Código listo para usar: por qué los desarrolladores seguros pueden realizar envíos sin límites

Este artículo apareció originalmente en SD Times. Se ha actualizado y distribuido aquí.

‍

La verificación de habilidades ha sido una faceta de nuestras vidas durante la mayor parte de la era moderna, ya que nos ha otorgado validez y ha abierto puertas que de otro modo no estarían disponibles. Conducir, por ejemplo, es un rito de iniciación importante para la mayoría, y se espera que aprobemos una serie de evaluaciones estandarizadas para confirmar que se nos puede confiar en una máquina de cuatro mil libras, capaz de viajar a más de cien millas por hora. Los errores, especialmente cuando se trata de conducir a gran velocidad, pueden costarte ese privilegio, o incluso una vida humana.

Pero, ¿y si, para algunos, conducir es más que una comodidad del día a día y se convierte en una profesión de élite? Una persona puede continuar su proceso de perfeccionamiento profesional y llegar a ser piloto de F1, donde se le permite conducir máquinas que van más rápido de lo que un civil podría manejar sin grandes probabilidades de cometer errores a altas velocidades.

Con ese fin, parece desconcertante que la mayoría de los desarrolladores que trabajan en el código que impulsa la infraestructura crítica, los automóviles, la tecnología médica y todo lo demás, lo hagan sin verificar primero su destreza en materia de seguridad. Por otro lado, ¿por qué los desarrolladores expertos en seguridad, que han demostrado en repetidas ocasiones que saben cómo crear cosas de forma segura, tienen que hacer cola con todos los demás en un proceso de desarrollo cada vez más lento debido a las barreras de seguridad? La industria no ve esto como un descuido, sino como la norma.

Gracias a una extensa investigación, sabemos que la mayoría de los desarrolladores simplemente no priorizan la seguridad en su código, y carecen de la educación regular requerida para sortear muchos de los errores de seguridad más comunes. Suelen ser una de las razones por las que la seguridad a gran velocidad parece una quimera, y muchos desarrolladores que se dedican a la seguridad se sienten atrapados en el carril lento de la autopista detrás de un grupo de conductores en formación.

A pesar de esto, el mundo de la seguridad avanza lentamente y existe una creciente demanda de desarrolladores que tengan habilidades de seguridad verificadas que puedan empezar a trabajar de inmediato. La administración de Biden Orden ejecutiva sobre la mejora de la ciberseguridad de la nación exige específicamente la evaluación de las prácticas de seguridad de los proveedores (y de su cohorte de desarrollo) para cualquier proveedor de la cadena de suministro de software del gobierno de los EE. UU. Es lógico pensar que el énfasis en las habilidades de seguridad de los desarrolladores solo aumentará en la mayoría de los sectores, pero dado que las evaluaciones estándar del sector ofrecen poco, ¿cómo pueden las organizaciones demostrar que su programa de seguridad está aumentando las habilidades de seguridad verificables de los desarrolladores de una manera que no ponga de rodillas la ni impida que los desarrolladores preocupados por la seguridad desplieguen sus alas?

Control de acceso basado en el mérito: ¿podría funcionar?

Los controles de seguridad con privilegios mínimos son un pilar en muchas organizaciones, con la idea de que a cada rol se le asigna el acceso al software, los datos y los sistemas según sea necesario en el contexto de su trabajo, y nada más. Este método, especialmente si se combina con principios de autorización basados en el principio de confianza cero, es útil para controlar toda la superficie de ataque. Y, en realidad, deberíamos postularnos esta misma estrategia para los permisos de API, y otros casos de uso basados en software como estándar.

La mayoría de los que trabajamos en el negocio de la seguridad somos muy conscientes del hecho de que el software se está comiendo el mundo, y el código de los sistemas integrados que hace funcionar la freidora no es realmente diferente del código que mantiene la red eléctrica en funcionamiento, en términos de su potencial de explotación. Nuestras vidas y nuestros datos críticos están a merced de los actores de amenazas, y todos los desarrolladores deben comprender el poder que tienen para fortalecer su código si cuentan con la formación adecuada. Para ello es necesario actualizar seriamente la cultura de seguridad de una organización, pero para que exista una verdadera responsabilidad compartida al estilo de DevSecOps, los desarrolladores necesitan una razón para preocuparse más por el papel que desempeñan, y quizás la forma más rápida de cambiar su mentalidad sea vincular el acceso al repositorio de código con unos resultados de aprendizaje de programación seguros.

Si tomamos una organización del ámbito de la BFSI, por ejemplo, es muy probable que haya repositorios altamente confidenciales que contengan datos de clientes o que almacenen información valiosa, como números de tarjetas de crédito. Entonces, ¿por qué deberíamos suponer que todos los ingenieros a los que se ha concedido el acceso son conscientes de la seguridad, cumplen con los estrictos requisitos de la PCI-DSS y pueden realizar cambios en la sucursal principal de forma rápida y sin incidentes? Si bien este puede ser el caso de algunos, sería mucho más seguro restringir el acceso a estos delicados sistemas hasta que se demuestre este conocimiento.

El desafío es que, en la mayoría de las empresas, promulgar un escenario de «licencia para programar» sería arduo y, según la solución de capacitación, demasiado manual para respaldar cualquier tipo de objetivos de seguridad rápida. Sin embargo, la combinación correcta de educación y herramientas integradoras puede ser el núcleo de una estrategia de seguridad defensiva impulsada por los desarrolladores.

La integración efectiva de la formación no es imposible.

Encuentra soluciones para mejorar las habilidades de los desarrolladores que complementan tanto los objetivos empresariales de alta velocidad como su flujo de trabajo es la mitad de la batalla, pero hacer un esfuerzo adicional para superar la formación de cumplimiento al estilo «único» es la única manera de empezar a ver una reducción significativa de las vulnerabilidades a nivel de código. ¿Y para los desarrolladores que demuestran su valía con éxito? Bueno, el mundo de la programación es lo suyo, y no tienen por qué verse obstaculizados por los controles de seguridad que suponen que no pueden aprender lo básico.

El desarrollo práctico de las habilidades que se integra a la perfección con el entorno de desarrollo proporciona el contexto necesario para que los ingenieros comprendan y apliquen realmente los conceptos de codificación segura, y estas mismas integraciones se pueden utilizar para gestionar de forma eficaz el acceso a los sistemas críticos, garantizando que quienes destacan en sus resultados de aprendizaje trabajen sin obstáculos en las tareas delicadas de mayor prioridad. También facilita la implementación de recompensas y reconocimientos, lo que garantiza que los desarrolladores con conocimientos de seguridad tengan en su cohorte una aspiración.

Como muchas cosas en la vida, la suerte favorece a los valientes, y romper el status quo para adoptar un enfoque innovador para la verificación de las habilidades de los desarrolladores es exactamente lo que necesitamos para mejorar los estándares del futuro de calidad de código aceptable sin sacrificar la velocidad.