Establecer un enfoque coherente para la seguridad dirigida por los desarrolladores
En respuesta a las principales brechas de seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18 000 usuarios del popular software de gestión Orion, incluidas muchas de las principales empresas y agencias gubernamentales, hay un creciente impulso en favor de iniciativas de seguridad más eficaces dirigidas por los desarrolladores. Las organizaciones de todos los tamaños están empezando a cuestionar su «cadena de suministro de software» y exigen que los desarrolladores que crean su software posean conocimientos y aptitudes comprobados en materia de seguridad.
Incluso el gobierno de los Estados Unidos pide mejores prácticas de seguridad dirigidas por los desarrolladores y un fortalecimiento de la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva para mejorar la ciberseguridad de la nación emitida por el presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a una fase más temprana del ciclo de vida del desarrollo de software (SDLC) mediante programas y movimientos como DevSecOps. Y, en una encuesta reciente, la comunidad de desarrolladores dijo que valoraba la formación en seguridad que había recibido para respaldar ese esfuerzo.
Vulnerabilidades de siguen siendo explotados, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que escribir código de calidad era una de las principales prioridades de la comunidad de desarrollo. Sin embargo, la encuesta también identificó varios motivos por los que la formación que se imparte a los desarrolladores, si bien se considera valiosa, no cumple con creces el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de recibir la formación que se les impartió, todavía no sabía cómo identificar o corregir las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de capacitación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más capacitación.
Está claro que la comunidad de desarrolladores valora la formación que reciben. Sin embargo, cuando se les preguntó acerca de las barreras para la adopción de prácticas de codificación seguras, la razón principal fue la falta de tiempo, seguida de una quinta parte de los encuestados que citaron la falta de un enfoque coherente como la culpable. La formación se consideró más como un evento puntual que como parte de un esfuerzo estratégico continuo para incorporar la seguridad en los flujos de trabajo de los desarrolladores y utilizarla a diario.
Por lo tanto, los desarrolladores no pueden desarrollar y conservar habilidades de codificación seguras como parte de un programa coherente y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es particularmente eficaz ni exhaustiva, dado que muchos desarrolladores afirman que todavía no pueden identificar y corregir las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 92% (50%) dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para solucionar la situación?
Es interesante que la abrumadora mayoría de los desarrolladores dijeran que necesitaban más formación en seguridad. Y si bien valoraron la formación que recibieron, esa podría ser una situación en la que simplemente estén satisfechos con lo que puedan obtener.
Cuando se les pidió que comentaran sobre las formas de mejorar su formación, empezaron a salir a la luz sus ideas reales sobre el tema. En general, la mayor parte de la formación que recibieron los desarrolladores fue limitada, no interactiva, solo se centró parcialmente en sus responsabilidades laborales y no formó parte de un plan general o continuo para ayudar a mejorar las habilidades y el conocimiento de la seguridad de su organización. Según los desarrolladores encuestados, si las organizaciones desean mejorar la eficacia de la formación que se ofrece, debe presentarse como parte de un enfoque integral para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían solicitudes específicas para que su formación fuera más valiosa. Una de las sugerencias más populares fue incluir más casos de uso y ejemplos prácticos de situaciones a las que podían enfrentarse desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que, con el tiempo, la educación cubriera escenarios cada vez más complejos o difíciles, una medida que probablemente también requeriría un enfoque más coherente y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades. Los desarrolladores también destacaron la necesidad de una mayor interactividad y, tal vez, incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios simplemente ven un vídeo o escuchan una conferencia sin la oportunidad de aprender de forma práctica y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil, como la codificación segura.
Los desarrolladores también hicieron hincapié en la necesidad de una mayor interactividad y tal vez incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad coherente?
