Código listo para usar: por qué los desarrolladores seguros pueden realizar envíos sin límites
Este artículo apareció originalmente en SD Times. Se ha actualizado y distribuido aquí.
La verificación de habilidades ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, ya que nos ha otorgado validez y ha abierto puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un rito de iniciación importante para la mayoría, y se espera que aprobemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar en una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, especialmente cuando se trata de conducir a gran velocidad, pueden costarte ese privilegio, o incluso una vida humana.
Pero, ¿y si, para algunos, conducir es más que una comodidad del día a día y se convierte en una profesión de élite? Una persona puede continuar su proceso de perfeccionamiento profesional y llegar a ser piloto de F1, donde se le permite conducir máquinas que van más rápido de lo que un civil podría manejar sin grandes probabilidades de cometer errores a altas velocidades.
Con ese fin, parece desconcertante que la mayoría de los desarrolladores que trabajan en el código que impulsa la infraestructura crítica, los automóviles, la tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en materia de seguridad. Por otro lado, ¿por qué los desarrolladores expertos en seguridad, que han demostrado en repetidas ocasiones que saben cómo crear cosas de forma segura, tienen que hacer cola con todos los demás en un proceso de desarrollo cada vez más lento debido a las barreras de seguridad? La industria no ve esto como un descuido, sino como la norma.
Gracias a una extensa investigación, sabemos que la mayoría de los desarrolladores simplemente no priorizan la seguridad en su código, y carecen de la educación regular requerida para sortear muchos de los errores de seguridad más comunes. Suelen ser una de las razones por las que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores que se dedican a la seguridad se sienten atrapados en el carril lento de la autopista detrás de un grupo de conductores en formación.
A pesar de esto, el mundo de la seguridad avanza lentamente y existe una creciente demanda de desarrolladores que tengan habilidades de seguridad verificadas que puedan empezar a trabajar de inmediato. La administración de Biden Orden ejecutiva sobre la mejora de la ciberseguridad de la nación exige específicamente la evaluación de las prácticas de seguridad de los proveedores (y de su cohorte de desarrollo) para cualquier proveedor de la cadena de suministro de software del gobierno de los EE. UU. Es lógico pensar que el énfasis en las habilidades de seguridad de los desarrolladores solo aumentará en la mayoría de los sectores, pero dado que las evaluaciones estándar del sector ofrecen poco, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las habilidades de seguridad verificables de los desarrolladores de una manera que no ponga de rodillas la ni impida que los desarrolladores preocupados por la seguridad desplieguen sus alas?
Control de acceso basado en el mérito: ¿podría funcionar?
Los controles de seguridad con privilegios mínimos son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna el acceso al software, los datos y los sistemas según sea necesario en el contexto de su trabajo, y nada más. Este método, especialmente si se combina con principios de autorización basados en el principio de confianza cero, es útil para controlar toda la superficie de ataque. Y, en realidad, deberíamos postularnos esta misma estrategia para los permisos de API, y otros casos de uso basados en software como estándar.
La mayoría de los que trabajamos en el negocio de la seguridad somos muy conscientes del hecho de que el software se está comiendo el mundo, y el código de los sistemas integrados que hace funcionar la freidora no es realmente diferente del código que mantiene la red eléctrica en funcionamiento, en términos de su potencial de explotación. Nuestras vidas y nuestros datos críticos están a merced de los actores de amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortalecer su código si cuentan con la formación adecuada. Para ello es necesario actualizar seriamente la cultura de seguridad de una organización, pero para que exista una verdadera responsabilidad compartida al estilo de DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y quizás la forma más rápida de cambiar su mentalidad sea vincular el acceso al repositorio de código con unos resultados de aprendizaje de programación seguros.
Si tomamos una organización del ámbito de la BFSI, por ejemplo, es muy probable que haya repositorios altamente confidenciales que contengan datos de clientes o que almacenen información valiosa, como números de tarjetas de crédito. Entonces, ¿por qué deberíamos suponer que todos los ingenieros a los que se ha concedido el acceso son conscientes de la seguridad, cumplen con los estrictos requisitos de la PCI-DSS y pueden realizar cambios en la sucursal principal de forma rápida y sin incidentes? Si bien este puede ser el caso de algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El desafío es que, en la mayoría de las empresas, promulgar un escenario de «licencia para programar» sería arduo y, según la solución de capacitación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad rápida. Sin embargo, la combinación correcta de educación y herramientas integradoras puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración efectiva de la formación no es imposible.
