Definición de código seguro
Los desarrolladores que crean el software, las aplicaciones y los programas que impulsan los negocios digitales se han convertido en el elemento vital de muchas organizaciones. La mayoría de las empresas modernas no podrían funcionar (de forma rentable) sin aplicaciones y programas competitivos o sin acceso las 24 horas a sus sitios web y otras infraestructuras.
Sin embargo, estos mismos puntos de contacto también suelen ser la puerta de entrada que los piratas informáticos y otros usuarios nefastos emplean para robar información, lanzar ataques y lanzarse a otras actividades delictivas, como el fraude y el ransomware. El último informe de Verizon sobre las investigaciones sobre violaciones de datos destaca que las amenazas dirigidas contra empresas y organizaciones son más peligrosas y costosas en la actualidad que en cualquier otro momento de la historia.
Los ataques exitosos siguen siendo frecuentes, a pesar de que el gasto en ciberseguridad en la mayoría de las organizaciones está aumentando, y a pesar de que movimientos como DevSecOps están desplazando la seguridad hacia los desarrolladores que son el elemento vital de las empresas en la actualidad.
Los desarrolladores comprenden la importancia de la seguridad y, de manera abrumadora, desean implementar código seguro y de calidad, pero las vulnerabilidades del software siguen explotándose.
¿Por qué?
Por segundo año consecutivo, Secure Code Warrior llevó a cabo la encuesta sobre el estado de la seguridad impulsada por los desarrolladores de 2022 en asociación con Evans Data Corp en diciembre de 2021. Encuestamos a 1200 desarrolladores de todo el mundo para comprender las habilidades, las percepciones y los comportamientos en lo que respecta a las prácticas de codificación seguras, así como su impacto y relevancia percibida en el ciclo de vida del desarrollo de software (SDLC).
La encuesta identificó la ausencia de una definición clara o de una comprensión de lo que constituye un código seguro. Resulta que hay una gran discrepancia entre lo que los desarrolladores piensan que es un código seguro y lo que realmente es un código seguro.
No es sorprendente que la escritura de código de calidad sea una prioridad para la comunidad de desarrolladores. Sin embargo, cuando se les preguntó específicamente sobre el código seguro, solo el 29% dijo que se daba prioridad a la práctica activa de escribir código libre de vulnerabilidades. Por el contrario, los desarrolladores asociaron prácticas menos seguras y mucho menos fiables a la creación de código seguro. Por ejemplo, analizar el código existente (37%) y confiar en bibliotecas de fuentes externas para obtener código seguro (37%) fueron las principales prácticas que los desarrolladores asociaron con la codificación segura. Otra opción popular fue reutilizar código que ya se había considerado seguro (32%). La práctica activa de escribir código libre de vulnerabilidades ocupó el sexto lugar, con un 29% que afirmó que era una de las mejores prácticas en la creación de código seguro. Cuando se les preguntó más a fondo, los principales obstáculos para crear código seguro fueron la falta de tiempo y la falta de un enfoque coherente por parte de la administración.
La confianza en el código existente es uno de los factores que aumenta el riesgo de que el software se distribuya con vulnerabilidades explotables. Para que los desarrolladores puedan crear un código de calidad que también sea seguro, es necesario abordar esta desconexión entre lo que constituye un código seguro.
Resulta que hay una gran discrepancia entre lo que los desarrolladores piensan que es un código seguro y lo que realmente es un código seguro.
¿Qué pueden hacer las organizaciones para solucionar la situación?
Uno de los mensajes principales de la encuesta fue que la comunidad de desarrolladores en su conjunto está llena de profesionales que se preocupan por lo que hacen. Escribir código de alta calidad era de suma importancia para ellos como grupo. El problema es que, en muchos casos, las organizaciones para las que trabajan no han identificado las mejores prácticas necesarias para producir código seguro y no han dedicado suficientes recursos a la formación ni han permitido a sus desarrolladores cumplir esos objetivos.
De hecho, la mayoría de los desarrolladores afirmaron que sus organizaciones ni siquiera tenían una definición clara de lo que constituye un código seguro. Uno de los ejemplos más preocupantes al respecto fue que el 28% de los encuestados dijeron que su organización consideraba que el código era seguro si no se informaba de ninguna violación una vez que una aplicación o un programa se implementaba en un entorno de producción o se ponía a disposición del público.
