Los desarrolladores que crean el software, las aplicaciones y los programas que impulsan el negocio digital se han convertido en el alma de muchas organizaciones. La mayor\u00eda de las empresas modernas no podr\u00edan funcionar (rentablemente) sin aplicaciones y programas competitivos, o sin acceso las 24 horas a sus sitios web y otra infraestructura.<\/p>\n
Y, sin embargo, estos mismos puntos de contacto tambi\u00e9n suelen ser la puerta de entrada que emplean los piratas inform\u00e1ticos y otros usuarios infames para robar informaci\u00f3n, lanzar ataques y ser un trampol\u00edn para otras actividades delictivas, como el fraude y el ransomware. <\/p>\n
Los ataques exitosos siguen siendo frecuentes, a pesar de que el gasto en seguridad cibern\u00e9tica en la mayor\u00eda de las organizaciones est\u00e1 aumentando, y aunque los movimientos como DevSecOps<\/a> est\u00e1n cambiando la seguridad hacia aquellos desarrolladores que son el alma de los negocios en la actualidad. Los desarrolladores comprenden la importancia de la seguridad y, en su gran mayor\u00eda, desean implementar un c\u00f3digo seguro y de calidad, pero las vulnerabilidades del software contin\u00faan siendo explotadas. <\/p>\n Por segundo a\u00f1o, Secure Code Warrior realiz\u00f3 El estado de la encuesta de seguridad impulsada por los desarrolladores, 2022<\/strong><\/a> en asociaci\u00f3n con Evans Data Corp en diciembre de 2021, encuest\u00f3 a 1200 desarrolladores en todo el mundo para comprender las habilidades, percepciones y comportamientos cuando se trata de pr\u00e1cticas de codificaci\u00f3n seguras, y su impacto y relevancia percibida en el ciclo de vida de desarrollo de software (SDLC). <\/p>\n La encuesta identific\u00f3 la ausencia de una definici\u00f3n clara o una comprensi\u00f3n de lo que constituye un c\u00f3digo seguro. Resulta que hay una gran discrepancia entre lo que los desarrolladores pensar<\/em> es c\u00f3digo seguro, y qu\u00e9 c\u00f3digo seguro Realmente<\/em> es.<\/p>\n No fue sorprendente que escribir c\u00f3digo de calidad fuera una prioridad principal para la comunidad de desarrollo. Pero cuando se les pregunt\u00f3 espec\u00edficamente sobre el c\u00f3digo seguro, solo el 29% dijo que se priorizaba la pr\u00e1ctica activa de escribir c\u00f3digo libre de vulnerabilidades. En cambio, los desarrolladores asociaron pr\u00e1cticas menos seguras y mucho menos confiables con la creaci\u00f3n de c\u00f3digo seguro. Por ejemplo, examinar el c\u00f3digo existente (37 %) y confiar en bibliotecas de fuentes externas para obtener un c\u00f3digo seguro (37 %) fueron las principales pr\u00e1cticas que los desarrolladores asociaron con la codificaci\u00f3n segura. La reutilizaci\u00f3n de c\u00f3digo que ya se hab\u00eda considerado seguro (32 %) fue otra opci\u00f3n popular. La pr\u00e1ctica activa de escribir c\u00f3digo libre de vulnerabilidades ocup\u00f3 el sexto lugar con un 29 % que afirm\u00f3 que esta era una de las principales pr\u00e1cticas en la creaci\u00f3n de c\u00f3digo seguro. <\/p>\n Cuando se pregunt\u00f3 m\u00e1s, la falta de tiempo y la falta de un enfoque cohesivo por parte de la gerencia se se\u00f1alaron como las principales barreras para crear un c\u00f3digo seguro. <\/p>\n La confianza en el c\u00f3digo existente es uno de los factores que aumenta el riesgo de que el software se env\u00ede con vulnerabilidades explotables. Abordar esta desconexi\u00f3n de lo que constituye un c\u00f3digo seguro es necesario para que los desarrolladores creen un c\u00f3digo de calidad que tambi\u00e9n sea seguro. <\/p>\n Uno de los mensajes predominantes de la encuesta fue que la comunidad de desarrolladores en su conjunto est\u00e1 llena de profesionales que se preocupan por lo que hacen. Escribir c\u00f3digo de alta calidad era abrumadoramente importante para ellos como grupo. El problema es que, en muchos casos, las organizaciones para las que trabajan no han identificado qu\u00e9 mejores pr\u00e1cticas se requieren para producir c\u00f3digo seguro y no han destinado suficientes recursos a la capacitaci\u00f3n ni han permitido a sus desarrolladores alcanzar esos objetivos.<\/p>\n De hecho, la mayor\u00eda de los desarrolladores afirmaron que sus organizaciones ni siquiera ten\u00edan una definici\u00f3n clara de lo que constituye un c\u00f3digo seguro. Uno de los ejemplos m\u00e1s preocupantes de esto fue que el 28 % de los encuestados dijeron que su organizaci\u00f3n consideraba que el c\u00f3digo era seguro si no se informaba de una infracci\u00f3n una vez que una aplicaci\u00f3n o programa se implementaba en un entorno de producci\u00f3n o se pon\u00eda a disposici\u00f3n del p\u00fablico.<\/p>\n Probablemente no hace falta decirlo, pero en el complejo panorama de amenazas actual, el simple hecho de esperar buenos resultados sin trabajar realmente para lograrlos probablemente producir\u00e1 resultados predecibles: incluso m\u00e1s violaciones de seguridad.<\/p>\n Afortunadamente, esta es una situaci\u00f3n en la que es relativamente f\u00e1cil al menos comenzar a solucionar el problema y luego comenzar a trabajar hacia el objetivo de un c\u00f3digo seguro. El primer paso, y posiblemente el m\u00e1s importante, es que las organizaciones definan lo que consideran un c\u00f3digo seguro. Y todo lo que est\u00e1 fuera de esa definici\u00f3n debe considerarse no seguro.<\/p>\n La codificaci\u00f3n segura debe definirse como la pr\u00e1ctica de desarrolladores expertos que escriben c\u00f3digo libre de vulnerabilidades, desde el inicio del SDLC. Solo una vez que se define esta pr\u00e1ctica, la comunidad de desarrolladores puede trabajar hacia ese objetivo.<\/em><\/strong><\/p>\n Una vez que se establece la definici\u00f3n de c\u00f3digo seguro, las organizaciones deben estar listas para respaldar esos esfuerzos y a sus desarrolladores, quienes llevar\u00e1n a cabo el objetivo de implementar pr\u00e1cticas de c\u00f3digo seguro total. Ese apoyo es fundamental. Sin \u00e9l, la definici\u00f3n de c\u00f3digo seguro dentro de su organizaci\u00f3n, aunque importante, ser\u00e1 poco m\u00e1s que un tigre de papel. Las pr\u00e1cticas de codificaci\u00f3n segura deben ser respaldadas por la gerencia y recibir la debida consideraci\u00f3n, autoridad y presupuesto para tener \u00e9xito.<\/p>\n Esto puede requerir nuevos objetivos de evaluaci\u00f3n comparativa para los desarrolladores, que tradicionalmente han sido medidos por la velocidad de su codificaci\u00f3n. De hecho, el 37% de los desarrolladores en la encuesta informaron que dejaron vulnerabilidades conocidas dentro de su c\u00f3digo porque los plazos ajustados no permit\u00edan el tiempo necesario para corregirlos o codificar correctamente desde el principio. <\/p>\n Al principio, esto puede significar aumentar los plazos para dar a los desarrolladores m\u00e1s tiempo para codificar correctamente, aunque es probable que ese gasto de tiempo al comienzo del proceso de codificaci\u00f3n se compense m\u00e1s tarde debido a la menor necesidad de revisiones del programa, parches y posteriores a la implementaci\u00f3n. trabaja. Y eliminar la posibilidad de una brecha que se implemente puede terminar ahorrando cientos de horas y posiblemente millones<\/a> en p\u00e9rdida de ingresos, multas y costos de limpieza.<\/p>\n Los desarrolladores tambi\u00e9n requerir\u00e1n capacitaci\u00f3n pr\u00e1ctica relevante, especialmente en lo que se refiere a vulnerabilidades espec\u00edficas que es probable que encuentren, y ayuda para aprender a identificar y corregir vulnerabilidades de c\u00f3digo. Esto es especialmente cierto a la luz del 36 % de los encuestados que dijeron que quer\u00edan eliminar las vulnerabilidades de su c\u00f3digo, pero no ten\u00edan las habilidades o el conocimiento para hacerlo.<\/p>\n \u00bfQuiere leer m\u00e1s informaci\u00f3n obtenida de la encuesta de Secure Code Warriors a 1200 desarrolladores de todo el mundo? Puede acceder a ellos aqu\u00ed: Estado de la seguridad impulsada por los desarrolladores en 2022<\/a><\/p>\n <\/p>\n<\/div>\n\u00bfPor qu\u00e9?<\/strong><\/h2>\n
\u00bfQu\u00e9 pueden hacer las organizaciones para arreglar la situaci\u00f3n? <\/strong><\/h2>\n
Hacer realidad el objetivo del c\u00f3digo seguro<\/strong><\/h2>\n