Encuentra soluciones para mejorar las habilidades de los desarrolladores que complementan tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero hacer un esfuerzo adicional para superar la formación de cumplimiento al estilo «único» es la única manera de empezar a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que demuestran su valía con éxito? Bueno, el mundo de la programación es lo suyo, y no tienen por qué verse obstaculizados por los controles de seguridad que suponen que no pueden aprender lo básico.
El desarrollo práctico de las habilidades que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente los conceptos de codificación segura, y estas mismas integraciones se pueden utilizar para gestionar de forma eficaz el acceso a los sistemas críticos, garantizando que quienes destacan en sus resultados de aprendizaje trabajen sin obstáculos en las tareas delicadas de mayor prioridad. También facilita la implementación de recompensas y reconocimientos, lo que garantiza que los desarrolladores con conocimientos de seguridad tengan en su cohorte una aspiración.
Como muchas cosas en la vida, la suerte favorece a los valientes, y romper el status quo para adoptar un enfoque innovador para la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para mejorar los estándares del futuro de calidad de código aceptable sin sacrificar la velocidad.
Parece desconcertante que la mayoría de los desarrolladores que trabajan en el código que impulsa la infraestructura crítica, los automóviles, la tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en materia de seguridad. Por otro lado, ¿por qué los desarrolladores expertos en seguridad, que han demostrado en repetidas ocasiones que saben cómo crear cosas de forma segura, tienen que hacer cola con todos los demás en un proceso de desarrollo cada vez más lento debido a las barreras de seguridad?
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Este artículo apareció originalmente en SD Times. Se ha actualizado y distribuido aquí.
La verificación de habilidades ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, ya que nos ha otorgado validez y ha abierto puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un rito de iniciación importante para la mayoría, y se espera que aprobemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar en una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, especialmente cuando se trata de conducir a gran velocidad, pueden costarte ese privilegio, o incluso una vida humana.
Pero, ¿y si, para algunos, conducir es más que una comodidad del día a día y se convierte en una profesión de élite? Una persona puede continuar su proceso de perfeccionamiento profesional y llegar a ser piloto de F1, donde se le permite conducir máquinas que van más rápido de lo que un civil podría manejar sin grandes probabilidades de cometer errores a altas velocidades.
Con ese fin, parece desconcertante que la mayoría de los desarrolladores que trabajan en el código que impulsa la infraestructura crítica, los automóviles, la tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en materia de seguridad. Por otro lado, ¿por qué los desarrolladores expertos en seguridad, que han demostrado en repetidas ocasiones que saben cómo crear cosas de forma segura, tienen que hacer cola con todos los demás en un proceso de desarrollo cada vez más lento debido a las barreras de seguridad? La industria no ve esto como un descuido, sino como la norma.
Gracias a una extensa investigación, sabemos que la mayoría de los desarrolladores simplemente no priorizan la seguridad en su código, y carecen de la educación regular requerida para sortear muchos de los errores de seguridad más comunes. Suelen ser una de las razones por las que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores que se dedican a la seguridad se sienten atrapados en el carril lento de la autopista detrás de un grupo de conductores en formación.
A pesar de esto, el mundo de la seguridad avanza lentamente y existe una creciente demanda de desarrolladores que tengan habilidades de seguridad verificadas que puedan empezar a trabajar de inmediato. La administración de Biden Orden ejecutiva sobre la mejora de la ciberseguridad de la nación exige específicamente la evaluación de las prácticas de seguridad de los proveedores (y de su cohorte de desarrollo) para cualquier proveedor de la cadena de suministro de software del gobierno de los EE. UU. Es lógico pensar que el énfasis en las habilidades de seguridad de los desarrolladores solo aumentará en la mayoría de los sectores, pero dado que las evaluaciones estándar del sector ofrecen poco, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las habilidades de seguridad verificables de los desarrolladores de una manera que no ponga de rodillas la ni impida que los desarrolladores preocupados por la seguridad desplieguen sus alas?
Control de acceso basado en el mérito: ¿podría funcionar?
Los controles de seguridad con privilegios mínimos son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna el acceso al software, los datos y los sistemas según sea necesario en el contexto de su trabajo, y nada más. Este método, especialmente si se combina con principios de autorización basados en el principio de confianza cero, es útil para controlar toda la superficie de ataque. Y, en realidad, deberíamos postularnos esta misma estrategia para los permisos de API, y otros casos de uso basados en software como estándar.