Probablemente no hace falta decirlo, pero en el complejo panorama de amenazas actual, simplemente esperar obtener buenos resultados sin esforzarse realmente por conseguirlos probablemente produzca resultados predecibles: incluso más violaciones de seguridad.
Afortunadamente, esta es una situación en la que es relativamente fácil al menos empezar a solucionar el problema y luego empezar a trabajar para lograr el objetivo del código seguro. El primer paso, y posiblemente el más importante, es que las organizaciones definan lo que consideran código seguro. Y todo lo que esté fuera de esa definición debe considerarse no seguro.
La codificación segura debe definirse como la práctica de desarrolladores expertos que escriben código libre de vulnerabilidades, desde el inicio del SDLC. Solo una vez que se defina esta práctica, la comunidad de desarrolladores podrá trabajar para lograr ese objetivo.
Hacer realidad el objetivo del código seguro
Una vez establecida la definición de código seguro, las organizaciones deben estar preparadas para apoyar esos esfuerzos y a sus desarrolladores, quienes llevarán a cabo el objetivo de implementar prácticas de código totalmente seguro. Ese apoyo es fundamental. Sin él, la definición de código seguro dentro de su organización, si bien es importante, será poco más que un tigre de papel. Las prácticas de codificación segura deben contar con el respaldo de la administración y recibir la consideración, la autoridad y el presupuesto adecuados para tener éxito.
Esto puede requerir nuevos objetivos de evaluación comparativa para los desarrolladores, que tradicionalmente se han medido por la velocidad de su codificación. De hecho, el 37% de los desarrolladores que participaron en la encuesta informaron que dejaban las vulnerabilidades conocidas en su código porque los plazos ajustados no les permitían disponer del tiempo necesario para corregirlas o para programar correctamente desde el principio. Al principio, esto puede significar aumentar los plazos para que los desarrolladores tengan más tiempo para codificar correctamente, aunque es probable que ese gasto de tiempo al principio del proceso de codificación se recupere más adelante, ya que es menos necesario revisar los programas, parches y trabajar después de la implementación. Además, eliminar la posibilidad de que se produzca una brecha una vez desplegada puede terminar ahorrando cientos de horas y, posiblemente, millones en pérdidas de ingresos, multas y costos de limpieza.
Los desarrolladores también necesitarán una formación práctica y relevante, especialmente en lo que respecta a las vulnerabilidades específicas con las que es probable que se encuentren, y que les ayuden a aprender a identificar y corregir las vulnerabilidades del código. Esto es especialmente cierto si se tiene en cuenta que el 36% de los encuestados dijeron que querían eliminar las vulnerabilidades de su código, pero que carecían de las habilidades o los conocimientos necesarios para hacerlo.
El 37% de los desarrolladores que participaron en la encuesta informaron que dejaban las vulnerabilidades conocidas en su código porque los plazos ajustados no les permitían disponer del tiempo necesario para corregir 37 de ellas o para codificar correctamente desde el principio.
¿Está interesado en obtener más información sobre este tema?
Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software.
Informe: Encuesta sobre el estado de la seguridad impulsada por desarrolladores, 2022.
Los desarrolladores que crean el software, las aplicaciones y los programas que impulsan los negocios digitales se han convertido en el elemento vital de muchas organizaciones. La mayoría de las empresas modernas no podrían funcionar (de forma rentable) sin aplicaciones y programas competitivos o sin acceso las 24 horas a sus sitios web y otras infraestructuras.
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Cet article a été écrit par Secure Code Warrior L'équipe d'experts du secteur de s'engage à fournir aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie des pratiques de codage sécurisé, des tendances du secteur et des connaissances du monde réel.
Los desarrolladores que crean el software, las aplicaciones y los programas que impulsan los negocios digitales se han convertido en el elemento vital de muchas organizaciones. La mayoría de las empresas modernas no podrían funcionar (de forma rentable) sin aplicaciones y programas competitivos o sin acceso las 24 horas a sus sitios web y otras infraestructuras.
Sin embargo, estos mismos puntos de contacto también suelen ser la puerta de entrada que los piratas informáticos y otros usuarios nefastos emplean para robar información, lanzar ataques y lanzarse a otras actividades delictivas, como el fraude y el ransomware. El último informe de Verizon sobre las investigaciones sobre violaciones de datos destaca que las amenazas dirigidas contra empresas y organizaciones son más peligrosas y costosas en la actualidad que en cualquier otro momento de la historia.
Los ataques exitosos siguen siendo frecuentes, a pesar de que el gasto en ciberseguridad en la mayoría de las organizaciones está aumentando, y a pesar de que movimientos como DevSecOps están desplazando la seguridad hacia los desarrolladores que son el elemento vital de las empresas en la actualidad.
Los desarrolladores comprenden la importancia de la seguridad y, de manera abrumadora, desean implementar código seguro y de calidad, pero las vulnerabilidades del software siguen explotándose.
¿Por qué?
Por segundo año consecutivo, Secure Code Warrior llevó a cabo la encuesta sobre el estado de la seguridad impulsada por los desarrolladores de 2022 en asociación con Evans Data Corp en diciembre de 2021. Encuestamos a 1200 desarrolladores de todo el mundo para comprender las habilidades, las percepciones y los comportamientos en lo que respecta a las prácticas de codificación seguras, así como su impacto y relevancia percibida en el ciclo de vida del desarrollo de software (SDLC).
La encuesta identificó la ausencia de una definición clara o de una comprensión de lo que constituye un código seguro. Resulta que hay una gran discrepancia entre lo que los desarrolladores piensan que es un código seguro y lo que realmente es un código seguro.
No es sorprendente que la escritura de código de calidad sea una prioridad para la comunidad de desarrolladores. Sin embargo, cuando se les preguntó específicamente sobre el código seguro, solo el 29% dijo que se daba prioridad a la práctica activa de escribir código libre de vulnerabilidades. Por el contrario, los desarrolladores asociaron prácticas menos seguras y mucho menos fiables a la creación de código seguro. Por ejemplo, analizar el código existente (37%) y confiar en bibliotecas de fuentes externas para obtener código seguro (37%) fueron las principales prácticas que los desarrolladores asociaron con la codificación segura. Otra opción popular fue reutilizar código que ya se había considerado seguro (32%). La práctica activa de escribir código libre de vulnerabilidades ocupó el sexto lugar, con un 29% que afirmó que era una de las mejores prácticas en la creación de código seguro. Cuando se les preguntó más a fondo, los principales obstáculos para crear código seguro fueron la falta de tiempo y la falta de un enfoque coherente por parte de la administración.
La confianza en el código existente es uno de los factores que aumenta el riesgo de que el software se distribuya con vulnerabilidades explotables. Para que los desarrolladores puedan crear un código de calidad que también sea seguro, es necesario abordar esta desconexión entre lo que constituye un código seguro.
Resulta que hay una gran discrepancia entre lo que los desarrolladores piensan que es un código seguro y lo que realmente es un código seguro.
¿Qué pueden hacer las organizaciones para solucionar la situación?
Uno de los mensajes principales de la encuesta fue que la comunidad de desarrolladores en su conjunto está llena de profesionales que se preocupan por lo que hacen. Escribir código de alta calidad era de suma importancia para ellos como grupo. El problema es que, en muchos casos, las organizaciones para las que trabajan no han identificado las mejores prácticas necesarias para producir código seguro y no han dedicado suficientes recursos a la formación ni han permitido a sus desarrolladores cumplir esos objetivos.
De hecho, la mayoría de los desarrolladores afirmaron que sus organizaciones ni siquiera tenían una definición clara de lo que constituye un código seguro. Uno de los ejemplos más preocupantes al respecto fue que el 28% de los encuestados dijeron que su organización consideraba que el código era seguro si no se informaba de ninguna violación una vez que una aplicación o un programa se implementaba en un entorno de producción o se ponía a disposición del público.
Probablemente no hace falta decirlo, pero en el complejo panorama de amenazas actual, simplemente esperar obtener buenos resultados sin esforzarse realmente por conseguirlos probablemente produzca resultados predecibles: incluso más violaciones de seguridad.
Afortunadamente, esta es una situación en la que es relativamente fácil al menos empezar a solucionar el problema y luego empezar a trabajar para lograr el objetivo del código seguro. El primer paso, y posiblemente el más importante, es que las organizaciones definan lo que consideran código seguro. Y todo lo que esté fuera de esa definición debe considerarse no seguro.
La codificación segura debe definirse como la práctica de desarrolladores expertos que escriben código libre de vulnerabilidades, desde el inicio del SDLC. Solo una vez que se defina esta práctica, la comunidad de desarrolladores podrá trabajar para lograr ese objetivo.
Hacer realidad el objetivo del código seguro
Una vez establecida la definición de código seguro, las organizaciones deben estar preparadas para apoyar esos esfuerzos y a sus desarrolladores, quienes llevarán a cabo el objetivo de implementar prácticas de código totalmente seguro. Ese apoyo es fundamental. Sin él, la definición de código seguro dentro de su organización, si bien es importante, será poco más que un tigre de papel. Las prácticas de codificación segura deben contar con el respaldo de la administración y recibir la consideración, la autoridad y el presupuesto adecuados para tener éxito.
Esto puede requerir nuevos objetivos de evaluación comparativa para los desarrolladores, que tradicionalmente se han medido por la velocidad de su codificación. De hecho, el 37% de los desarrolladores que participaron en la encuesta informaron que dejaban las vulnerabilidades conocidas en su código porque los plazos ajustados no les permitían disponer del tiempo necesario para corregirlas o para programar correctamente desde el principio. Al principio, esto puede significar aumentar los plazos para que los desarrolladores tengan más tiempo para codificar correctamente, aunque es probable que ese gasto de tiempo al principio del proceso de codificación se recupere más adelante, ya que es menos necesario revisar los programas, parches y trabajar después de la implementación. Además, eliminar la posibilidad de que se produzca una brecha una vez desplegada puede terminar ahorrando cientos de horas y, posiblemente, millones en pérdidas de ingresos, multas y costos de limpieza.
Los desarrolladores también necesitarán una formación práctica y relevante, especialmente en lo que respecta a las vulnerabilidades específicas con las que es probable que se encuentren, y que les ayuden a aprender a identificar y corregir las vulnerabilidades del código. Esto es especialmente cierto si se tiene en cuenta que el 36% de los encuestados dijeron que querían eliminar las vulnerabilidades de su código, pero que carecían de las habilidades o los conocimientos necesarios para hacerlo.
El 37% de los desarrolladores que participaron en la encuesta informaron que dejaban las vulnerabilidades conocidas en su código porque los plazos ajustados no les permitían disponer del tiempo necesario para corregir 37 de ellas o para codificar correctamente desde el principio.
¿Está interesado en obtener más información sobre este tema?
Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software.
Informe: Encuesta sobre el estado de la seguridad impulsada por desarrolladores, 2022.
Los desarrolladores que crean el software, las aplicaciones y los programas que impulsan los negocios digitales se han convertido en el elemento vital de muchas organizaciones. La mayoría de las empresas modernas no podrían funcionar (de forma rentable) sin aplicaciones y programas competitivos o sin acceso las 24 horas a sus sitios web y otras infraestructuras.
Sin embargo, estos mismos puntos de contacto también suelen ser la puerta de entrada que los piratas informáticos y otros usuarios nefastos emplean para robar información, lanzar ataques y lanzarse a otras actividades delictivas, como el fraude y el ransomware. El último informe de Verizon sobre las investigaciones sobre violaciones de datos destaca que las amenazas dirigidas contra empresas y organizaciones son más peligrosas y costosas en la actualidad que en cualquier otro momento de la historia.
Los ataques exitosos siguen siendo frecuentes, a pesar de que el gasto en ciberseguridad en la mayoría de las organizaciones está aumentando, y a pesar de que movimientos como DevSecOps están desplazando la seguridad hacia los desarrolladores que son el elemento vital de las empresas en la actualidad.
Los desarrolladores comprenden la importancia de la seguridad y, de manera abrumadora, desean implementar código seguro y de calidad, pero las vulnerabilidades del software siguen explotándose.
¿Por qué?
Por segundo año consecutivo, Secure Code Warrior llevó a cabo la encuesta sobre el estado de la seguridad impulsada por los desarrolladores de 2022 en asociación con Evans Data Corp en diciembre de 2021. Encuestamos a 1200 desarrolladores de todo el mundo para comprender las habilidades, las percepciones y los comportamientos en lo que respecta a las prácticas de codificación seguras, así como su impacto y relevancia percibida en el ciclo de vida del desarrollo de software (SDLC).
La encuesta identificó la ausencia de una definición clara o de una comprensión de lo que constituye un código seguro. Resulta que hay una gran discrepancia entre lo que los desarrolladores piensan que es un código seguro y lo que realmente es un código seguro.