La capacitación es, por supuesto, fundamental cuando se trata de mejorar la conciencia y las habilidades de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Sin embargo, un enfoque verdaderamente cohesivo para mejorar la conciencia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores. Por ejemplo, tradicionalmente se evaluaba a los desarrolladores en función de la rapidez con la que podían programar. Sin embargo, un enfoque coherente de la seguridad puede implicar cambiar esas métricas y valores de larga data. Por el contrario, las evaluaciones podrían desviar el énfasis de recompensar la velocidad bruta y, en su lugar, recompensar a los desarrolladores que pueden crear código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría involucrar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarte a exigir la seguridad a los desarrolladores, considera la posibilidad de crear o nombrar a expertos en seguridad de la comunidad. Se trata de desarrolladores talentosos y conscientes de la seguridad que destaquen por su formación o como parte de las nuevas evaluaciones centradas en las métricas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrolladores desde dentro.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores.
Para leer más
Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: cómo los campeones de la seguridad pueden ayudar a su equipo a lograr la victoria contra las vulnerabilidades en fase avanzada
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
En respuesta a las principales brechas de seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18 000 usuarios del popular software de gestión Orion, incluidas muchas de las principales empresas y agencias gubernamentales, hay un creciente impulso en favor de iniciativas de seguridad más eficaces dirigidas por los desarrolladores. Las organizaciones de todos los tamaños están empezando a cuestionar su «cadena de suministro de software» y exigen que los desarrolladores que crean su software posean conocimientos y aptitudes comprobados en materia de seguridad.
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Cet article a été écrit par Secure Code Warrior L'équipe d'experts du secteur de s'engage à fournir aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie des pratiques de codage sécurisé, des tendances du secteur et des connaissances du monde réel.
En respuesta a las principales brechas de seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18 000 usuarios del popular software de gestión Orion, incluidas muchas de las principales empresas y agencias gubernamentales, hay un creciente impulso en favor de iniciativas de seguridad más eficaces dirigidas por los desarrolladores. Las organizaciones de todos los tamaños están empezando a cuestionar su «cadena de suministro de software» y exigen que los desarrolladores que crean su software posean conocimientos y aptitudes comprobados en materia de seguridad.
Incluso el gobierno de los Estados Unidos pide mejores prácticas de seguridad dirigidas por los desarrolladores y un fortalecimiento de la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva para mejorar la ciberseguridad de la nación emitida por el presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a una fase más temprana del ciclo de vida del desarrollo de software (SDLC) mediante programas y movimientos como DevSecOps. Y, en una encuesta reciente, la comunidad de desarrolladores dijo que valoraba la formación en seguridad que había recibido para respaldar ese esfuerzo.
Vulnerabilidades de siguen siendo explotados, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que escribir código de calidad era una de las principales prioridades de la comunidad de desarrollo. Sin embargo, la encuesta también identificó varios motivos por los que la formación que se imparte a los desarrolladores, si bien se considera valiosa, no cumple con creces el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de recibir la formación que se les impartió, todavía no sabía cómo identificar o corregir las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de capacitación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más capacitación.
Está claro que la comunidad de desarrolladores valora la formación que reciben. Sin embargo, cuando se les preguntó acerca de las barreras para la adopción de prácticas de codificación seguras, la razón principal fue la falta de tiempo, seguida de una quinta parte de los encuestados que citaron la falta de un enfoque coherente como la culpable. La formación se consideró más como un evento puntual que como parte de un esfuerzo estratégico continuo para incorporar la seguridad en los flujos de trabajo de los desarrolladores y utilizarla a diario.
Por lo tanto, los desarrolladores no pueden desarrollar y conservar habilidades de codificación seguras como parte de un programa coherente y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es particularmente eficaz ni exhaustiva, dado que muchos desarrolladores afirman que todavía no pueden identificar y corregir las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 92% (50%) dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para solucionar la situación?
Es interesante que la abrumadora mayoría de los desarrolladores dijeran que necesitaban más formación en seguridad. Y si bien valoraron la formación que recibieron, esa podría ser una situación en la que simplemente estén satisfechos con lo que puedan obtener.
