Código listo para usar: por qué los desarrolladores seguros pueden realizar envíos sin límites

Este artículo apareció originalmente en SD Times. Se ha actualizado y distribuido aquí.
La verificación de habilidades ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, ya que nos ha otorgado validez y ha abierto puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un rito de iniciación importante para la mayoría, y se espera que aprobemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar en una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, especialmente cuando se trata de conducir a gran velocidad, pueden costarte ese privilegio, o incluso una vida humana.
Pero, ¿y si, para algunos, conducir es más que una comodidad del día a día y se convierte en una profesión de élite? Una persona puede continuar su proceso de perfeccionamiento profesional y llegar a ser piloto de F1, donde se le permite conducir máquinas que van más rápido de lo que un civil podría manejar sin grandes probabilidades de cometer errores a altas velocidades.
Con ese fin, parece desconcertante que la mayoría de los desarrolladores que trabajan en el código que impulsa la infraestructura crítica, los automóviles, la tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en materia de seguridad. Por otro lado, ¿por qué los desarrolladores expertos en seguridad, que han demostrado en repetidas ocasiones que saben cómo crear cosas de forma segura, tienen que hacer cola con todos los demás en un proceso de desarrollo cada vez más lento debido a las barreras de seguridad? La industria no ve esto como un descuido, sino como la norma.
Gracias a una extensa investigación, sabemos que la mayoría de los desarrolladores simplemente no priorizan la seguridad en su código, y carecen de la educación regular requerida para sortear muchos de los errores de seguridad más comunes. Suelen ser una de las razones por las que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores que se dedican a la seguridad se sienten atrapados en el carril lento de la autopista detrás de un grupo de conductores en formación.
A pesar de esto, el mundo de la seguridad avanza lentamente y existe una creciente demanda de desarrolladores que tengan habilidades de seguridad verificadas que puedan empezar a trabajar de inmediato. La administración de Biden Orden ejecutiva sobre la mejora de la ciberseguridad de la nación exige específicamente la evaluación de las prácticas de seguridad de los proveedores (y de su cohorte de desarrollo) para cualquier proveedor de la cadena de suministro de software del gobierno de los EE. UU. Es lógico pensar que el énfasis en las habilidades de seguridad de los desarrolladores solo aumentará en la mayoría de los sectores, pero dado que las evaluaciones estándar del sector ofrecen poco, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las habilidades de seguridad verificables de los desarrolladores de una manera que no ponga de rodillas la ni impida que los desarrolladores preocupados por la seguridad desplieguen sus alas?
Control de acceso basado en el mérito: ¿podría funcionar?
Los controles de seguridad con privilegios mínimos son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna el acceso al software, los datos y los sistemas según sea necesario en el contexto de su trabajo, y nada más. Este método, especialmente si se combina con principios de autorización basados en el principio de confianza cero, es útil para controlar toda la superficie de ataque. Y, en realidad, deberíamos postularnos esta misma estrategia para los permisos de API, y otros casos de uso basados en software como estándar.
La mayoría de los que trabajamos en el negocio de la seguridad somos muy conscientes del hecho de que el software se está comiendo el mundo, y el código de los sistemas integrados que hace funcionar la freidora no es realmente diferente del código que mantiene la red eléctrica en funcionamiento, en términos de su potencial de explotación. Nuestras vidas y nuestros datos críticos están a merced de los actores de amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortalecer su código si cuentan con la formación adecuada. Para ello es necesario actualizar seriamente la cultura de seguridad de una organización, pero para que exista una verdadera responsabilidad compartida al estilo de DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y quizás la forma más rápida de cambiar su mentalidad sea vincular el acceso al repositorio de código con unos resultados de aprendizaje de programación seguros.
Si tomamos una organización del ámbito de la BFSI, por ejemplo, es muy probable que haya repositorios altamente confidenciales que contengan datos de clientes o que almacenen información valiosa, como números de tarjetas de crédito. Entonces, ¿por qué deberíamos suponer que todos los ingenieros a los que se ha concedido el acceso son conscientes de la seguridad, cumplen con los estrictos requisitos de la PCI-DSS y pueden realizar cambios en la sucursal principal de forma rápida y sin incidentes? Si bien este puede ser el caso de algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El desafío es que, en la mayoría de las empresas, promulgar un escenario de «licencia para programar» sería arduo y, según la solución de capacitación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad rápida. Sin embargo, la combinación correcta de educación y herramientas integradoras puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración efectiva de la formación no es imposible.
Encuentra soluciones para mejorar las habilidades de los desarrolladores que complementan tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero hacer un esfuerzo adicional para superar la formación de cumplimiento al estilo «único» es la única manera de empezar a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que demuestran su valía con éxito? Bueno, el mundo de la programación es lo suyo, y no tienen por qué verse obstaculizados por los controles de seguridad que suponen que no pueden aprender lo básico.
El desarrollo práctico de las habilidades que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente los conceptos de codificación segura, y estas mismas integraciones se pueden utilizar para gestionar de forma eficaz el acceso a los sistemas críticos, garantizando que quienes destacan en sus resultados de aprendizaje trabajen sin obstáculos en las tareas delicadas de mayor prioridad. También facilita la implementación de recompensas y reconocimientos, lo que garantiza que los desarrolladores con conocimientos de seguridad tengan en su cohorte una aspiración.
Como muchas cosas en la vida, la suerte favorece a los valientes, y romper el status quo para adoptar un enfoque innovador para la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para mejorar los estándares del futuro de calidad de código aceptable sin sacrificar la velocidad.
Govern AI-driven development before it ships
Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.
Explore more blogs
Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.
%252520%252520(3).avif)
Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Security as culture: How Blue Prism cultivates world-class secure developers
Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

One Culture of Security: How Sage built their security champions program with agile secure code learning
Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Post-Quantum Cryptography: Quantum Computers Will Break Today’s Encryption – Are You Ready?
Post-quantum cryptography (PQC) is critical for protecting data from quantum computing threats. Learn how “harvest now, decrypt later” exposes risk and how developers can prepare for quantum-safe security.

Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
Secure AI-driven development before it ships
See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.