No es sorprendente que la escritura de código de calidad sea una prioridad para la comunidad de desarrolladores. Sin embargo, cuando se les preguntó específicamente sobre el código seguro, solo el 29% dijo que se daba prioridad a la práctica activa de escribir código libre de vulnerabilidades. Por el contrario, los desarrolladores asociaron prácticas menos seguras y mucho menos fiables a la creación de código seguro. Por ejemplo, analizar el código existente (37%) y confiar en bibliotecas de fuentes externas para obtener código seguro (37%) fueron las principales prácticas que los desarrolladores asociaron con la codificación segura. Otra opción popular fue reutilizar código que ya se había considerado seguro (32%). La práctica activa de escribir código libre de vulnerabilidades ocupó el sexto lugar, con un 29% que afirmó que era una de las mejores prácticas en la creación de código seguro. Cuando se les preguntó más a fondo, los principales obstáculos para crear código seguro fueron la falta de tiempo y la falta de un enfoque coherente por parte de la administración.
La confianza en el código existente es uno de los factores que aumenta el riesgo de que el software se distribuya con vulnerabilidades explotables. Para que los desarrolladores puedan crear un código de calidad que también sea seguro, es necesario abordar esta desconexión entre lo que constituye un código seguro.
Resulta que hay una gran discrepancia entre lo que los desarrolladores piensan que es un código seguro y lo que realmente es un código seguro.
¿Qué pueden hacer las organizaciones para solucionar la situación?
Uno de los mensajes principales de la encuesta fue que la comunidad de desarrolladores en su conjunto está llena de profesionales que se preocupan por lo que hacen. Escribir código de alta calidad era de suma importancia para ellos como grupo. El problema es que, en muchos casos, las organizaciones para las que trabajan no han identificado las mejores prácticas necesarias para producir código seguro y no han dedicado suficientes recursos a la formación ni han permitido a sus desarrolladores cumplir esos objetivos.
De hecho, la mayoría de los desarrolladores afirmaron que sus organizaciones ni siquiera tenían una definición clara de lo que constituye un código seguro. Uno de los ejemplos más preocupantes al respecto fue que el 28% de los encuestados dijeron que su organización consideraba que el código era seguro si no se informaba de ninguna violación una vez que una aplicación o un programa se implementaba en un entorno de producción o se ponía a disposición del público.
Probablemente no hace falta decirlo, pero en el complejo panorama de amenazas actual, simplemente esperar obtener buenos resultados sin esforzarse realmente por conseguirlos probablemente produzca resultados predecibles: incluso más violaciones de seguridad.
Afortunadamente, esta es una situación en la que es relativamente fácil al menos empezar a solucionar el problema y luego empezar a trabajar para lograr el objetivo del código seguro. El primer paso, y posiblemente el más importante, es que las organizaciones definan lo que consideran código seguro. Y todo lo que esté fuera de esa definición debe considerarse no seguro.
La codificación segura debe definirse como la práctica de desarrolladores expertos que escriben código libre de vulnerabilidades, desde el inicio del SDLC. Solo una vez que se defina esta práctica, la comunidad de desarrolladores podrá trabajar para lograr ese objetivo.
Hacer realidad el objetivo del código seguro
Una vez establecida la definición de código seguro, las organizaciones deben estar preparadas para apoyar esos esfuerzos y a sus desarrolladores, quienes llevarán a cabo el objetivo de implementar prácticas de código totalmente seguro. Ese apoyo es fundamental. Sin él, la definición de código seguro dentro de su organización, si bien es importante, será poco más que un tigre de papel. Las prácticas de codificación segura deben contar con el respaldo de la administración y recibir la consideración, la autoridad y el presupuesto adecuados para tener éxito.
Esto puede requerir nuevos objetivos de evaluación comparativa para los desarrolladores, que tradicionalmente se han medido por la velocidad de su codificación. De hecho, el 37% de los desarrolladores que participaron en la encuesta informaron que dejaban las vulnerabilidades conocidas en su código porque los plazos ajustados no les permitían disponer del tiempo necesario para corregirlas o para programar correctamente desde el principio. Al principio, esto puede significar aumentar los plazos para que los desarrolladores tengan más tiempo para codificar correctamente, aunque es probable que ese gasto de tiempo al principio del proceso de codificación se recupere más adelante, ya que es menos necesario revisar los programas, parches y trabajar después de la implementación. Además, eliminar la posibilidad de que se produzca una brecha una vez desplegada puede terminar ahorrando cientos de horas y, posiblemente, millones en pérdidas de ingresos, multas y costos de limpieza.
