentido de que hay que recordarlas para poder combatirlas. En el caso de los patógenos, nuestro sistema inmunitario a menudo necesita estar expuesto varias veces antes de recordar cómo combatirlos, a fin de evitar enfermedades graves o peores.
Un ciberataque exitoso de software vulnerable puede paralizar gravemente o matar a una organización. Sin embargo, si los desarrolladores descubren las vulnerabilidades del software por primera vez en un entorno controlado, pueden trabajar para aumentar su inmunidad frente a las amenazas aumentando y practicando regularmente sus conocimientos y habilidades de codificación segura.
Exponga a los desarrolladores a fallas de seguridad en un entorno controlado
Nunca podemos protegernos por completo de enfermarnos, pero hay cosas que podemos hacer para reforzar nuestro sistema inmunitario y mantenernos lo más sanos posible. Algunas de las opciones de estilo de vida que suelen asociarse con un sistema inmunitario fuerte son algunas de las opciones de estilo de vida que suelen asociarse con un sistema inmunitario fuerte. Pero todas esas cosas requieren un poco de esfuerzo y deben ser continuas. Salir a correr todos los días durante una semana o dejar de beber durante un mes apenas afectará su salud en general. Tampoco es recomendable salir a correr 10 km el primer día que comencemos a correr. Primero necesitamos exponer nuestros corazones y músculos al ejercicio. También sabemos que se necesita un poco de experimentación hasta que encontremos un buen equilibrio para nuestro cuerpo y los alimentos y ejercicios saludables que nos encantan.
No es tan diferente cuando se trata de un desarrollo de software seguro. El aprendizaje se produce con el tiempo y con la práctica, y los desarrolladores necesitan la misma formación continua para mejorar regularmente sus habilidades de codificación segura. Sin mencionar que el desarrollo de software siempre está evolucionando y adaptándose, lo que significa que las vulnerabilidades también lo están. Por eso, un simple curso de formación no es suficiente. Los desarrolladores necesitan mejorar sus habilidades con regularidad para estar lo suficientemente familiarizados con las amenazas potenciales y estar equipados adecuadamente para defenderse de ellas.
Intenta lograr la inmunidad colectiva dentro del equipo de desarrollo
Una sola persona no puede evitar todos y cada uno de los problemas de seguridad. Es fantástico contar con expertos en seguridad en el equipo, pero para obtener la mejor protección, cuantas más personas hayan aprendido sobre las vulnerabilidades de seguridad y cómo prevenirlas, más posibilidades tendrá la organización de prevenirlas. Una vez más, no es muy diferente a la forma en que el sistema inmunitario tiene diferentes tipos de células T para diferentes propósitos. Cada desarrollador forma parte de un equipo que garantiza la seguridad. Si están capacitados para asumir responsabilidades, hacerlo bien e incluso disfrutar haciéndolo, entonces puedes crear una inmunidad colectiva contra las ciberamenazas dentro del equipo de desarrollo.
Mantenga la seguridad como prioridad con la exposición repetida
Nuestros cerebros aprenden de manera similar al funcionamiento de nuestro sistema inmunitario. Psicólogo alemán Hermann Ebbinghaus fue pionero en el campo de la memoria y el aprendizaje. Dedujo que el aprendizaje tiene que ocurrir con el tiempo y con múltiples sesiones de aprendizaje. Cuando estamos en la escuela, nunca se espera que mantengamos nuevos conocimientos después de la primera introducción. Primero se nos presenta la información, luego la practicamos con orientación y luego la practicamos por nuestra cuenta. E incluso después de haberla aprendido lo suficientemente bien como para aprobar un examen, la información tiende a olvidarse poco después si no utilizamos con regularidad los conocimientos que hemos dedicado tiempo y esfuerzo a aprender. ¿Cuántos de nosotros podemos decir que recordamos el francés de la escuela secundaria?
Entonces, ¿cómo podemos creer que un solo día viendo diapositivas y escuchando a alguien hablar sobre seguridad lleve realmente a los desarrolladores presentes a programar de forma más segura?
Los patrones de vulnerabilidades recurrentes nos muestran que esto simplemente no funciona.
¿Cómo se logra una inmunidad de desarrollo segura?
La respuesta está en nuestra naturaleza. Nuestros cuerpos y mentes funcionan de la misma manera y brindan hermosas soluciones a los problemas, siempre y cuando trabajemos con ellos y no contra ellos.
Para garantizar la seguridad de sus aplicaciones, debe empezar por mejorar las habilidades de los desarrolladores para escribir código seguro. De lo contrario, AppSec seguirá dedicando todo su tiempo a revisar todo el código en busca de fallos de seguridad y a denunciar las mismas vulnerabilidades recurrentes para el desarrollo, solo para corregirlas rápidamente sin aprender nada. Y, a continuación, vuelva a hacerlo para la próxima versión.
Así que vamos a reiterar.
Si colaboras con tus gerentes de desarrollo para lograrlo, no solo implementarás un SDLC seguro y cumplirás con los requisitos de capacitación en seguridad para cumplir con los requisitos, sino que también lograrás un impacto real en el proceso de desarrollo. Como guinda del pastel, AppSec ya no detectará vulnerabilidades repetidas ni las denunciará a los equipos de desarrollo, y los desarrolladores dedicarán menos tiempo a solucionarlas. Esto significa que pueden dedicar más tiempo a crear y mejorar el increíble software que hace que nuestro mundo sea mejor.
¿Estás listo para mejorar las habilidades de tu equipo de desarrollo? Adelante y reserve una demostración con nosotros.
%20(1).avif)
.avif)
