Copiar y pegar es una técnica de codificación peligrosa
Investigadores de VirginiaTech publicaron un artículo después de analizar cientos de publicaciones en el foro de desarrolladores más popular (Stack Overflow). Analizaron el tipo de preguntas que se formulan en torno a la seguridad, las respuestas más populares dadas por la comunidad y el efecto que tiene en los ingenieros de software de código.
No es una verdadera sorpresa para las personas que llevan un tiempo en el campo de la ciberseguridad, pero se necesita más conciencia sobre este problema desde la perspectiva de los desarrolladores:
- Las funciones de seguridad que proporcionan los marcos de codificación (por ejemplo, JAVA Spring) son demasiado complicadas y están mal documentadas
- Un número considerable de desarrolladores no parecen entender las implicaciones de seguridad de las opciones de codificación, lo que demuestra una falta de formación en ciberseguridad
- Muchas de las sugerencias y «correcciones» de estos foros no son seguras, pero estamos obteniendo votos positivos y, por lo tanto, más valoraciones.
El informe sugiere las siguientes soluciones:
- Reentrenamiento de la fuerza laboral
- Detección y corrección de errores de seguridad semiautomáticas
Tenemos que hacer que la seguridad sea fácil para los desarrolladores y que esté integrada desde el principio para mantener la velocidad con la que operan las empresas en la actualidad.
«La importancia de este trabajo es que hemos proporcionado evidencia empírica sobre un número significativo de problemas alarmantes de codificación segura, de los que no se había informado anteriormente», dice el documento. «Estos problemas se deben a diversas razones, entre las que se incluyen el rápido aumento de la necesidad de aplicaciones de seguridad empresariales, la falta de formación en seguridad del personal de desarrollo de software y el mal diseño de las bibliotecas de seguridad».
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
La importancia de este trabajo es que proporcionamos evidencia empírica sobre un número significativo de problemas alarmantes de codificación segura, que no se habían reportado anteriormente.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostración
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Investigadores de VirginiaTech publicaron un artículo después de analizar cientos de publicaciones en el foro de desarrolladores más popular (Stack Overflow). Analizaron el tipo de preguntas que se formulan en torno a la seguridad, las respuestas más populares dadas por la comunidad y el efecto que tiene en los ingenieros de software de código.
No es una verdadera sorpresa para las personas que llevan un tiempo en el campo de la ciberseguridad, pero se necesita más conciencia sobre este problema desde la perspectiva de los desarrolladores:
- Las funciones de seguridad que proporcionan los marcos de codificación (por ejemplo, JAVA Spring) son demasiado complicadas y están mal documentadas
- Un número considerable de desarrolladores no parecen entender las implicaciones de seguridad de las opciones de codificación, lo que demuestra una falta de formación en ciberseguridad
- Muchas de las sugerencias y «correcciones» de estos foros no son seguras, pero estamos obteniendo votos positivos y, por lo tanto, más valoraciones.
El informe sugiere las siguientes soluciones:
- Reentrenamiento de la fuerza laboral
- Detección y corrección de errores de seguridad semiautomáticas
Tenemos que hacer que la seguridad sea fácil para los desarrolladores y que esté integrada desde el principio para mantener la velocidad con la que operan las empresas en la actualidad.
«La importancia de este trabajo es que hemos proporcionado evidencia empírica sobre un número significativo de problemas alarmantes de codificación segura, de los que no se había informado anteriormente», dice el documento. «Estos problemas se deben a diversas razones, entre las que se incluyen el rápido aumento de la necesidad de aplicaciones de seguridad empresariales, la falta de formación en seguridad del personal de desarrollo de software y el mal diseño de las bibliotecas de seguridad».
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
Investigadores de VirginiaTech publicaron un artículo después de analizar cientos de publicaciones en el foro de desarrolladores más popular (Stack Overflow). Analizaron el tipo de preguntas que se formulan en torno a la seguridad, las respuestas más populares dadas por la comunidad y el efecto que tiene en los ingenieros de software de código.
No es una verdadera sorpresa para las personas que llevan un tiempo en el campo de la ciberseguridad, pero se necesita más conciencia sobre este problema desde la perspectiva de los desarrolladores:
- Las funciones de seguridad que proporcionan los marcos de codificación (por ejemplo, JAVA Spring) son demasiado complicadas y están mal documentadas
- Un número considerable de desarrolladores no parecen entender las implicaciones de seguridad de las opciones de codificación, lo que demuestra una falta de formación en ciberseguridad
- Muchas de las sugerencias y «correcciones» de estos foros no son seguras, pero estamos obteniendo votos positivos y, por lo tanto, más valoraciones.
El informe sugiere las siguientes soluciones:
- Reentrenamiento de la fuerza laboral
- Detección y corrección de errores de seguridad semiautomáticas
Tenemos que hacer que la seguridad sea fácil para los desarrolladores y que esté integrada desde el principio para mantener la velocidad con la que operan las empresas en la actualidad.
«La importancia de este trabajo es que hemos proporcionado evidencia empírica sobre un número significativo de problemas alarmantes de codificación segura, de los que no se había informado anteriormente», dice el documento. «Estos problemas se deben a diversas razones, entre las que se incluyen el rápido aumento de la necesidad de aplicaciones de seguridad empresariales, la falta de formación en seguridad del personal de desarrollo de software y el mal diseño de las bibliotecas de seguridad».
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserva una demostración
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Investigadores de VirginiaTech publicaron un artículo después de analizar cientos de publicaciones en el foro de desarrolladores más popular (Stack Overflow). Analizaron el tipo de preguntas que se formulan en torno a la seguridad, las respuestas más populares dadas por la comunidad y el efecto que tiene en los ingenieros de software de código.
No es una verdadera sorpresa para las personas que llevan un tiempo en el campo de la ciberseguridad, pero se necesita más conciencia sobre este problema desde la perspectiva de los desarrolladores:
- Las funciones de seguridad que proporcionan los marcos de codificación (por ejemplo, JAVA Spring) son demasiado complicadas y están mal documentadas
- Un número considerable de desarrolladores no parecen entender las implicaciones de seguridad de las opciones de codificación, lo que demuestra una falta de formación en ciberseguridad
- Muchas de las sugerencias y «correcciones» de estos foros no son seguras, pero estamos obteniendo votos positivos y, por lo tanto, más valoraciones.
El informe sugiere las siguientes soluciones:
- Reentrenamiento de la fuerza laboral
- Detección y corrección de errores de seguridad semiautomáticas
Tenemos que hacer que la seguridad sea fácil para los desarrolladores y que esté integrada desde el principio para mantener la velocidad con la que operan las empresas en la actualidad.
«La importancia de este trabajo es que hemos proporcionado evidencia empírica sobre un número significativo de problemas alarmantes de codificación segura, de los que no se había informado anteriormente», dice el documento. «Estos problemas se deben a diversas razones, entre las que se incluyen el rápido aumento de la necesidad de aplicaciones de seguridad empresariales, la falta de formación en seguridad del personal de desarrollo de software y el mal diseño de las bibliotecas de seguridad».
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
Tabla de contenido
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostraciónDescargarRecursos para empezar
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
The Power of OpenText Application Security + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
.png)