Cuando se les pidió que comentaran sobre las formas de mejorar su formación, empezaron a salir a la luz sus ideas reales sobre el tema. En general, la mayor parte de la formación que recibieron los desarrolladores fue limitada, no interactiva, solo se centró parcialmente en sus responsabilidades laborales y no formó parte de un plan general o continuo para ayudar a mejorar las habilidades y el conocimiento de la seguridad de su organización. Según los desarrolladores encuestados, si las organizaciones desean mejorar la eficacia de la formación que se ofrece, debe presentarse como parte de un enfoque integral para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían solicitudes específicas para que su formación fuera más valiosa. Una de las sugerencias más populares fue incluir más casos de uso y ejemplos prácticos de situaciones a las que podían enfrentarse desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que, con el tiempo, la educación cubriera escenarios cada vez más complejos o difíciles, una medida que probablemente también requeriría un enfoque más coherente y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades. Los desarrolladores también destacaron la necesidad de una mayor interactividad y, tal vez, incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios simplemente ven un vídeo o escuchan una conferencia sin la oportunidad de aprender de forma práctica y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil, como la codificación segura.
Los desarrolladores también hicieron hincapié en la necesidad de una mayor interactividad y tal vez incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad coherente?
La capacitación es, por supuesto, fundamental cuando se trata de mejorar la conciencia y las habilidades de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Sin embargo, un enfoque verdaderamente cohesivo para mejorar la conciencia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores. Por ejemplo, tradicionalmente se evaluaba a los desarrolladores en función de la rapidez con la que podían programar. Sin embargo, un enfoque coherente de la seguridad puede implicar cambiar esas métricas y valores de larga data. Por el contrario, las evaluaciones podrían desviar el énfasis de recompensar la velocidad bruta y, en su lugar, recompensar a los desarrolladores que pueden crear código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría involucrar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarte a exigir la seguridad a los desarrolladores, considera la posibilidad de crear o nombrar a expertos en seguridad de la comunidad. Se trata de desarrolladores talentosos y conscientes de la seguridad que destaquen por su formación o como parte de las nuevas evaluaciones centradas en las métricas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrolladores desde dentro.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores.
Para leer más
Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: cómo los campeones de la seguridad pueden ayudar a su equipo a lograr la victoria contra las vulnerabilidades en fase avanzada
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
En respuesta a las principales brechas de seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18 000 usuarios del popular software de gestión Orion, incluidas muchas de las principales empresas y agencias gubernamentales, hay un creciente impulso en favor de iniciativas de seguridad más eficaces dirigidas por los desarrolladores. Las organizaciones de todos los tamaños están empezando a cuestionar su «cadena de suministro de software» y exigen que los desarrolladores que crean su software posean conocimientos y aptitudes comprobados en materia de seguridad.
Incluso el gobierno de los Estados Unidos pide mejores prácticas de seguridad dirigidas por los desarrolladores y un fortalecimiento de la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva para mejorar la ciberseguridad de la nación emitida por el presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a una fase más temprana del ciclo de vida del desarrollo de software (SDLC) mediante programas y movimientos como DevSecOps. Y, en una encuesta reciente, la comunidad de desarrolladores dijo que valoraba la formación en seguridad que había recibido para respaldar ese esfuerzo.
Vulnerabilidades de siguen siendo explotados, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que escribir código de calidad era una de las principales prioridades de la comunidad de desarrollo. Sin embargo, la encuesta también identificó varios motivos por los que la formación que se imparte a los desarrolladores, si bien se considera valiosa, no cumple con creces el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de recibir la formación que se les impartió, todavía no sabía cómo identificar o corregir las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de capacitación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más capacitación.
Está claro que la comunidad de desarrolladores valora la formación que reciben. Sin embargo, cuando se les preguntó acerca de las barreras para la adopción de prácticas de codificación seguras, la razón principal fue la falta de tiempo, seguida de una quinta parte de los encuestados que citaron la falta de un enfoque coherente como la culpable. La formación se consideró más como un evento puntual que como parte de un esfuerzo estratégico continuo para incorporar la seguridad en los flujos de trabajo de los desarrolladores y utilizarla a diario.