La mayoría de los que trabajamos en el negocio de la seguridad somos muy conscientes del hecho de que el software se está comiendo el mundo, y el código de los sistemas integrados que hace funcionar la freidora no es realmente diferente del código que mantiene la red eléctrica en funcionamiento, en términos de su potencial de explotación. Nuestras vidas y nuestros datos críticos están a merced de los actores de amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortalecer su código si cuentan con la formación adecuada. Para ello es necesario actualizar seriamente la cultura de seguridad de una organización, pero para que exista una verdadera responsabilidad compartida al estilo de DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y quizás la forma más rápida de cambiar su mentalidad sea vincular el acceso al repositorio de código con unos resultados de aprendizaje de programación seguros.
Si tomamos una organización del ámbito de la BFSI, por ejemplo, es muy probable que haya repositorios altamente confidenciales que contengan datos de clientes o que almacenen información valiosa, como números de tarjetas de crédito. Entonces, ¿por qué deberíamos suponer que todos los ingenieros a los que se ha concedido el acceso son conscientes de la seguridad, cumplen con los estrictos requisitos de la PCI-DSS y pueden realizar cambios en la sucursal principal de forma rápida y sin incidentes? Si bien este puede ser el caso de algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El desafío es que, en la mayoría de las empresas, promulgar un escenario de «licencia para programar» sería arduo y, según la solución de capacitación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad rápida. Sin embargo, la combinación correcta de educación y herramientas integradoras puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración efectiva de la formación no es imposible.
Encuentra soluciones para mejorar las habilidades de los desarrolladores que complementan tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero hacer un esfuerzo adicional para superar la formación de cumplimiento al estilo «único» es la única manera de empezar a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que demuestran su valía con éxito? Bueno, el mundo de la programación es lo suyo, y no tienen por qué verse obstaculizados por los controles de seguridad que suponen que no pueden aprender lo básico.
El desarrollo práctico de las habilidades que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente los conceptos de codificación segura, y estas mismas integraciones se pueden utilizar para gestionar de forma eficaz el acceso a los sistemas críticos, garantizando que quienes destacan en sus resultados de aprendizaje trabajen sin obstáculos en las tareas delicadas de mayor prioridad. También facilita la implementación de recompensas y reconocimientos, lo que garantiza que los desarrolladores con conocimientos de seguridad tengan en su cohorte una aspiración.
Como muchas cosas en la vida, la suerte favorece a los valientes, y romper el status quo para adoptar un enfoque innovador para la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para mejorar los estándares del futuro de calidad de código aceptable sin sacrificar la velocidad.
Este artículo apareció originalmente en SD Times. Se ha actualizado y distribuido aquí.
La verificación de habilidades ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, ya que nos ha otorgado validez y ha abierto puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un rito de iniciación importante para la mayoría, y se espera que aprobemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar en una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, especialmente cuando se trata de conducir a gran velocidad, pueden costarte ese privilegio, o incluso una vida humana.
Pero, ¿y si, para algunos, conducir es más que una comodidad del día a día y se convierte en una profesión de élite? Una persona puede continuar su proceso de perfeccionamiento profesional y llegar a ser piloto de F1, donde se le permite conducir máquinas que van más rápido de lo que un civil podría manejar sin grandes probabilidades de cometer errores a altas velocidades.
Con ese fin, parece desconcertante que la mayoría de los desarrolladores que trabajan en el código que impulsa la infraestructura crítica, los automóviles, la tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en materia de seguridad. Por otro lado, ¿por qué los desarrolladores expertos en seguridad, que han demostrado en repetidas ocasiones que saben cómo crear cosas de forma segura, tienen que hacer cola con todos los demás en un proceso de desarrollo cada vez más lento debido a las barreras de seguridad? La industria no ve esto como un descuido, sino como la norma.
Gracias a una extensa investigación, sabemos que la mayoría de los desarrolladores simplemente no priorizan la seguridad en su código, y carecen de la educación regular requerida para sortear muchos de los errores de seguridad más comunes. Suelen ser una de las razones por las que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores que se dedican a la seguridad se sienten atrapados en el carril lento de la autopista detrás de un grupo de conductores en formación.
A pesar de esto, el mundo de la seguridad avanza lentamente y existe una creciente demanda de desarrolladores que tengan habilidades de seguridad verificadas que puedan empezar a trabajar de inmediato. La administración de Biden Orden ejecutiva sobre la mejora de la ciberseguridad de la nación exige específicamente la evaluación de las prácticas de seguridad de los proveedores (y de su cohorte de desarrollo) para cualquier proveedor de la cadena de suministro de software del gobierno de los EE. UU. Es lógico pensar que el énfasis en las habilidades de seguridad de los desarrolladores solo aumentará en la mayoría de los sectores, pero dado que las evaluaciones estándar del sector ofrecen poco, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las habilidades de seguridad verificables de los desarrolladores de una manera que no ponga de rodillas la ni impida que los desarrolladores preocupados por la seguridad desplieguen sus alas?
Control de acceso basado en el mérito: ¿podría funcionar?
Los controles de seguridad con privilegios mínimos son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna el acceso al software, los datos y los sistemas según sea necesario en el contexto de su trabajo, y nada más. Este método, especialmente si se combina con principios de autorización basados en el principio de confianza cero, es útil para controlar toda la superficie de ataque. Y, en realidad, deberíamos postularnos esta misma estrategia para los permisos de API, y otros casos de uso basados en software como estándar.
La mayoría de los que trabajamos en el negocio de la seguridad somos muy conscientes del hecho de que el software se está comiendo el mundo, y el código de los sistemas integrados que hace funcionar la freidora no es realmente diferente del código que mantiene la red eléctrica en funcionamiento, en términos de su potencial de explotación. Nuestras vidas y nuestros datos críticos están a merced de los actores de amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortalecer su código si cuentan con la formación adecuada. Para ello es necesario actualizar seriamente la cultura de seguridad de una organización, pero para que exista una verdadera responsabilidad compartida al estilo de DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y quizás la forma más rápida de cambiar su mentalidad sea vincular el acceso al repositorio de código con unos resultados de aprendizaje de programación seguros.
Si tomamos una organización del ámbito de la BFSI, por ejemplo, es muy probable que haya repositorios altamente confidenciales que contengan datos de clientes o que almacenen información valiosa, como números de tarjetas de crédito. Entonces, ¿por qué deberíamos suponer que todos los ingenieros a los que se ha concedido el acceso son conscientes de la seguridad, cumplen con los estrictos requisitos de la PCI-DSS y pueden realizar cambios en la sucursal principal de forma rápida y sin incidentes? Si bien este puede ser el caso de algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El desafío es que, en la mayoría de las empresas, promulgar un escenario de «licencia para programar» sería arduo y, según la solución de capacitación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad rápida. Sin embargo, la combinación correcta de educación y herramientas integradoras puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración efectiva de la formación no es imposible.
Encuentra soluciones para mejorar las habilidades de los desarrolladores que complementan tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero hacer un esfuerzo adicional para superar la formación de cumplimiento al estilo «único» es la única manera de empezar a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que demuestran su valía con éxito? Bueno, el mundo de la programación es lo suyo, y no tienen por qué verse obstaculizados por los controles de seguridad que suponen que no pueden aprender lo básico.
El desarrollo práctico de las habilidades que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente los conceptos de codificación segura, y estas mismas integraciones se pueden utilizar para gestionar de forma eficaz el acceso a los sistemas críticos, garantizando que quienes destacan en sus resultados de aprendizaje trabajen sin obstáculos en las tareas delicadas de mayor prioridad. También facilita la implementación de recompensas y reconocimientos, lo que garantiza que los desarrolladores con conocimientos de seguridad tengan en su cohorte una aspiración.
Como muchas cosas en la vida, la suerte favorece a los valientes, y romper el status quo para adoptar un enfoque innovador para la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para mejorar los estándares del futuro de calidad de código aceptable sin sacrificar la velocidad.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Este artículo apareció originalmente en SD Times. Se ha actualizado y distribuido aquí.
La verificación de habilidades ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, ya que nos ha otorgado validez y ha abierto puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un rito de iniciación importante para la mayoría, y se espera que aprobemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar en una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, especialmente cuando se trata de conducir a gran velocidad, pueden costarte ese privilegio, o incluso una vida humana.
Pero, ¿y si, para algunos, conducir es más que una comodidad del día a día y se convierte en una profesión de élite? Una persona puede continuar su proceso de perfeccionamiento profesional y llegar a ser piloto de F1, donde se le permite conducir máquinas que van más rápido de lo que un civil podría manejar sin grandes probabilidades de cometer errores a altas velocidades.
Con ese fin, parece desconcertante que la mayoría de los desarrolladores que trabajan en el código que impulsa la infraestructura crítica, los automóviles, la tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en materia de seguridad. Por otro lado, ¿por qué los desarrolladores expertos en seguridad, que han demostrado en repetidas ocasiones que saben cómo crear cosas de forma segura, tienen que hacer cola con todos los demás en un proceso de desarrollo cada vez más lento debido a las barreras de seguridad? La industria no ve esto como un descuido, sino como la norma.