Los desarrolladores también necesitarán una formación práctica y relevante, especialmente en lo que respecta a las vulnerabilidades específicas con las que es probable que se encuentren, y que les ayuden a aprender a identificar y corregir las vulnerabilidades del código. Esto es especialmente cierto si se tiene en cuenta que el 36% de los encuestados dijeron que querían eliminar las vulnerabilidades de su código, pero que carecían de las habilidades o los conocimientos necesarios para hacerlo.
El 37% de los desarrolladores que participaron en la encuesta informaron que dejaban las vulnerabilidades conocidas en su código porque los plazos ajustados no les permitían disponer del tiempo necesario para corregir 37 de ellas o para codificar correctamente desde el principio.
¿Está interesado en obtener más información sobre este tema?
Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software.
Informe: Encuesta sobre el estado de la seguridad impulsada por desarrolladores, 2022.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Cet article a été écrit par Secure Code Warrior L'équipe d'experts du secteur de s'engage à fournir aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie des pratiques de codage sécurisé, des tendances du secteur et des connaissances du monde réel.
Los desarrolladores que crean el software, las aplicaciones y los programas que impulsan los negocios digitales se han convertido en el elemento vital de muchas organizaciones. La mayoría de las empresas modernas no podrían funcionar (de forma rentable) sin aplicaciones y programas competitivos o sin acceso las 24 horas a sus sitios web y otras infraestructuras.
Sin embargo, estos mismos puntos de contacto también suelen ser la puerta de entrada que los piratas informáticos y otros usuarios nefastos emplean para robar información, lanzar ataques y lanzarse a otras actividades delictivas, como el fraude y el ransomware. El último informe de Verizon sobre las investigaciones sobre violaciones de datos destaca que las amenazas dirigidas contra empresas y organizaciones son más peligrosas y costosas en la actualidad que en cualquier otro momento de la historia.
Los ataques exitosos siguen siendo frecuentes, a pesar de que el gasto en ciberseguridad en la mayoría de las organizaciones está aumentando, y a pesar de que movimientos como DevSecOps están desplazando la seguridad hacia los desarrolladores que son el elemento vital de las empresas en la actualidad.
Los desarrolladores comprenden la importancia de la seguridad y, de manera abrumadora, desean implementar código seguro y de calidad, pero las vulnerabilidades del software siguen explotándose.
¿Por qué?
Por segundo año consecutivo, Secure Code Warrior llevó a cabo la encuesta sobre el estado de la seguridad impulsada por los desarrolladores de 2022 en asociación con Evans Data Corp en diciembre de 2021. Encuestamos a 1200 desarrolladores de todo el mundo para comprender las habilidades, las percepciones y los comportamientos en lo que respecta a las prácticas de codificación seguras, así como su impacto y relevancia percibida en el ciclo de vida del desarrollo de software (SDLC).
La encuesta identificó la ausencia de una definición clara o de una comprensión de lo que constituye un código seguro. Resulta que hay una gran discrepancia entre lo que los desarrolladores piensan que es un código seguro y lo que realmente es un código seguro.
No es sorprendente que la escritura de código de calidad sea una prioridad para la comunidad de desarrolladores. Sin embargo, cuando se les preguntó específicamente sobre el código seguro, solo el 29% dijo que se daba prioridad a la práctica activa de escribir código libre de vulnerabilidades. Por el contrario, los desarrolladores asociaron prácticas menos seguras y mucho menos fiables a la creación de código seguro. Por ejemplo, analizar el código existente (37%) y confiar en bibliotecas de fuentes externas para obtener código seguro (37%) fueron las principales prácticas que los desarrolladores asociaron con la codificación segura. Otra opción popular fue reutilizar código que ya se había considerado seguro (32%). La práctica activa de escribir código libre de vulnerabilidades ocupó el sexto lugar, con un 29% que afirmó que era una de las mejores prácticas en la creación de código seguro. Cuando se les preguntó más a fondo, los principales obstáculos para crear código seguro fueron la falta de tiempo y la falta de un enfoque coherente por parte de la administración.
La confianza en el código existente es uno de los factores que aumenta el riesgo de que el software se distribuya con vulnerabilidades explotables. Para que los desarrolladores puedan crear un código de calidad que también sea seguro, es necesario abordar esta desconexión entre lo que constituye un código seguro.
