{"id":504329,"date":"2022-12-01T21:27:23","date_gmt":"2022-12-01T21:27:23","guid":{"rendered":"https:\/\/teknomers.com\/es\/lo-que-los-desarrolladores-necesitan-para-pelear-la-batalla-contra-las-vulnerabilidades-comunes\/"},"modified":"2022-12-01T21:27:25","modified_gmt":"2022-12-01T21:27:25","slug":"lo-que-los-desarrolladores-necesitan-para-pelear-la-batalla-contra-las-vulnerabilidades-comunes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/lo-que-los-desarrolladores-necesitan-para-pelear-la-batalla-contra-las-vulnerabilidades-comunes\/","title":{"rendered":"Lo que los desarrolladores necesitan para pelear la batalla contra las vulnerabilidades comunes"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>El panorama de amenazas actual est\u00e1 en constante evoluci\u00f3n, y ahora m\u00e1s que nunca, las organizaciones y empresas de todos los sectores tienen una necesidad cr\u00edtica de producir y mantener software seguro de manera constante.  Si bien algunas verticales, como la industria financiera, por ejemplo, han estado sujetas a requisitos regulatorios y de cumplimiento durante alg\u00fan tiempo, estamos viendo un aumento constante en la atenci\u00f3n sobre las mejores pr\u00e1cticas de seguridad cibern\u00e9tica en los niveles m\u00e1s altos del gobierno, con los EE. UU., el Reino Unido y Australia arroj\u00f3 luz muy reciente sobre la necesidad de un desarrollo seguro en cada etapa del SDLC. <\/p>\n<p>A pesar de esto, los atacantes encuentran constantemente nuevas formas de eludir incluso las protecciones y defensas m\u00e1s avanzadas.  Por ejemplo, muchos han cambiado su enfoque de entregar malware a comprometer las API o lanzar ataques dirigidos. <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/sites\/default\/files\/publications\/defending_against_software_supply_chain_attacks_508_1.pdf\" target=\"_blank\">contra una cadena de suministro<\/a>.  Y si bien esos incidentes de alto nivel est\u00e1n ocurriendo con mucha mayor frecuencia, tambi\u00e9n lo est\u00e1n las vulnerabilidades m\u00e1s simples, como las secuencias de comandos entre sitios y la inyecci\u00f3n SQL, que han sido un flagelo para las defensas de seguridad cibern\u00e9tica durante d\u00e9cadas.  S\u00f3lo <a rel=\"nofollow noopener\" href=\"https:\/\/www.searchenginejournal.com\/woocommerce-vulnerabilities\/470996\/\" target=\"_blank\">el mes pasado<\/a>se inform\u00f3 una vulnerabilidad cr\u00edtica de inyecci\u00f3n de SQL en un complemento de WordPress de WooCommerce, con una calificaci\u00f3n de gravedad de 9.8\/10. <\/p>\n<p>Cada vez es m\u00e1s evidente que, si bien las plataformas y las defensas de ciberseguridad son componentes cr\u00edticos en la defensa contra los ataques modernos, lo que realmente se necesita es un c\u00f3digo seguro que se pueda implementar sin vulnerabilidades.  Y eso requiere un aumento deliberado y comprometido en los est\u00e1ndares de codificaci\u00f3n segura, accionado por desarrolladores conscientes de la seguridad.<\/p>\n<p>Muchos desarrolladores dicen que est\u00e1n dispuestos a defender la seguridad y comprometerse con est\u00e1ndares m\u00e1s altos de calidad de c\u00f3digo y salida segura, pero no pueden hacerlo solos.  No podemos darnos el lujo de ignorar las necesidades de los desarrolladores en la lucha contra las vulnerabilidades comunes, y necesitan el apoyo de herramientas y capacitaci\u00f3n adecuadas, as\u00ed como una reelaboraci\u00f3n de las m\u00e9tricas tradicionales por las que a menudo son juzgados por sus empleadores y organizaciones.<\/p>\n<h2 style=\"text-align: left;\"><strong>Por qu\u00e9 la mayor\u00eda de los desarrolladores a\u00fan no priorizan la seguridad<\/strong><\/h2>\n<p>Las mejores pr\u00e1cticas de codificaci\u00f3n han seguido evolucionando a lo largo de los a\u00f1os, en respuesta a las necesidades comerciales y las tendencias del mercado.  En el pasado, la mayor\u00eda de las aplicaciones se creaban utilizando los llamados <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Waterfall_model\" target=\"_blank\">desarrollo de cascada<\/a> modelo en el que los ingenieros de software trabajaron para preparar su c\u00f3digo para cumplir una serie continua de hitos u objetivos antes de pasar a la siguiente fase de desarrollo.  Waterfall tend\u00eda a respaldar el desarrollo de programas que, habiendo cumplido todos los hitos anteriores en el camino, estaban libres de errores o fallas operativas cuando estaban listos para el entorno de producci\u00f3n.  