Gracias a una extensa investigación, sabemos que la mayoría de los desarrolladores simplemente no priorizan la seguridad en su código, y carecen de la educación regular requerida para sortear muchos de los errores de seguridad más comunes. Suelen ser una de las razones por las que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores que se dedican a la seguridad se sienten atrapados en el carril lento de la autopista detrás de un grupo de conductores en formación.
A pesar de esto, el mundo de la seguridad avanza lentamente y existe una creciente demanda de desarrolladores que tengan habilidades de seguridad verificadas que puedan empezar a trabajar de inmediato. La administración de Biden Orden ejecutiva sobre la mejora de la ciberseguridad de la nación exige específicamente la evaluación de las prácticas de seguridad de los proveedores (y de su cohorte de desarrollo) para cualquier proveedor de la cadena de suministro de software del gobierno de los EE. UU. Es lógico pensar que el énfasis en las habilidades de seguridad de los desarrolladores solo aumentará en la mayoría de los sectores, pero dado que las evaluaciones estándar del sector ofrecen poco, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las habilidades de seguridad verificables de los desarrolladores de una manera que no ponga de rodillas la ni impida que los desarrolladores preocupados por la seguridad desplieguen sus alas?
Control de acceso basado en el mérito: ¿podría funcionar?
Los controles de seguridad con privilegios mínimos son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna el acceso al software, los datos y los sistemas según sea necesario en el contexto de su trabajo, y nada más. Este método, especialmente si se combina con principios de autorización basados en el principio de confianza cero, es útil para controlar toda la superficie de ataque. Y, en realidad, deberíamos postularnos esta misma estrategia para los permisos de API, y otros casos de uso basados en software como estándar.
La mayoría de los que trabajamos en el negocio de la seguridad somos muy conscientes del hecho de que el software se está comiendo el mundo, y el código de los sistemas integrados que hace funcionar la freidora no es realmente diferente del código que mantiene la red eléctrica en funcionamiento, en términos de su potencial de explotación. Nuestras vidas y nuestros datos críticos están a merced de los actores de amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortalecer su código si cuentan con la formación adecuada. Para ello es necesario actualizar seriamente la cultura de seguridad de una organización, pero para que exista una verdadera responsabilidad compartida al estilo de DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y quizás la forma más rápida de cambiar su mentalidad sea vincular el acceso al repositorio de código con unos resultados de aprendizaje de programación seguros.
Si tomamos una organización del ámbito de la BFSI, por ejemplo, es muy probable que haya repositorios altamente confidenciales que contengan datos de clientes o que almacenen información valiosa, como números de tarjetas de crédito. Entonces, ¿por qué deberíamos suponer que todos los ingenieros a los que se ha concedido el acceso son conscientes de la seguridad, cumplen con los estrictos requisitos de la PCI-DSS y pueden realizar cambios en la sucursal principal de forma rápida y sin incidentes? Si bien este puede ser el caso de algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.
El desafío es que, en la mayoría de las empresas, promulgar un escenario de «licencia para programar» sería arduo y, según la solución de capacitación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad rápida. Sin embargo, la combinación correcta de educación y herramientas integradoras puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.
La integración efectiva de la formación no es imposible.
Encuentra soluciones para mejorar las habilidades de los desarrolladores que complementan tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero hacer un esfuerzo adicional para superar la formación de cumplimiento al estilo «único» es la única manera de empezar a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que demuestran su valía con éxito? Bueno, el mundo de la programación es lo suyo, y no tienen por qué verse obstaculizados por los controles de seguridad que suponen que no pueden aprender lo básico.
El desarrollo práctico de las habilidades que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente los conceptos de codificación segura, y estas mismas integraciones se pueden utilizar para gestionar de forma eficaz el acceso a los sistemas críticos, garantizando que quienes destacan en sus resultados de aprendizaje trabajen sin obstáculos en las tareas delicadas de mayor prioridad. También facilita la implementación de recompensas y reconocimientos, lo que garantiza que los desarrolladores con conocimientos de seguridad tengan en su cohorte una aspiración.
Como muchas cosas en la vida, la suerte favorece a los valientes, y romper el status quo para adoptar un enfoque innovador para la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para mejorar los estándares del futuro de calidad de código aceptable sin sacrificar la velocidad.
Table des matières
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
