¿Qué lugar ocupa el código seguro en la lista de prioridades del equipo de desarrollo?

El creciente número de ataques de ciberseguridad, así como su creciente sofisticación, han impulsado el cambio en todos los sectores e industrias de todo el mundo. Todo el mundo está intentando «girar a la izquierda», poniendo la seguridad en todos sus procesos y procedimientos lo antes posible. La situación incluso ha fomentado movimientos completamente nuevos destinados a mejorar las ciberdefensas como DevSecOps, donde la seguridad forma parte de la estructura misma de la creación de software y aplicaciones nuevos.
Muchos de estos cambios están llegando a los pies de la comunidad de desarrolladores. Dado que son ellos quienes crean, escriben y codifican nuevos programas y aplicaciones, pedirles que adopten prácticas de codificación más seguras parece una gran idea. Después de todo, no se puede desplazar más a la izquierda que cuando se crean nuevas aplicaciones por primera vez.
Pero, ¿qué opina la comunidad de desarrolladores acerca de esa responsabilidad? Tras haber sido evaluados tradicionalmente casi exclusivamente en función de la rapidez con la que podían programar, ¿qué piensan ahora los desarrolladores sobre su nuevo papel como campeones de la seguridad? ¿Y creen que la dirección de sus empresas apoya esos esfuerzos con una formación de calidad, mejores recompensas y el reconocimiento que merecen por asumir esta nueva responsabilidad fundamental?
Por segundo año, nos asociamos con Evans Data Corp. para llevar a cabo una encuesta exhaustiva de la comunidad mundial de desarrolladores en relación con las habilidades, las percepciones y los comportamientos en lo que respecta a las prácticas de codificación seguras, y su impacto y relevancia percibidos en el ciclo de vida del desarrollo de software (SDLC). Los resultados fueron bastante sorprendentes en muchos sentidos.
El estado de la encuesta de seguridad impulsada por desarrolladores de 2022
Evans Data Corp llevó a cabo la encuesta sobre el estado de la seguridad impulsada por desarrolladores de Secure Code Warrior en diciembre de 2021. Se formularon preguntas sobre la codificación del software, la concienciación en materia de seguridad, la formación, el soporte, las motivaciones y otras cuestiones a 1200 desarrolladores de software activos que trabajan en la región de Asia y el Pacífico, Europa y Norteamérica. La encuesta se realizó en inglés y se tradujo cuando fue necesario para obtener una perspectiva global precisa. Entre los encuestados se encontraban desarrolladores que están creando nuevas aplicaciones, así como administradores de la comunidad de desarrolladores.
Algunos hallazgos sorprendentes
El lunes 11 de abril se publicarán un documento técnico detallado (Los desafíos (y las oportunidades) para mejorar la seguridad del software) y un informe (El estado de la seguridad impulsada por los desarrolladores, 2022) que profundiza en todos los aspectos de la encuesta.. El documento técnico incluye nuestro análisis de las conclusiones y preocupaciones planteadas por la comunidad en relación con las prácticas de codificación seguras, con recomendaciones para que las organizaciones capaciten a los equipos de desarrolladores para mejorar la seguridad del software.
Es probable que algunos de esos desafíos planteen dudas a cualquiera que trabaje con desarrolladores en sus organizaciones, así como a quienes pertenecen a la propia comunidad de desarrollo; sin duda, lo hicieron para nosotros.
Por ejemplo, solo el 14% de los encuestados mencionó la seguridad de las aplicaciones como una de las principales prioridades en la actualidad. En cambio, las métricas más tradicionales, como el rendimiento de las aplicaciones y la priorización de las funciones y funciones, siguieron siendo su objetivo general.

La seguridad tenía una prioridad tan baja que el 67% de los desarrolladores encuestados admitieron que, de forma rutinaria, dejaban vulnerabilidades y exploits conocidos en su código. Lo hacían porque los plazos eran muy ajustados, porque daban prioridad a la funcionalidad por encima de la seguridad, o simplemente porque no contaban con la formación o los conocimientos necesarios para solucionar los problemas de seguridad.

En muchos casos, los desarrolladores afirmaron que sus organizaciones no definían qué constituía código seguro y no proporcionaban la formación o el apoyo adecuados para cambiar esa situación.
Sin embargo, a pesar de algunos de los hallazgos negativos, también quedó claro que las actitudes están cambiando. La gran mayoría de los desarrolladores (el 66%) esperaba que la seguridad se convirtiera en una prioridad mayor en los próximos 12 a 18 meses, mientras que el 82% de los responsables de contratación que respondieron a la encuesta expresaron su interés por contratar a desarrolladores que conocieran la seguridad más que a aquellos que no la conocían.
Si bien los resultados de la encuesta dejan claro que la comunidad de desarrolladores y las organizaciones con las que trabajan se enfrentan a una enorme cantidad de cambios, los planes para el futuro a corto y largo plazo, afortunadamente, también están tomando forma rápidamente.
Estén atentos al documento técnico y al informe en los que se detallan los resultados completos de la encuesta, así como los comentarios de los expertos sobre los desafíos relacionados con las prácticas actuales de codificación segura y las oportunidades que las organizaciones pueden aprovechar para mejorar las habilidades de seguridad de los desarrolladores y, en última instancia, la seguridad del software.
Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre la ciberseguridad y el panorama de amenazas cada vez más peligroso, y para obtener información sobre cómo puede emplear tecnología y formación innovadoras para proteger mejor a su organización y a sus clientes.
Govern AI-driven development before it ships
Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.
Explore more blogs
Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.
%252520%252520(3).avif)
Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Security as culture: How Blue Prism cultivates world-class secure developers
Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

One Culture of Security: How Sage built their security champions program with agile secure code learning
Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Post-Quantum Cryptography: Quantum Computers Will Break Today’s Encryption – Are You Ready?
Post-quantum cryptography (PQC) is critical for protecting data from quantum computing threats. Learn how “harvest now, decrypt later” exposes risk and how developers can prepare for quantum-safe security.

Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
Secure AI-driven development before it ships
See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.