El factor humano olvidado que impulsa las fallas de seguridad de las aplicaciones web
El informe sobre investigaciones de violaciones de datos de Verizon de 2018 es, una vez más, una excelente lectura que nos mantiene actualizados sobre la ciberseguridad, incluidas las tendencias actuales de la ciberdelincuencia y las causas de los incidentes, los análisis y la información que pueden ayudar a las organizaciones a desarrollar sus programas de seguridad. Este año, los investigadores de Verizon analizaron más de 53 000 incidentes y más de 2200 infracciones, y hay muchas conclusiones tangibles sobre qué hay que vigilar y qué no hacer, además de recomendaciones valiosas sobre dónde centrar las iniciativas de seguridad. El informe de 2018 parece que ha evolucionado con los tiempos, es relevante para un público empresarial más amplio a medida que se extienden los impactos en la seguridad, y cada vez se reconoce más que es un problema empresarial generalizado.
Entre muchos hallazgos interesantes, el informe de 2018 verifica que la mayoría de los hackeos siguen ocurriendo a través de infracciones de aplicaciones web (incluso hay un genial gráfico interactivo que muestra esto).
Los ataques a aplicaciones web consisten en cualquier incidente en el que una aplicación web sea el vector del ataque. Esto incluye aprovechar las vulnerabilidades a nivel de código de la aplicación y frustrar los mecanismos de autenticación. Cabe destacar que el número de infracciones que siguen este patrón se ha reducido gracias al filtrado de los ataques relacionados con las redes de bots contra las aplicaciones web mediante el uso de credenciales robadas de los dispositivos propiedad de los clientes. El uso de credenciales robadas sigue siendo el método más utilizado para hackear aplicaciones web, seguido de SQLi (hablaremos más sobre SQL más adelante...).
Un tema que se destaca en el informe de este año es la importancia del «factor humano» en la ecuación de la seguridad, tanto como parte del problema como de la solución. El informe aborda tanto a los actores externos como a los internos, y señala que casi una de cada cinco infracciones (el 17%) se debe a los errores. Las infracciones se producían cuando los empleados no destruían la información confidencial, cuando enviaban un correo electrónico a la persona equivocada y cuando los servidores web estaban mal configurados. El informe señala que, si bien ninguna de ellas fue deliberadamente malintencionada, todas podrían resultar costosas.
Sin embargo, hay un factor humano que a menudo se olvida y que está causando muchas brechas de seguridad, y es la alta frecuencia con la que los desarrolladores crean código que contiene fallas de seguridad, lo que conduce a vulnerabilidades en las aplicaciones web, lo que a su vez resulta en estos incidentes y brechas.
Las pruebas de aplicaciones realizadas en los últimos 5 años no han mostrado una gran mejora en la cantidad de vulnerabilidades encontradas y las mismas fallas de siempre aparecen una y otra vez. Un informe de Veracode de 2017, basado en 400 000 escaneos de aplicaciones, muestra que las aplicaciones superaron la política de las 10 principales políticas de OWASP solo el 30% de las veces. Sorprendentemente, las inyecciones de SQL aparecieron en casi una de cada tres aplicaciones recién escaneadas en los últimos 5 años, incluido el año pasado. Digo que son asombrosas porque las inyecciones de SQL existen desde 1999. El hecho de que los mismos defectos, incluidas las inyecciones de SQL, se encuentren de manera constante, demuestra que este problema del «factor humano» entre los desarrolladores no se está abordando adecuadamente.
Es en este punto cuando tengo que ponerme de pie y gritar que estoy del lado de los desarrolladores en este argumento. ¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias de un código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
Eso es lo que hacemos en Secure Code Warrior y estamos viendo pruebas sólidas de que las empresas que incorporan la formación práctica sobre código seguro en la vida diaria de sus desarrolladores están reduciendo la cantidad de vulnerabilidades creadas en las aplicaciones web. Para que los desarrolladores puedan escribir código seguro, necesitan tener acceso regular a un aprendizaje práctico que les permita desarrollar activamente sus habilidades de programación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y específicamente en sus propios lenguajes o marcos. Esta experiencia de aprendizaje debería ayudarlos a entender cómo localizar, identificar y corregir las vulnerabilidades conocidas. Los desarrolladores también necesitan un conjunto de herramientas de calidad en sus procesos que facilite la seguridad, no los ralentice y los guíe en tiempo real sobre los patrones de codificación buenos y malos.
Así es como podemos marcar una diferencia tangible y positiva en la cantidad de infracciones de aplicaciones web.
Estoy totalmente de acuerdo con Verizon en que es necesario aumentar la capacitación en materia de seguridad en toda la empresa. Mi opinión al respecto para los directores de TI y CISO es: «¡no olviden a sus desarrolladores!». Estos arquitectos de las empresas modernas pueden ser un «factor humano» importante, ya que generan puntos de acceso de forma rutinaria para los piratas informáticos, o pueden ser su primera línea de defensa, sus héroes de la seguridad.
La mejora efectiva de las habilidades de seguridad de los desarrolladores podría marcar una diferencia real en los resultados que Verizon informe en futuros informes. Sería bueno ver que el informe de 2019 reflejara la formación en seguridad de los desarrolladores como una estrategia clave de reducción de riesgos que las empresas pueden adoptar. Soy optimista, pero apostaría a que si las empresas consiguieran que sus desarrolladores aprendieran a evitar que se produjeran errores de inyección, el número de vulnerabilidades de las aplicaciones web incluidas en este informe se reduciría considerablemente.
Eche un vistazo a nuestra plataforma en acción para ver cómo los desarrolladores pueden mejorar sus habilidades rápidamente en un entorno de formación ideal y gamificado:
Participa en un desafío de codificación segura
Visite nuestros recursos de aprendizaje gratuitos
¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias del código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias del código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
El informe sobre investigaciones de violaciones de datos de Verizon de 2018 es, una vez más, una excelente lectura que nos mantiene actualizados sobre la ciberseguridad, incluidas las tendencias actuales de la ciberdelincuencia y las causas de los incidentes, los análisis y la información que pueden ayudar a las organizaciones a desarrollar sus programas de seguridad. Este año, los investigadores de Verizon analizaron más de 53 000 incidentes y más de 2200 infracciones, y hay muchas conclusiones tangibles sobre qué hay que vigilar y qué no hacer, además de recomendaciones valiosas sobre dónde centrar las iniciativas de seguridad. El informe de 2018 parece que ha evolucionado con los tiempos, es relevante para un público empresarial más amplio a medida que se extienden los impactos en la seguridad, y cada vez se reconoce más que es un problema empresarial generalizado.
Entre muchos hallazgos interesantes, el informe de 2018 verifica que la mayoría de los hackeos siguen ocurriendo a través de infracciones de aplicaciones web (incluso hay un genial gráfico interactivo que muestra esto).
Los ataques a aplicaciones web consisten en cualquier incidente en el que una aplicación web sea el vector del ataque. Esto incluye aprovechar las vulnerabilidades a nivel de código de la aplicación y frustrar los mecanismos de autenticación. Cabe destacar que el número de infracciones que siguen este patrón se ha reducido gracias al filtrado de los ataques relacionados con las redes de bots contra las aplicaciones web mediante el uso de credenciales robadas de los dispositivos propiedad de los clientes. El uso de credenciales robadas sigue siendo el método más utilizado para hackear aplicaciones web, seguido de SQLi (hablaremos más sobre SQL más adelante...).
Un tema que se destaca en el informe de este año es la importancia del «factor humano» en la ecuación de la seguridad, tanto como parte del problema como de la solución. El informe aborda tanto a los actores externos como a los internos, y señala que casi una de cada cinco infracciones (el 17%) se debe a los errores. Las infracciones se producían cuando los empleados no destruían la información confidencial, cuando enviaban un correo electrónico a la persona equivocada y cuando los servidores web estaban mal configurados. El informe señala que, si bien ninguna de ellas fue deliberadamente malintencionada, todas podrían resultar costosas.
Sin embargo, hay un factor humano que a menudo se olvida y que está causando muchas brechas de seguridad, y es la alta frecuencia con la que los desarrolladores crean código que contiene fallas de seguridad, lo que conduce a vulnerabilidades en las aplicaciones web, lo que a su vez resulta en estos incidentes y brechas.
Las pruebas de aplicaciones realizadas en los últimos 5 años no han mostrado una gran mejora en la cantidad de vulnerabilidades encontradas y las mismas fallas de siempre aparecen una y otra vez. Un informe de Veracode de 2017, basado en 400 000 escaneos de aplicaciones, muestra que las aplicaciones superaron la política de las 10 principales políticas de OWASP solo el 30% de las veces. Sorprendentemente, las inyecciones de SQL aparecieron en casi una de cada tres aplicaciones recién escaneadas en los últimos 5 años, incluido el año pasado. Digo que son asombrosas porque las inyecciones de SQL existen desde 1999. El hecho de que los mismos defectos, incluidas las inyecciones de SQL, se encuentren de manera constante, demuestra que este problema del «factor humano» entre los desarrolladores no se está abordando adecuadamente.
Es en este punto cuando tengo que ponerme de pie y gritar que estoy del lado de los desarrolladores en este argumento. ¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias de un código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
Eso es lo que hacemos en Secure Code Warrior y estamos viendo pruebas sólidas de que las empresas que incorporan la formación práctica sobre código seguro en la vida diaria de sus desarrolladores están reduciendo la cantidad de vulnerabilidades creadas en las aplicaciones web. Para que los desarrolladores puedan escribir código seguro, necesitan tener acceso regular a un aprendizaje práctico que les permita desarrollar activamente sus habilidades de programación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y específicamente en sus propios lenguajes o marcos. Esta experiencia de aprendizaje debería ayudarlos a entender cómo localizar, identificar y corregir las vulnerabilidades conocidas. Los desarrolladores también necesitan un conjunto de herramientas de calidad en sus procesos que facilite la seguridad, no los ralentice y los guíe en tiempo real sobre los patrones de codificación buenos y malos.
Así es como podemos marcar una diferencia tangible y positiva en la cantidad de infracciones de aplicaciones web.
Estoy totalmente de acuerdo con Verizon en que es necesario aumentar la capacitación en materia de seguridad en toda la empresa. Mi opinión al respecto para los directores de TI y CISO es: «¡no olviden a sus desarrolladores!». Estos arquitectos de las empresas modernas pueden ser un «factor humano» importante, ya que generan puntos de acceso de forma rutinaria para los piratas informáticos, o pueden ser su primera línea de defensa, sus héroes de la seguridad.
La mejora efectiva de las habilidades de seguridad de los desarrolladores podría marcar una diferencia real en los resultados que Verizon informe en futuros informes. Sería bueno ver que el informe de 2019 reflejara la formación en seguridad de los desarrolladores como una estrategia clave de reducción de riesgos que las empresas pueden adoptar. Soy optimista, pero apostaría a que si las empresas consiguieran que sus desarrolladores aprendieran a evitar que se produjeran errores de inyección, el número de vulnerabilidades de las aplicaciones web incluidas en este informe se reduciría considerablemente.
Eche un vistazo a nuestra plataforma en acción para ver cómo los desarrolladores pueden mejorar sus habilidades rápidamente en un entorno de formación ideal y gamificado:
Participa en un desafío de codificación segura
Visite nuestros recursos de aprendizaje gratuitos
¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias del código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
El informe sobre investigaciones de violaciones de datos de Verizon de 2018 es, una vez más, una excelente lectura que nos mantiene actualizados sobre la ciberseguridad, incluidas las tendencias actuales de la ciberdelincuencia y las causas de los incidentes, los análisis y la información que pueden ayudar a las organizaciones a desarrollar sus programas de seguridad. Este año, los investigadores de Verizon analizaron más de 53 000 incidentes y más de 2200 infracciones, y hay muchas conclusiones tangibles sobre qué hay que vigilar y qué no hacer, además de recomendaciones valiosas sobre dónde centrar las iniciativas de seguridad. El informe de 2018 parece que ha evolucionado con los tiempos, es relevante para un público empresarial más amplio a medida que se extienden los impactos en la seguridad, y cada vez se reconoce más que es un problema empresarial generalizado.
Entre muchos hallazgos interesantes, el informe de 2018 verifica que la mayoría de los hackeos siguen ocurriendo a través de infracciones de aplicaciones web (incluso hay un genial gráfico interactivo que muestra esto).
Los ataques a aplicaciones web consisten en cualquier incidente en el que una aplicación web sea el vector del ataque. Esto incluye aprovechar las vulnerabilidades a nivel de código de la aplicación y frustrar los mecanismos de autenticación. Cabe destacar que el número de infracciones que siguen este patrón se ha reducido gracias al filtrado de los ataques relacionados con las redes de bots contra las aplicaciones web mediante el uso de credenciales robadas de los dispositivos propiedad de los clientes. El uso de credenciales robadas sigue siendo el método más utilizado para hackear aplicaciones web, seguido de SQLi (hablaremos más sobre SQL más adelante...).
Un tema que se destaca en el informe de este año es la importancia del «factor humano» en la ecuación de la seguridad, tanto como parte del problema como de la solución. El informe aborda tanto a los actores externos como a los internos, y señala que casi una de cada cinco infracciones (el 17%) se debe a los errores. Las infracciones se producían cuando los empleados no destruían la información confidencial, cuando enviaban un correo electrónico a la persona equivocada y cuando los servidores web estaban mal configurados. El informe señala que, si bien ninguna de ellas fue deliberadamente malintencionada, todas podrían resultar costosas.
Sin embargo, hay un factor humano que a menudo se olvida y que está causando muchas brechas de seguridad, y es la alta frecuencia con la que los desarrolladores crean código que contiene fallas de seguridad, lo que conduce a vulnerabilidades en las aplicaciones web, lo que a su vez resulta en estos incidentes y brechas.
Las pruebas de aplicaciones realizadas en los últimos 5 años no han mostrado una gran mejora en la cantidad de vulnerabilidades encontradas y las mismas fallas de siempre aparecen una y otra vez. Un informe de Veracode de 2017, basado en 400 000 escaneos de aplicaciones, muestra que las aplicaciones superaron la política de las 10 principales políticas de OWASP solo el 30% de las veces. Sorprendentemente, las inyecciones de SQL aparecieron en casi una de cada tres aplicaciones recién escaneadas en los últimos 5 años, incluido el año pasado. Digo que son asombrosas porque las inyecciones de SQL existen desde 1999. El hecho de que los mismos defectos, incluidas las inyecciones de SQL, se encuentren de manera constante, demuestra que este problema del «factor humano» entre los desarrolladores no se está abordando adecuadamente.
Es en este punto cuando tengo que ponerme de pie y gritar que estoy del lado de los desarrolladores en este argumento. ¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias de un código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
Eso es lo que hacemos en Secure Code Warrior y estamos viendo pruebas sólidas de que las empresas que incorporan la formación práctica sobre código seguro en la vida diaria de sus desarrolladores están reduciendo la cantidad de vulnerabilidades creadas en las aplicaciones web. Para que los desarrolladores puedan escribir código seguro, necesitan tener acceso regular a un aprendizaje práctico que les permita desarrollar activamente sus habilidades de programación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y específicamente en sus propios lenguajes o marcos. Esta experiencia de aprendizaje debería ayudarlos a entender cómo localizar, identificar y corregir las vulnerabilidades conocidas. Los desarrolladores también necesitan un conjunto de herramientas de calidad en sus procesos que facilite la seguridad, no los ralentice y los guíe en tiempo real sobre los patrones de codificación buenos y malos.
Así es como podemos marcar una diferencia tangible y positiva en la cantidad de infracciones de aplicaciones web.
Estoy totalmente de acuerdo con Verizon en que es necesario aumentar la capacitación en materia de seguridad en toda la empresa. Mi opinión al respecto para los directores de TI y CISO es: «¡no olviden a sus desarrolladores!». Estos arquitectos de las empresas modernas pueden ser un «factor humano» importante, ya que generan puntos de acceso de forma rutinaria para los piratas informáticos, o pueden ser su primera línea de defensa, sus héroes de la seguridad.
La mejora efectiva de las habilidades de seguridad de los desarrolladores podría marcar una diferencia real en los resultados que Verizon informe en futuros informes. Sería bueno ver que el informe de 2019 reflejara la formación en seguridad de los desarrolladores como una estrategia clave de reducción de riesgos que las empresas pueden adoptar. Soy optimista, pero apostaría a que si las empresas consiguieran que sus desarrolladores aprendieran a evitar que se produjeran errores de inyección, el número de vulnerabilidades de las aplicaciones web incluidas en este informe se reduciría considerablemente.
Eche un vistazo a nuestra plataforma en acción para ver cómo los desarrolladores pueden mejorar sus habilidades rápidamente en un entorno de formación ideal y gamificado:
Participa en un desafío de codificación segura
Visite nuestros recursos de aprendizaje gratuitos
¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias del código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
El informe sobre investigaciones de violaciones de datos de Verizon de 2018 es, una vez más, una excelente lectura que nos mantiene actualizados sobre la ciberseguridad, incluidas las tendencias actuales de la ciberdelincuencia y las causas de los incidentes, los análisis y la información que pueden ayudar a las organizaciones a desarrollar sus programas de seguridad. Este año, los investigadores de Verizon analizaron más de 53 000 incidentes y más de 2200 infracciones, y hay muchas conclusiones tangibles sobre qué hay que vigilar y qué no hacer, además de recomendaciones valiosas sobre dónde centrar las iniciativas de seguridad. El informe de 2018 parece que ha evolucionado con los tiempos, es relevante para un público empresarial más amplio a medida que se extienden los impactos en la seguridad, y cada vez se reconoce más que es un problema empresarial generalizado.
Entre muchos hallazgos interesantes, el informe de 2018 verifica que la mayoría de los hackeos siguen ocurriendo a través de infracciones de aplicaciones web (incluso hay un genial gráfico interactivo que muestra esto).
Los ataques a aplicaciones web consisten en cualquier incidente en el que una aplicación web sea el vector del ataque. Esto incluye aprovechar las vulnerabilidades a nivel de código de la aplicación y frustrar los mecanismos de autenticación. Cabe destacar que el número de infracciones que siguen este patrón se ha reducido gracias al filtrado de los ataques relacionados con las redes de bots contra las aplicaciones web mediante el uso de credenciales robadas de los dispositivos propiedad de los clientes. El uso de credenciales robadas sigue siendo el método más utilizado para hackear aplicaciones web, seguido de SQLi (hablaremos más sobre SQL más adelante...).
Un tema que se destaca en el informe de este año es la importancia del «factor humano» en la ecuación de la seguridad, tanto como parte del problema como de la solución. El informe aborda tanto a los actores externos como a los internos, y señala que casi una de cada cinco infracciones (el 17%) se debe a los errores. Las infracciones se producían cuando los empleados no destruían la información confidencial, cuando enviaban un correo electrónico a la persona equivocada y cuando los servidores web estaban mal configurados. El informe señala que, si bien ninguna de ellas fue deliberadamente malintencionada, todas podrían resultar costosas.
Sin embargo, hay un factor humano que a menudo se olvida y que está causando muchas brechas de seguridad, y es la alta frecuencia con la que los desarrolladores crean código que contiene fallas de seguridad, lo que conduce a vulnerabilidades en las aplicaciones web, lo que a su vez resulta en estos incidentes y brechas.
Las pruebas de aplicaciones realizadas en los últimos 5 años no han mostrado una gran mejora en la cantidad de vulnerabilidades encontradas y las mismas fallas de siempre aparecen una y otra vez. Un informe de Veracode de 2017, basado en 400 000 escaneos de aplicaciones, muestra que las aplicaciones superaron la política de las 10 principales políticas de OWASP solo el 30% de las veces. Sorprendentemente, las inyecciones de SQL aparecieron en casi una de cada tres aplicaciones recién escaneadas en los últimos 5 años, incluido el año pasado. Digo que son asombrosas porque las inyecciones de SQL existen desde 1999. El hecho de que los mismos defectos, incluidas las inyecciones de SQL, se encuentren de manera constante, demuestra que este problema del «factor humano» entre los desarrolladores no se está abordando adecuadamente.
Es en este punto cuando tengo que ponerme de pie y gritar que estoy del lado de los desarrolladores en este argumento. ¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias de un código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
Eso es lo que hacemos en Secure Code Warrior y estamos viendo pruebas sólidas de que las empresas que incorporan la formación práctica sobre código seguro en la vida diaria de sus desarrolladores están reduciendo la cantidad de vulnerabilidades creadas en las aplicaciones web. Para que los desarrolladores puedan escribir código seguro, necesitan tener acceso regular a un aprendizaje práctico que les permita desarrollar activamente sus habilidades de programación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y específicamente en sus propios lenguajes o marcos. Esta experiencia de aprendizaje debería ayudarlos a entender cómo localizar, identificar y corregir las vulnerabilidades conocidas. Los desarrolladores también necesitan un conjunto de herramientas de calidad en sus procesos que facilite la seguridad, no los ralentice y los guíe en tiempo real sobre los patrones de codificación buenos y malos.
Así es como podemos marcar una diferencia tangible y positiva en la cantidad de infracciones de aplicaciones web.
Estoy totalmente de acuerdo con Verizon en que es necesario aumentar la capacitación en materia de seguridad en toda la empresa. Mi opinión al respecto para los directores de TI y CISO es: «¡no olviden a sus desarrolladores!». Estos arquitectos de las empresas modernas pueden ser un «factor humano» importante, ya que generan puntos de acceso de forma rutinaria para los piratas informáticos, o pueden ser su primera línea de defensa, sus héroes de la seguridad.
La mejora efectiva de las habilidades de seguridad de los desarrolladores podría marcar una diferencia real en los resultados que Verizon informe en futuros informes. Sería bueno ver que el informe de 2019 reflejara la formación en seguridad de los desarrolladores como una estrategia clave de reducción de riesgos que las empresas pueden adoptar. Soy optimista, pero apostaría a que si las empresas consiguieran que sus desarrolladores aprendieran a evitar que se produjeran errores de inyección, el número de vulnerabilidades de las aplicaciones web incluidas en este informe se reduciría considerablemente.
Eche un vistazo a nuestra plataforma en acción para ver cómo los desarrolladores pueden mejorar sus habilidades rápidamente en un entorno de formación ideal y gamificado:
Participa en un desafío de codificación segura
Visite nuestros recursos de aprendizaje gratuitos
¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias del código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
