Blog

Día de OWASP AppSec 2019: Fomentar la seguridad de los desarrolladores

November 21, 2019
Pieter Danhieux

A principios de este mes, tuve la oportunidad de asistir Día de OWASP AppSec 2019 en la hermosa Melbourne. Estos eventos centrados en los desarrolladores figuran entre mis favoritos del calendario; son un recordatorio alentador de la comunidad que trabaja sin descanso para educar y capacitar a los ingenieros y especialistas de software para que defiendan la seguridad en su trabajo.

La lista de invitados fue sensacional, sin mencionar la refrescante diversidad, y es una sensación estupenda que, incluso después de todos estos años en la industria, yo también pueda salir inspirada. Personas como Tania Janca, Toni James y Teri Radichel realizó presentaciones increíbles, mientras Wireghoul«Los desafíos de codificación segura in situ de Eldar Marcussen pusieron a prueba todo el auditorio, pero fue fantástico ver que los asistentes estaban tan concienciados por la seguridad.

Este año, Secure Code Warrior fue uno de los patrocinadores de platino del evento. No paré de sonreír al recordar que, hace tan solo cuatro años, el equipo responsable del OWASP AppSec Day era el que ayudaba a nuestra nueva empresa emergente con un stand gratuito y promociones. Fue un momento de orgullo ver lo lejos que habíamos llegado como empresa y un momento de agradecimiento por la existencia de una comunidad tan generosa de personas increíbles.

Toni James: La seguridad desde la perspectiva de un desarrollador

Si hay algo que necesitamos fomentar más en este mundo, es la empatía. Y cuando se trata de hacer que el software sea más seguro en todos los ámbitos, es fundamental comprender la difícil situación del desarrollador.

Me gustó mucho la presentación de Toni y estoy seguro de que todos los desarrolladores pudieron identificarla al instante. La historia es mucho más que simplemente «escribir código seguro» y, aunque estoy convencido de que los desarrolladores con una formación eficaz en seguridad son nuestra mejor oportunidad en la lucha contra las vulnerabilidades, es imprescindible tener en cuenta los desafíos que afrontan a diario.

El trabajo de un desarrollador de software puede mostrarse a millones de usuarios, respaldar infraestructuras críticas y ser la fuerza impulsora de los servicios que damos por sentados. La creación de funcionalidades, la puesta en práctica de innovaciones empresariales y el cumplimiento de plazos de entrega ajustados generan mucha presión, y eso es antes de que un equipo de AppSec cobre protagonismo y destaque su arduo trabajo. Toni habló sobre cómo es la vida en este entorno y sobre cómo una buena dosis de empatía por todas las partes puede conducir a procesos y resultados de seguridad mucho mejores. Estoy muy satisfecho de ver que se están logrando avances tan positivos para cerrar la brecha entre los desarrolladores y los equipos de AppSec; a fin de cuentas, este es un elemento fundamental en una cultura de seguridad positiva y próspera, y Toni es un excelente ejemplo de cómo este proceso funciona a la perfección.

Toni James con Jeanette, nuestra guerrera del éxito de los clientes.

Tanya Janca y Teri Radichel: superhéroes de seguridad

No es que sea una competencia, pero las contribuciones de Tanya Janca y Teri Radichel a la conferencia estuvieron entre mis favoritas. Diez minutos después de iniciar su tutorial sobre evaluaciones de seguridad en la nube hechas por uno mismo, pusieron de manifiesto su increíble experiencia, cualificaciones y conocimientos, pero también su genuina calidez y deseo de compartir conocimientos y apoyar a la comunidad de desarrolladores. Juntos, presentaron acciones realistas y ejecutables para garantizar la seguridad de las implementaciones de Azure, incluidos consejos prácticos para establecer políticas de seguridad y medidas de privilegio mínimo.

Una búsqueda rápida en Google te dirá todo lo que necesitas saber sobre su dedicación a la hora de apoyar a los desarrolladores a nivel local, con una gran cantidad de recursos gratuitos, oportunidades de tutoría y entrevistas para promover el lado divertido y atractivo de la seguridad del software. Son defensores fundamentales e inspiradores de nuestra comunidad; si van a hablar en la próxima conferencia de seguridad a la que asistas, te enojarías si te perdieras su sesión.

La propia @shehackspurple, Tanya Janca.

Clientes en el gran escenario

Fue fantástico ver a tantos de nuestros clientes no solo asistir, sino también ser dueños del escenario y compartir sus inmensos conocimientos de seguridad con el público.

Nos las arreglamos para atrapar Telstrade Andrew Bailey pronunciando una importante charla sobre «Añadir la «SEC» a DevOps». Su amplia experiencia como ingeniero de software sénior, que ahora se centra en la seguridad de las aplicaciones y la codificación segura, fue una perspectiva excelente a destacar. Dio consejos integrales sobre cómo inyectar seguridad en todas las etapas del SDLC (incluida, por supuesto, desde el principio la formación de más desarrolladores en codificación segura).

Ken Johnson forma parte de GitHubdel equipo de seguridad, y me encantó verlo unirse al panel de expertos al final de la conferencia. Él, junto con los demás panelistas, estuvo encantado de responder a las preguntas urgentes de la audiencia, incluidas aquellas que no necesariamente reciben la atención que merecen en los medios de comunicación. Además de varias reflexiones sobre el sector, participó en el panel sobre la importancia del bienestar y el equilibrio entre la vida laboral y personal, algo muy importante en esta era de agotamiento de los desarrolladores.

Me gustaría dar las gracias a Julian Berton y a todo el equipo de OWASP Melbourne por esta increíble conferencia. Nos vemos el año que viene (con más pegatinas).

Security Code Warrior Stickers
Share on social
Lema

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
book a demo
Lema

Explore more blogs

Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Post-Quantum Cryptography: Quantum Computers Will Break Today’s Encryption – Are You Ready?

Post-quantum cryptography (PQC) is critical for protecting data from quantum computing threats. Learn how “harvest now, decrypt later” exposes risk and how developers can prepare for quantum-safe security.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Enabler 2: Senior Leadership Sponsorship

Explore Enabler 2: Senior Leadership Sponsorship. Learn why active buy-in from the CIO, CTO, and CISO is vital to drive developer adoption and program credibility.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI

While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo