Blog

Establecer un enfoque coherente para la seguridad dirigida por los desarrolladores

November 24, 2022
Secure Code Warrior

En respuesta a las principales brechas de seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18 000 usuarios del popular software de gestión Orion, incluidas muchas de las principales empresas y agencias gubernamentales, hay un creciente impulso en favor de iniciativas de seguridad más eficaces dirigidas por los desarrolladores. Las organizaciones de todos los tamaños están empezando a cuestionar su «cadena de suministro de software» y exigen que los desarrolladores que crean su software posean conocimientos y aptitudes comprobados en materia de seguridad.

Incluso el gobierno de los Estados Unidos pide mejores prácticas de seguridad dirigidas por los desarrolladores y un fortalecimiento de la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva para mejorar la ciberseguridad de la nación emitida por el presidente Biden.

En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a una fase más temprana del ciclo de vida del desarrollo de software (SDLC) mediante programas y movimientos como DevSecOps. Y, en una encuesta reciente, la comunidad de desarrolladores dijo que valoraba la formación en seguridad que había recibido para respaldar ese esfuerzo.

Vulnerabilidades de siguen siendo explotados, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.

¿Por qué?

La encuesta confirmó que escribir código de calidad era una de las principales prioridades de la comunidad de desarrollo. Sin embargo, la encuesta también identificó varios motivos por los que la formación que se imparte a los desarrolladores, si bien se considera valiosa, no cumple con creces el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de recibir la formación que se les impartió, todavía no sabía cómo identificar o corregir las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de capacitación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más capacitación.

Está claro que la comunidad de desarrolladores valora la formación que reciben. Sin embargo, cuando se les preguntó acerca de las barreras para la adopción de prácticas de codificación seguras, la razón principal fue la falta de tiempo, seguida de una quinta parte de los encuestados que citaron la falta de un enfoque coherente como la culpable. La formación se consideró más como un evento puntual que como parte de un esfuerzo estratégico continuo para incorporar la seguridad en los flujos de trabajo de los desarrolladores y utilizarla a diario.

Por lo tanto, los desarrolladores no pueden desarrollar y conservar habilidades de codificación seguras como parte de un programa coherente y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es particularmente eficaz ni exhaustiva, dado que muchos desarrolladores afirman que todavía no pueden identificar y corregir las vulnerabilidades más comunes.

El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 92% (50%) dijo que se necesitaba mucha más formación.

¿Qué pueden hacer las organizaciones para solucionar la situación?

Es interesante que la abrumadora mayoría de los desarrolladores dijeran que necesitaban más formación en seguridad. Y si bien valoraron la formación que recibieron, esa podría ser una situación en la que simplemente estén satisfechos con lo que puedan obtener.

Cuando se les pidió que comentaran sobre las formas de mejorar su formación, empezaron a salir a la luz sus ideas reales sobre el tema. En general, la mayor parte de la formación que recibieron los desarrolladores fue limitada, no interactiva, solo se centró parcialmente en sus responsabilidades laborales y no formó parte de un plan general o continuo para ayudar a mejorar las habilidades y el conocimiento de la seguridad de su organización. Según los desarrolladores encuestados, si las organizaciones desean mejorar la eficacia de la formación que se ofrece, debe presentarse como parte de un enfoque integral para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían solicitudes específicas para que su formación fuera más valiosa. Una de las sugerencias más populares fue incluir más casos de uso y ejemplos prácticos de situaciones a las que podían enfrentarse desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que, con el tiempo, la educación cubriera escenarios cada vez más complejos o difíciles, una medida que probablemente también requeriría un enfoque más coherente y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades. Los desarrolladores también destacaron la necesidad de una mayor interactividad y, tal vez, incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios simplemente ven un vídeo o escuchan una conferencia sin la oportunidad de aprender de forma práctica y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil, como la codificación segura.

Los desarrolladores también hicieron hincapié en la necesidad de una mayor interactividad y tal vez incluso de añadir un elemento competitivo.

¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad coherente?

La capacitación es, por supuesto, fundamental cuando se trata de mejorar la conciencia y las habilidades de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Sin embargo, un enfoque verdaderamente cohesivo para mejorar la conciencia de seguridad va incluso más allá.

Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores. Por ejemplo, tradicionalmente se evaluaba a los desarrolladores en función de la rapidez con la que podían programar. Sin embargo, un enfoque coherente de la seguridad puede implicar cambiar esas métricas y valores de larga data. Por el contrario, las evaluaciones podrían desviar el énfasis de recompensar la velocidad bruta y, en su lugar, recompensar a los desarrolladores que pueden crear código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.

También podría involucrar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarte a exigir la seguridad a los desarrolladores, considera la posibilidad de crear o nombrar a expertos en seguridad de la comunidad. Se trata de desarrolladores talentosos y conscientes de la seguridad que destaquen por su formación o como parte de las nuevas evaluaciones centradas en las métricas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrolladores desde dentro.

Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores.

Para leer más

Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: cómo los campeones de la seguridad pueden ayudar a su equipo a lograr la victoria contra las vulnerabilidades en fase avanzada
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
Lema

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
Lema

Explore more blogs

Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

El futuro de la gobernanza de software de IA se construye sobre asociaciones sólidas

Descubra por qué Secure Code Warrior se está convirtiendo en una empresa centrada en el canal y cómo los socios de confianza ayudan a las organizaciones a adoptar la gobernanza de software de IA de forma segura y a escala.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI de Secure Code Warrior: Crea una fuerza laboral preparada para la IA

Programa de alfabetización en IA de Secure Code Warrior para empleados que no son desarrolladores.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Por qué la mayoría de los CISO navegan a ciegas en la adopción de la IA (y cómo pueden quitarse la venda)

Hoy, Secure Code Warrior ha publicado un nuevo informe técnico que presenta un modelo prescriptivo y orientativo de adopción de IA, diseñado para que los líderes de seguridad puedan identificar su etapa de adopción y avanzar de forma efectiva en el control de los riesgos de seguridad relacionados con la IA en sus organizaciones.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo