Establecer un enfoque coherente para la seguridad dirigida por los desarrolladores
En respuesta a las principales brechas de seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18 000 usuarios del popular software de gestión Orion, incluidas muchas de las principales empresas y agencias gubernamentales, hay un creciente impulso en favor de iniciativas de seguridad más eficaces dirigidas por los desarrolladores. Las organizaciones de todos los tamaños están empezando a cuestionar su «cadena de suministro de software» y exigen que los desarrolladores que crean su software posean conocimientos y aptitudes comprobados en materia de seguridad.
Incluso el gobierno de los Estados Unidos pide mejores prácticas de seguridad dirigidas por los desarrolladores y un fortalecimiento de la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva para mejorar la ciberseguridad de la nación emitida por el presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a una fase más temprana del ciclo de vida del desarrollo de software (SDLC) mediante programas y movimientos como DevSecOps. Y, en una encuesta reciente, la comunidad de desarrolladores dijo que valoraba la formación en seguridad que había recibido para respaldar ese esfuerzo.
Vulnerabilidades de siguen siendo explotados, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que escribir código de calidad era una de las principales prioridades de la comunidad de desarrollo. Sin embargo, la encuesta también identificó varios motivos por los que la formación que se imparte a los desarrolladores, si bien se considera valiosa, no cumple con creces el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de recibir la formación que se les impartió, todavía no sabía cómo identificar o corregir las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de capacitación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más capacitación.
Está claro que la comunidad de desarrolladores valora la formación que reciben. Sin embargo, cuando se les preguntó acerca de las barreras para la adopción de prácticas de codificación seguras, la razón principal fue la falta de tiempo, seguida de una quinta parte de los encuestados que citaron la falta de un enfoque coherente como la culpable. La formación se consideró más como un evento puntual que como parte de un esfuerzo estratégico continuo para incorporar la seguridad en los flujos de trabajo de los desarrolladores y utilizarla a diario.
Por lo tanto, los desarrolladores no pueden desarrollar y conservar habilidades de codificación seguras como parte de un programa coherente y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es particularmente eficaz ni exhaustiva, dado que muchos desarrolladores afirman que todavía no pueden identificar y corregir las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 92% (50%) dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para solucionar la situación?
Es interesante que la abrumadora mayoría de los desarrolladores dijeran que necesitaban más formación en seguridad. Y si bien valoraron la formación que recibieron, esa podría ser una situación en la que simplemente estén satisfechos con lo que puedan obtener.
Cuando se les pidió que comentaran sobre las formas de mejorar su formación, empezaron a salir a la luz sus ideas reales sobre el tema. En general, la mayor parte de la formación que recibieron los desarrolladores fue limitada, no interactiva, solo se centró parcialmente en sus responsabilidades laborales y no formó parte de un plan general o continuo para ayudar a mejorar las habilidades y el conocimiento de la seguridad de su organización. Según los desarrolladores encuestados, si las organizaciones desean mejorar la eficacia de la formación que se ofrece, debe presentarse como parte de un enfoque integral para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían solicitudes específicas para que su formación fuera más valiosa. Una de las sugerencias más populares fue incluir más casos de uso y ejemplos prácticos de situaciones a las que podían enfrentarse desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que, con el tiempo, la educación cubriera escenarios cada vez más complejos o difíciles, una medida que probablemente también requeriría un enfoque más coherente y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades. Los desarrolladores también destacaron la necesidad de una mayor interactividad y, tal vez, incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios simplemente ven un vídeo o escuchan una conferencia sin la oportunidad de aprender de forma práctica y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil, como la codificación segura.
Los desarrolladores también hicieron hincapié en la necesidad de una mayor interactividad y tal vez incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad coherente?
La capacitación es, por supuesto, fundamental cuando se trata de mejorar la conciencia y las habilidades de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Sin embargo, un enfoque verdaderamente cohesivo para mejorar la conciencia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores. Por ejemplo, tradicionalmente se evaluaba a los desarrolladores en función de la rapidez con la que podían programar. Sin embargo, un enfoque coherente de la seguridad puede implicar cambiar esas métricas y valores de larga data. Por el contrario, las evaluaciones podrían desviar el énfasis de recompensar la velocidad bruta y, en su lugar, recompensar a los desarrolladores que pueden crear código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría involucrar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarte a exigir la seguridad a los desarrolladores, considera la posibilidad de crear o nombrar a expertos en seguridad de la comunidad. Se trata de desarrolladores talentosos y conscientes de la seguridad que destaquen por su formación o como parte de las nuevas evaluaciones centradas en las métricas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrolladores desde dentro.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores.
Para leer más
Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: cómo los campeones de la seguridad pueden ayudar a su equipo a lograr la victoria contra las vulnerabilidades en fase avanzada
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
En respuesta a las principales brechas de seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18 000 usuarios del popular software de gestión Orion, incluidas muchas de las principales empresas y agencias gubernamentales, hay un creciente impulso en favor de iniciativas de seguridad más eficaces dirigidas por los desarrolladores. Las organizaciones de todos los tamaños están empezando a cuestionar su «cadena de suministro de software» y exigen que los desarrolladores que crean su software posean conocimientos y aptitudes comprobados en materia de seguridad.
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
이 기사는 다음에 의해 작성되었습니다. Secure Code Warrior 업계 전문가로 구성된 팀은 개발자에게 처음부터 안전한 소프트웨어를 구축할 수 있는 지식과 기술을 제공하기 위해 최선을 다하고 있습니다. 안전한 코딩 관행, 업계 동향 및 실제 통찰력에 대한 심층적인 전문 지식을 활용합니다.
En respuesta a las principales brechas de seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18 000 usuarios del popular software de gestión Orion, incluidas muchas de las principales empresas y agencias gubernamentales, hay un creciente impulso en favor de iniciativas de seguridad más eficaces dirigidas por los desarrolladores. Las organizaciones de todos los tamaños están empezando a cuestionar su «cadena de suministro de software» y exigen que los desarrolladores que crean su software posean conocimientos y aptitudes comprobados en materia de seguridad.
Incluso el gobierno de los Estados Unidos pide mejores prácticas de seguridad dirigidas por los desarrolladores y un fortalecimiento de la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva para mejorar la ciberseguridad de la nación emitida por el presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a una fase más temprana del ciclo de vida del desarrollo de software (SDLC) mediante programas y movimientos como DevSecOps. Y, en una encuesta reciente, la comunidad de desarrolladores dijo que valoraba la formación en seguridad que había recibido para respaldar ese esfuerzo.
Vulnerabilidades de siguen siendo explotados, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que escribir código de calidad era una de las principales prioridades de la comunidad de desarrollo. Sin embargo, la encuesta también identificó varios motivos por los que la formación que se imparte a los desarrolladores, si bien se considera valiosa, no cumple con creces el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de recibir la formación que se les impartió, todavía no sabía cómo identificar o corregir las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de capacitación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más capacitación.
Está claro que la comunidad de desarrolladores valora la formación que reciben. Sin embargo, cuando se les preguntó acerca de las barreras para la adopción de prácticas de codificación seguras, la razón principal fue la falta de tiempo, seguida de una quinta parte de los encuestados que citaron la falta de un enfoque coherente como la culpable. La formación se consideró más como un evento puntual que como parte de un esfuerzo estratégico continuo para incorporar la seguridad en los flujos de trabajo de los desarrolladores y utilizarla a diario.
Por lo tanto, los desarrolladores no pueden desarrollar y conservar habilidades de codificación seguras como parte de un programa coherente y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es particularmente eficaz ni exhaustiva, dado que muchos desarrolladores afirman que todavía no pueden identificar y corregir las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 92% (50%) dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para solucionar la situación?
Es interesante que la abrumadora mayoría de los desarrolladores dijeran que necesitaban más formación en seguridad. Y si bien valoraron la formación que recibieron, esa podría ser una situación en la que simplemente estén satisfechos con lo que puedan obtener.
Cuando se les pidió que comentaran sobre las formas de mejorar su formación, empezaron a salir a la luz sus ideas reales sobre el tema. En general, la mayor parte de la formación que recibieron los desarrolladores fue limitada, no interactiva, solo se centró parcialmente en sus responsabilidades laborales y no formó parte de un plan general o continuo para ayudar a mejorar las habilidades y el conocimiento de la seguridad de su organización. Según los desarrolladores encuestados, si las organizaciones desean mejorar la eficacia de la formación que se ofrece, debe presentarse como parte de un enfoque integral para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían solicitudes específicas para que su formación fuera más valiosa. Una de las sugerencias más populares fue incluir más casos de uso y ejemplos prácticos de situaciones a las que podían enfrentarse desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que, con el tiempo, la educación cubriera escenarios cada vez más complejos o difíciles, una medida que probablemente también requeriría un enfoque más coherente y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades. Los desarrolladores también destacaron la necesidad de una mayor interactividad y, tal vez, incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios simplemente ven un vídeo o escuchan una conferencia sin la oportunidad de aprender de forma práctica y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil, como la codificación segura.
Los desarrolladores también hicieron hincapié en la necesidad de una mayor interactividad y tal vez incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad coherente?
La capacitación es, por supuesto, fundamental cuando se trata de mejorar la conciencia y las habilidades de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Sin embargo, un enfoque verdaderamente cohesivo para mejorar la conciencia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores. Por ejemplo, tradicionalmente se evaluaba a los desarrolladores en función de la rapidez con la que podían programar. Sin embargo, un enfoque coherente de la seguridad puede implicar cambiar esas métricas y valores de larga data. Por el contrario, las evaluaciones podrían desviar el énfasis de recompensar la velocidad bruta y, en su lugar, recompensar a los desarrolladores que pueden crear código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría involucrar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarte a exigir la seguridad a los desarrolladores, considera la posibilidad de crear o nombrar a expertos en seguridad de la comunidad. Se trata de desarrolladores talentosos y conscientes de la seguridad que destaquen por su formación o como parte de las nuevas evaluaciones centradas en las métricas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrolladores desde dentro.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores.
Para leer más
Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: cómo los campeones de la seguridad pueden ayudar a su equipo a lograr la victoria contra las vulnerabilidades en fase avanzada
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
En respuesta a las principales brechas de seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18 000 usuarios del popular software de gestión Orion, incluidas muchas de las principales empresas y agencias gubernamentales, hay un creciente impulso en favor de iniciativas de seguridad más eficaces dirigidas por los desarrolladores. Las organizaciones de todos los tamaños están empezando a cuestionar su «cadena de suministro de software» y exigen que los desarrolladores que crean su software posean conocimientos y aptitudes comprobados en materia de seguridad.
Incluso el gobierno de los Estados Unidos pide mejores prácticas de seguridad dirigidas por los desarrolladores y un fortalecimiento de la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva para mejorar la ciberseguridad de la nación emitida por el presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a una fase más temprana del ciclo de vida del desarrollo de software (SDLC) mediante programas y movimientos como DevSecOps. Y, en una encuesta reciente, la comunidad de desarrolladores dijo que valoraba la formación en seguridad que había recibido para respaldar ese esfuerzo.
Vulnerabilidades de siguen siendo explotados, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que escribir código de calidad era una de las principales prioridades de la comunidad de desarrollo. Sin embargo, la encuesta también identificó varios motivos por los que la formación que se imparte a los desarrolladores, si bien se considera valiosa, no cumple con creces el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de recibir la formación que se les impartió, todavía no sabía cómo identificar o corregir las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de capacitación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más capacitación.
Está claro que la comunidad de desarrolladores valora la formación que reciben. Sin embargo, cuando se les preguntó acerca de las barreras para la adopción de prácticas de codificación seguras, la razón principal fue la falta de tiempo, seguida de una quinta parte de los encuestados que citaron la falta de un enfoque coherente como la culpable. La formación se consideró más como un evento puntual que como parte de un esfuerzo estratégico continuo para incorporar la seguridad en los flujos de trabajo de los desarrolladores y utilizarla a diario.
Por lo tanto, los desarrolladores no pueden desarrollar y conservar habilidades de codificación seguras como parte de un programa coherente y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es particularmente eficaz ni exhaustiva, dado que muchos desarrolladores afirman que todavía no pueden identificar y corregir las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 92% (50%) dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para solucionar la situación?
Es interesante que la abrumadora mayoría de los desarrolladores dijeran que necesitaban más formación en seguridad. Y si bien valoraron la formación que recibieron, esa podría ser una situación en la que simplemente estén satisfechos con lo que puedan obtener.
Cuando se les pidió que comentaran sobre las formas de mejorar su formación, empezaron a salir a la luz sus ideas reales sobre el tema. En general, la mayor parte de la formación que recibieron los desarrolladores fue limitada, no interactiva, solo se centró parcialmente en sus responsabilidades laborales y no formó parte de un plan general o continuo para ayudar a mejorar las habilidades y el conocimiento de la seguridad de su organización. Según los desarrolladores encuestados, si las organizaciones desean mejorar la eficacia de la formación que se ofrece, debe presentarse como parte de un enfoque integral para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían solicitudes específicas para que su formación fuera más valiosa. Una de las sugerencias más populares fue incluir más casos de uso y ejemplos prácticos de situaciones a las que podían enfrentarse desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que, con el tiempo, la educación cubriera escenarios cada vez más complejos o difíciles, una medida que probablemente también requeriría un enfoque más coherente y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades. Los desarrolladores también destacaron la necesidad de una mayor interactividad y, tal vez, incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios simplemente ven un vídeo o escuchan una conferencia sin la oportunidad de aprender de forma práctica y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil, como la codificación segura.
Los desarrolladores también hicieron hincapié en la necesidad de una mayor interactividad y tal vez incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad coherente?
La capacitación es, por supuesto, fundamental cuando se trata de mejorar la conciencia y las habilidades de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Sin embargo, un enfoque verdaderamente cohesivo para mejorar la conciencia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores. Por ejemplo, tradicionalmente se evaluaba a los desarrolladores en función de la rapidez con la que podían programar. Sin embargo, un enfoque coherente de la seguridad puede implicar cambiar esas métricas y valores de larga data. Por el contrario, las evaluaciones podrían desviar el énfasis de recompensar la velocidad bruta y, en su lugar, recompensar a los desarrolladores que pueden crear código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría involucrar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarte a exigir la seguridad a los desarrolladores, considera la posibilidad de crear o nombrar a expertos en seguridad de la comunidad. Se trata de desarrolladores talentosos y conscientes de la seguridad que destaquen por su formación o como parte de las nuevas evaluaciones centradas en las métricas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrolladores desde dentro.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores.
Para leer más
Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: cómo los campeones de la seguridad pueden ayudar a su equipo a lograr la victoria contra las vulnerabilidades en fase avanzada
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
이 기사는 다음에 의해 작성되었습니다. Secure Code Warrior 업계 전문가로 구성된 팀은 개발자에게 처음부터 안전한 소프트웨어를 구축할 수 있는 지식과 기술을 제공하기 위해 최선을 다하고 있습니다. 안전한 코딩 관행, 업계 동향 및 실제 통찰력에 대한 심층적인 전문 지식을 활용합니다.
En respuesta a las principales brechas de seguridad, como la campaña de SolarWinds, que utilizó un proceso de actualización de software para infectar a más de 18 000 usuarios del popular software de gestión Orion, incluidas muchas de las principales empresas y agencias gubernamentales, hay un creciente impulso en favor de iniciativas de seguridad más eficaces dirigidas por los desarrolladores. Las organizaciones de todos los tamaños están empezando a cuestionar su «cadena de suministro de software» y exigen que los desarrolladores que crean su software posean conocimientos y aptitudes comprobados en materia de seguridad.
Incluso el gobierno de los Estados Unidos pide mejores prácticas de seguridad dirigidas por los desarrolladores y un fortalecimiento de la cadena de suministro de software. Estos conceptos son un componente clave de una orden ejecutiva para mejorar la ciberseguridad de la nación emitida por el presidente Biden.
En general, la comunidad de desarrolladores se ha mostrado receptiva a la idea de trasladar la seguridad a una fase más temprana del ciclo de vida del desarrollo de software (SDLC) mediante programas y movimientos como DevSecOps. Y, en una encuesta reciente, la comunidad de desarrolladores dijo que valoraba la formación en seguridad que había recibido para respaldar ese esfuerzo.
Vulnerabilidades de siguen siendo explotados, e incluso los desarrolladores admiten que a veces dejan vulnerabilidades en su código.
¿Por qué?
La encuesta confirmó que escribir código de calidad era una de las principales prioridades de la comunidad de desarrollo. Sin embargo, la encuesta también identificó varios motivos por los que la formación que se imparte a los desarrolladores, si bien se considera valiosa, no cumple con creces el objetivo de ayudar a proteger la cadena de suministro de software. El 33% afirmó que seguía dejando vulnerabilidades en su código porque, incluso después de recibir la formación que se les impartió, todavía no sabía cómo identificar o corregir las vulnerabilidades conocidas. Y un abrumador 92% dijo que necesitaba al menos algún nivel de capacitación adicional en seguridad, mientras que el 50% dijo que se necesitaba mucha más capacitación.
Está claro que la comunidad de desarrolladores valora la formación que reciben. Sin embargo, cuando se les preguntó acerca de las barreras para la adopción de prácticas de codificación seguras, la razón principal fue la falta de tiempo, seguida de una quinta parte de los encuestados que citaron la falta de un enfoque coherente como la culpable. La formación se consideró más como un evento puntual que como parte de un esfuerzo estratégico continuo para incorporar la seguridad en los flujos de trabajo de los desarrolladores y utilizarla a diario.
Por lo tanto, los desarrolladores no pueden desarrollar y conservar habilidades de codificación seguras como parte de un programa coherente y continuo en sus organizaciones. También podemos concluir que la formación que se recibe actualmente no es particularmente eficaz ni exhaustiva, dado que muchos desarrolladores afirman que todavía no pueden identificar y corregir las vulnerabilidades más comunes.
El 92% de los desarrolladores dijo que necesitaba al menos algún nivel de formación adicional en seguridad, mientras que el 92% (50%) dijo que se necesitaba mucha más formación.
¿Qué pueden hacer las organizaciones para solucionar la situación?
Es interesante que la abrumadora mayoría de los desarrolladores dijeran que necesitaban más formación en seguridad. Y si bien valoraron la formación que recibieron, esa podría ser una situación en la que simplemente estén satisfechos con lo que puedan obtener.
Cuando se les pidió que comentaran sobre las formas de mejorar su formación, empezaron a salir a la luz sus ideas reales sobre el tema. En general, la mayor parte de la formación que recibieron los desarrolladores fue limitada, no interactiva, solo se centró parcialmente en sus responsabilidades laborales y no formó parte de un plan general o continuo para ayudar a mejorar las habilidades y el conocimiento de la seguridad de su organización. Según los desarrolladores encuestados, si las organizaciones desean mejorar la eficacia de la formación que se ofrece, debe presentarse como parte de un enfoque integral para promover un mayor énfasis en la seguridad en todo el SDLC. Además, los desarrolladores tenían solicitudes específicas para que su formación fuera más valiosa. Una de las sugerencias más populares fue incluir más casos de uso y ejemplos prácticos de situaciones a las que podían enfrentarse desde el punto de vista de la seguridad. Otra respuesta popular para mejorar la eficacia fue que, con el tiempo, la educación cubriera escenarios cada vez más complejos o difíciles, una medida que probablemente también requeriría un enfoque más coherente y un plan a largo plazo para el aprendizaje continuo y el desarrollo de habilidades. Los desarrolladores también destacaron la necesidad de una mayor interactividad y, tal vez, incluso de añadir un elemento competitivo. En general, la formación en la que los usuarios simplemente ven un vídeo o escuchan una conferencia sin la oportunidad de aprender de forma práctica y contextual no se considera eficaz ni especialmente valiosa cuando se trata de enseñar una habilidad compleja y (percibida como) difícil, como la codificación segura.
Los desarrolladores también hicieron hincapié en la necesidad de una mayor interactividad y tal vez incluso de añadir un elemento competitivo.
¿Qué otros elementos son importantes a la hora de adoptar un enfoque de seguridad coherente?
La capacitación es, por supuesto, fundamental cuando se trata de mejorar la conciencia y las habilidades de seguridad de la comunidad de desarrolladores de una organización. Y garantizar que el aprendizaje sea continuo, interactivo, relevante y contextual es una necesidad. Sin embargo, un enfoque verdaderamente cohesivo para mejorar la conciencia de seguridad va incluso más allá.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores. Por ejemplo, tradicionalmente se evaluaba a los desarrolladores en función de la rapidez con la que podían programar. Sin embargo, un enfoque coherente de la seguridad puede implicar cambiar esas métricas y valores de larga data. Por el contrario, las evaluaciones podrían desviar el énfasis de recompensar la velocidad bruta y, en su lugar, recompensar a los desarrolladores que pueden crear código de calidad que también sea seguro, es decir, que esté libre de vulnerabilidades.
También podría involucrar a la propia comunidad de desarrolladores como parte del esfuerzo. En lugar de limitarte a exigir la seguridad a los desarrolladores, considera la posibilidad de crear o nombrar a expertos en seguridad de la comunidad. Se trata de desarrolladores talentosos y conscientes de la seguridad que destaquen por su formación o como parte de las nuevas evaluaciones centradas en las métricas. También deberían estar dispuestos a ayudar a otros desarrolladores a mejorar sus habilidades, mejorando así la comunidad de desarrolladores desde dentro.
Un enfoque verdaderamente cohesivo debe considerar lo que se necesita para fomentar una verdadera cultura de seguridad dirigida por los desarrolladores. Puede que sea necesario cambiar el enfoque y dejar de centrarse en las formas típicas de gestionar y crear equipos de desarrolladores.
Para leer más
Libro blanco: Los desafíos (y las oportunidades) para mejorar la seguridad del software
Libro blanco: El enfoque preventivo de la seguridad del software impulsado por los desarrolladores
Libro blanco: La Superbowl de DevSecOps: cómo los campeones de la seguridad pueden ayudar a su equipo a lograr la victoria contra las vulnerabilidades en fase avanzada
Informe: El estado de la seguridad impulsada por los desarrolladores 2022
목차
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드
%20(1).avif)
.avif)