Resulta que hay una gran discrepancia entre lo que los desarrolladores piensan que es un código seguro y lo que realmente es un código seguro.
¿Qué pueden hacer las organizaciones para solucionar la situación?
Uno de los mensajes principales de la encuesta fue que la comunidad de desarrolladores en su conjunto está llena de profesionales que se preocupan por lo que hacen. Escribir código de alta calidad era de suma importancia para ellos como grupo. El problema es que, en muchos casos, las organizaciones para las que trabajan no han identificado las mejores prácticas necesarias para producir código seguro y no han dedicado suficientes recursos a la formación ni han permitido a sus desarrolladores cumplir esos objetivos.
De hecho, la mayoría de los desarrolladores afirmaron que sus organizaciones ni siquiera tenían una definición clara de lo que constituye un código seguro. Uno de los ejemplos más preocupantes al respecto fue que el 28% de los encuestados dijeron que su organización consideraba que el código era seguro si no se informaba de ninguna violación una vez que una aplicación o un programa se implementaba en un entorno de producción o se ponía a disposición del público.
Probablemente no hace falta decirlo, pero en el complejo panorama de amenazas actual, simplemente esperar obtener buenos resultados sin esforzarse realmente por conseguirlos probablemente produzca resultados predecibles: incluso más violaciones de seguridad.
Afortunadamente, esta es una situación en la que es relativamente fácil al menos empezar a solucionar el problema y luego empezar a trabajar para lograr el objetivo del código seguro. El primer paso, y posiblemente el más importante, es que las organizaciones definan lo que consideran código seguro. Y todo lo que esté fuera de esa definición debe considerarse no seguro.
La codificación segura debe definirse como la práctica de desarrolladores expertos que escriben código libre de vulnerabilidades, desde el inicio del SDLC. Solo una vez que se defina esta práctica, la comunidad de desarrolladores podrá trabajar para lograr ese objetivo.
Hacer realidad el objetivo del código seguro
Una vez establecida la definición de código seguro, las organizaciones deben estar preparadas para apoyar esos esfuerzos y a sus desarrolladores, quienes llevarán a cabo el objetivo de implementar prácticas de código totalmente seguro. Ese apoyo es fundamental. Sin él, la definición de código seguro dentro de su organización, si bien es importante, será poco más que un tigre de papel. Las prácticas de codificación segura deben contar con el respaldo de la administración y recibir la consideración, la autoridad y el presupuesto adecuados para tener éxito.
Esto puede requerir nuevos objetivos de evaluación comparativa para los desarrolladores, que tradicionalmente se han medido por la velocidad de su codificación. De hecho, el 37% de los desarrolladores que participaron en la encuesta informaron que dejaban las vulnerabilidades conocidas en su código porque los plazos ajustados no les permitían disponer del tiempo necesario para corregirlas o para programar correctamente desde el principio. Al principio, esto puede significar aumentar los plazos para que los desarrolladores tengan más tiempo para codificar correctamente, aunque es probable que ese gasto de tiempo al principio del proceso de codificación se recupere más adelante, ya que es menos necesario revisar los programas, parches y trabajar después de la implementación. Además, eliminar la posibilidad de que se produzca una brecha una vez desplegada puede terminar ahorrando cientos de horas y, posiblemente, millones en pérdidas de ingresos, multas y costos de limpieza.
Los desarrolladores también necesitarán una formación práctica y relevante, especialmente en lo que respecta a las vulnerabilidades específicas con las que es probable que se encuentren, y que les ayuden a aprender a identificar y corregir las vulnerabilidades del código. Esto es especialmente cierto si se tiene en cuenta que el 36% de los encuestados dijeron que querían eliminar las vulnerabilidades de su código, pero que carecían de las habilidades o los conocimientos necesarios para hacerlo.
El 37% de los desarrolladores que participaron en la encuesta informaron que dejaban las vulnerabilidades conocidas en su código porque los plazos ajustados no les permitían disponer del tiempo necesario para corregir 37 de ellas o para codificar correctamente desde el principio.
¿Está interesado en obtener más información sobre este tema?
Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software.
Informe: Encuesta sobre el estado de la seguridad impulsada por desarrolladores, 2022.
Table des matières
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
La puissance de la sécurité des applications OpenText + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.