Pero seg\u00fan los est\u00e1ndares actuales, fue dolorosamente lento, a veces con 18 meses o m\u00e1s entre el inicio de un proyecto y la llegada a la meta.  Y eso no va a funcionar en la mayor\u00eda de las empresas en estos d\u00edas.<\/p>\n<p>los <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Agile_software_development\" target=\"_blank\">m\u00e9todo \u00e1gil<\/a> tend\u00eda a reemplazar Waterfall, poniendo un \u00e9nfasis mucho mayor en la velocidad.  Y esto fue seguido por DevOps, que est\u00e1 dise\u00f1ado para una velocidad a\u00fan mayor al combinar el desarrollo y las operaciones para garantizar que los programas est\u00e9n listos para la producci\u00f3n casi tan pronto como se eliminen los ajustes finales de desarrollo. <\/p>\n<p>Anteponer la velocidad a la seguridad, y casi todo lo dem\u00e1s m\u00e1s all\u00e1 de la funcionalidad, era una necesidad a medida que evolucionaba el entorno empresarial.  En un mundo basado en la nube donde todo el mundo est\u00e1 en l\u00ednea todo el tiempo, y millones de transacciones m\u00f3viles pueden ocurrir cada pocos segundos, implementar el software y entrar en la canalizaci\u00f3n de integraci\u00f3n continua y entrega continua (CI\/CD) lo m\u00e1s r\u00e1pido posible es una misi\u00f3n cr\u00edtica. por negocios.<\/p>\n<p>No es que a las organizaciones no les importara la seguridad.  Es solo que en el entorno comercial competitivo que existe en la mayor\u00eda de las industrias, la velocidad se consideraba m\u00e1s importante.  Y los desarrolladores que pod\u00edan igualar esa velocidad prosperaron hasta el punto en que se convirti\u00f3 en el principal medio por el cual se juzgaba su desempe\u00f1o laboral.<\/p>\n<p>Ahora que los ataques avanzados aumentan de forma tan espectacular, implementar c\u00f3digo vulnerable se est\u00e1 convirtiendo en una responsabilidad.  La preferencia est\u00e1 cambiando una vez m\u00e1s, con la seguridad convirti\u00e9ndose cada vez m\u00e1s en el enfoque principal del desarrollo de software, con la velocidad en segundo lugar.  Atornillar la seguridad despu\u00e9s del hecho no solo es peligroso, sino que tambi\u00e9n ralentiza el proceso de implementaci\u00f3n del software.  Eso ha llevado al surgimiento de la <a rel=\"nofollow noopener\" href=\"https:\/\/www.devsecops.org\/\" target=\"_blank\">DevSecOps<\/a> metodolog\u00eda que intenta fusionar velocidad y seguridad para ayudar a generar c\u00f3digo seguro y considerar la seguridad como una responsabilidad compartida.  Pero los desarrolladores capacitados para la velocidad pura no pueden volverse funcionalmente conscientes de la seguridad sin mucho apoyo de sus organizaciones. <\/p>\n<h2 style=\"text-align: left;\"><strong>Lo que los desarrolladores necesitan para realmente tener un impacto en la reducci\u00f3n de vulnerabilidades<\/strong><\/h2>\n<p>La buena noticia es que la mayor\u00eda de los desarrolladores quieren ver un cambio hacia la codificaci\u00f3n segura y una nueva priorizaci\u00f3n de la seguridad como parte del proceso de desarrollo.  en un <a rel=\"nofollow noopener\" href=\"https:\/\/www.securecodewarrior.com\/press-releases\/secure-code-warrior-survey-finds-86-of-developers-do-not-view-application-security-as-a-top-priority?utm_source=hackernews&amp;utm_medium=syndication&amp;utm_campaign=2022-10-q4-developer-security-maturity&amp;utm_content=press-release\" target=\"_blank\">encuesta completa<\/a> realizado por Evans Data de m\u00e1s de 1,200 desarrolladores profesionales que trabajan activamente en todo el mundo a principios de este a\u00f1o, la gran mayor\u00eda dijo que apoyaba el concepto de crear un c\u00f3digo seguro.  La mayor\u00eda tambi\u00e9n esperaba que se convirtiera en una prioridad en sus organizaciones.  Sin embargo, solo el 8% de los encuestados dijo que escribir c\u00f3digo seguro era f\u00e1cil de lograr.  Eso deja mucho margen de mejora dentro de los equipos de desarrollo de la mayor\u00eda de las organizaciones entre lo que se necesita y lo que se requiere para llegar all\u00ed. <\/p>\n<p>El simple hecho de exigir un c\u00f3digo seguro no har\u00e1 el trabajo, y sin el esfuerzo de desarrollar las habilidades y la conciencia adecuadas, ser\u00e1 muy disruptivo para su flujo de trabajo.  Los equipos de desarrollo deben existir en un entorno que fomente su mentalidad de seguridad y promueva una cultura de responsabilidad compartida.<\/p>\n<p>Lo m\u00e1s importante que se necesita es una mejor capacitaci\u00f3n para ellos, seguida de herramientas que ayuden a que la codificaci\u00f3n segura sea una parte integral de su flujo de trabajo.  Y el programa debe personalizarse para que los desarrolladores menos experimentados puedan comenzar su capacitaci\u00f3n aprendiendo a reconocer los tipos de vulnerabilidades comunes que a menudo se introducen en el c\u00f3digo, con mucho aprendizaje pr\u00e1ctico y ejemplos.  Mientras tanto, a los desarrolladores m\u00e1s avanzados que demuestren sus habilidades de seguridad se les puede asignar la tarea de errores m\u00e1s complejos y tal vez incluso conceptos avanzados de modelado de amenazas.<\/p>\n<p>Adem\u00e1s de financiar y apoyar los programas de capacitaci\u00f3n, lo que incluye dar a los desarrolladores suficiente tiempo libre de la codificaci\u00f3n para poder participar adecuadamente en esos programas, las organizaciones tambi\u00e9n deben cambiar la forma en que se eval\u00faa a su cohorte.  La m\u00e9trica principal para recompensar a los desarrolladores debe alejarse de la velocidad bruta.  En cambio, las evaluaciones podr\u00edan recompensar a aquellos que puedan crear un c\u00f3digo seguro que est\u00e9 libre de vulnerabilidades o exploits.  S\u00ed, la velocidad tambi\u00e9n puede ser un factor evaluado, pero ante todo, el c\u00f3digo debe ser seguro y el desarrollo moderno debe forjar un camino en el que la seguridad a gran velocidad ya no sea un mito.<\/p>\n<p>El env\u00edo de c\u00f3digo inseguro o vulnerable no deber\u00eda ser un riesgo comercial aceptable, y reforzar la seguridad despu\u00e9s del hecho se est\u00e1 volviendo cada vez m\u00e1s ineficaz.  Afortunadamente, la mejor arma para luchar contra esta preocupante tendencia es hacer que la comunidad de desarrolladores produzca un c\u00f3digo seguro que los atacantes no puedan explotar.  La mayor\u00eda de los desarrolladores est\u00e1n dispuestos a aceptar ese desaf\u00edo;  darles el apoyo para que esto suceda. <\/p>\n<p><em>Secure Code Warrior es una de las cuatro empresas nombradas en el informe Gartner\u00ae Cool Vendors\u2122 in Software Engineering: Enhancing Developer Productivity.  Estamos listos para ayudar a los equipos de desarrollo a navegar las complejidades del desarrollo de software seguro con herramientas que tienen sentido en su mundo. <\/em><a rel=\"nofollow noopener\" href=\"https:\/\/www.securecodewarrior.com\/blog\/gartner-cool-companies?utm_source=hackernews&amp;utm_medium=syndication&amp;utm_campaign=2022-10-q4-developer-security-maturity&amp;utm_content=gartner-report\" target=\"_blank\"><em>Aprende m\u00e1s<\/em><\/a><em>.<\/em><\/p>\n<p><em><b>Nota &#8211; <\/b>Este art\u00edculo est\u00e1 escrito y contribuido por Matias Madou, CTO y cofundador de Secure Code Warrior.<\/em><\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/what-developers-need-to-fight-battle.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El panorama de amenazas actual est\u00e1 en constante evoluci\u00f3n, y ahora m\u00e1s que nunca, las organizaciones y empresas<\/p>\n","protected":false},"author":1,"featured_media":504330,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,1121,4664,13383,110,34683,4662,4668,246,4667,36,5452,4654,4658,4659,4653,4655,18,1947,4663,4666,4665,4660,12260],"class_list":["post-504329","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-batalla","tag-como-hackear","tag-comunes","tag-contra","tag-desarrolladores","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las","tag-las-noticias-de-los-hackers","tag-los","tag-necesitan","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-pelear","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software","tag-vulnerabilidades"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/504329","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=504329"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/504329\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/504330"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=504329"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=504329"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=504329"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}