Por lo tanto, los desarrolladores no pueden desarrollar y conservar habilidades de codificación seguras como parte de un programa coherente y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es particularmente eficaz ni exhaustiva, dado que muchos desarrolladores afirman que todavía no pueden identificar y corregir las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 92% (50%) dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para solucionar la situación?
Es interesante que la abrumadora mayoría de los desarrolladores dijeran que necesitaban más formación en seguridad. Y si bien valoraron la formación que recibieron, esa podría ser una situación en la que simplemente estén satisfechos con lo que puedan obtener.
Cuando se les pidió que comentaran sobre las formas de mejorar su formación, empezaron a salir a la luz sus ideas reales sobre el tema. En general, la mayor parte de la formación que recibieron los desarrolladores fue limitada, no interactiva, solo se centró parcialmente en sus responsabilidades laborales y no formó parte de un plan general o continuo para ayudar a mejorar las habilidades y el conocimiento de la seguridad de su organización. Según los desarrolladores encuestados, si las organizaciones desean mejorar la eficacia de la formación que se ofrece, debe presentarse como parte de un enfoque integral para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían solicitudes específicas para que su formación fuera más valiosa. Una de las sugerencias más populares fue incluir más casos de uso y ejemplos prácticos de situaciones a las que podían enfrentarse desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que, con el tiempo, la educación cubriera escenarios cada vez más complejos o difíciles, una medida que probablemente también requeriría un enfoque más coherente y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades. Los desarrolladores también destacaron la necesidad de una mayor interactividad y, tal vez, incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios simplemente ven un vídeo o escuchan una conferencia sin la oportunidad de aprender de forma práctica y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil, como la codificación segura.
Los desarrolladores también hicieron hincapié en la necesidad de una mayor interactividad y tal vez incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad coherente?
La capacitación es, por supuesto, fundamental cuando se trata de mejorar la conciencia y las habilidades de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Sin embargo, un enfoque verdaderamente cohesivo para mejorar la conciencia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores. Por ejemplo, tradicionalmente se evaluaba a los desarrolladores en función de la rapidez con la que podían programar. Sin embargo, un enfoque coherente de la seguridad puede implicar cambiar esas métricas y valores de larga data. Por el contrario, las evaluaciones podrían desviar el énfasis de recompensar la velocidad bruta y, en su lugar, recompensar a los desarrolladores que pueden crear código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría involucrar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarte a exigir la seguridad a los desarrolladores, considera la posibilidad de crear o nombrar a expertos en seguridad de la comunidad. Se trata de desarrolladores talentosos y conscientes de la seguridad que destaquen por su formación o como parte de las nuevas evaluaciones centradas en las métricas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrolladores desde dentro.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores.
Para leer más
Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: cómo los campeones de la seguridad pueden ayudar a su equipo a lograr la victoria contra las vulnerabilidades en fase avanzada
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Cet article a été écrit par Secure Code Warrior L'équipe d'experts du secteur de s'engage à fournir aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie des pratiques de codage sécurisé, des tendances du secteur et des connaissances du monde réel.
En respuesta a las principales brechas de seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18 000 usuarios del popular software de gestión Orion, incluidas muchas de las principales empresas y agencias gubernamentales, hay un creciente impulso en favor de iniciativas de seguridad más eficaces dirigidas por los desarrolladores. Las organizaciones de todos los tamaños están empezando a cuestionar su «cadena de suministro de software» y exigen que los desarrolladores que crean su software posean conocimientos y aptitudes comprobados en materia de seguridad.
Incluso el gobierno de los Estados Unidos pide mejores prácticas de seguridad dirigidas por los desarrolladores y un fortalecimiento de la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva para mejorar la ciberseguridad de la nación emitida por el presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a una fase más temprana del ciclo de vida del desarrollo de software (SDLC) mediante programas y movimientos como DevSecOps. Y, en una encuesta reciente, la comunidad de desarrolladores dijo que valoraba la formación en seguridad que había recibido para respaldar ese esfuerzo.
Vulnerabilidades de siguen siendo explotados, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que escribir código de calidad era una de las principales prioridades de la comunidad de desarrollo. Sin embargo, la encuesta también identificó varios motivos por los que la formación que se imparte a los desarrolladores, si bien se considera valiosa, no cumple con creces el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de recibir la formación que se les impartió, todavía no sabía cómo identificar o corregir las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de capacitación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más capacitación.
Está claro que la comunidad de desarrolladores valora la formación que reciben. Sin embargo, cuando se les preguntó acerca de las barreras para la adopción de prácticas de codificación seguras, la razón principal fue la falta de tiempo, seguida de una quinta parte de los encuestados que citaron la falta de un enfoque coherente como la culpable. La formación se consideró más como un evento puntual que como parte de un esfuerzo estratégico continuo para incorporar la seguridad en los flujos de trabajo de los desarrolladores y utilizarla a diario.
Por lo tanto, los desarrolladores no pueden desarrollar y conservar habilidades de codificación seguras como parte de un programa coherente y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es particularmente eficaz ni exhaustiva, dado que muchos desarrolladores afirman que todavía no pueden identificar y corregir las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 92% (50%) dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para solucionar la situación?
Es interesante que la abrumadora mayoría de los desarrolladores dijeran que necesitaban más formación en seguridad. Y si bien valoraron la formación que recibieron, esa podría ser una situación en la que simplemente estén satisfechos con lo que puedan obtener.
Cuando se les pidió que comentaran sobre las formas de mejorar su formación, empezaron a salir a la luz sus ideas reales sobre el tema. En general, la mayor parte de la formación que recibieron los desarrolladores fue limitada, no interactiva, solo se centró parcialmente en sus responsabilidades laborales y no formó parte de un plan general o continuo para ayudar a mejorar las habilidades y el conocimiento de la seguridad de su organización. Según los desarrolladores encuestados, si las organizaciones desean mejorar la eficacia de la formación que se ofrece, debe presentarse como parte de un enfoque integral para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían solicitudes específicas para que su formación fuera más valiosa. Una de las sugerencias más populares fue incluir más casos de uso y ejemplos prácticos de situaciones a las que podían enfrentarse desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que, con el tiempo, la educación cubriera escenarios cada vez más complejos o difíciles, una medida que probablemente también requeriría un enfoque más coherente y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades. Los desarrolladores también destacaron la necesidad de una mayor interactividad y, tal vez, incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios simplemente ven un vídeo o escuchan una conferencia sin la oportunidad de aprender de forma práctica y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil, como la codificación segura.
Los desarrolladores también hicieron hincapié en la necesidad de una mayor interactividad y tal vez incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad coherente?
La capacitación es, por supuesto, fundamental cuando se trata de mejorar la conciencia y las habilidades de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Sin embargo, un enfoque verdaderamente cohesivo para mejorar la conciencia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores. Por ejemplo, tradicionalmente se evaluaba a los desarrolladores en función de la rapidez con la que podían programar. Sin embargo, un enfoque coherente de la seguridad puede implicar cambiar esas métricas y valores de larga data. Por el contrario, las evaluaciones podrían desviar el énfasis de recompensar la velocidad bruta y, en su lugar, recompensar a los desarrolladores que pueden crear código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría involucrar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarte a exigir la seguridad a los desarrolladores, considera la posibilidad de crear o nombrar a expertos en seguridad de la comunidad. Se trata de desarrolladores talentosos y conscientes de la seguridad que destaquen por su formación o como parte de las nuevas evaluaciones centradas en las métricas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrolladores desde dentro.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores.
Para leer más
Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: cómo los campeones de la seguridad pueden ayudar a su equipo a lograr la victoria contra las vulnerabilidades en fase avanzada
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
Table des matières
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
