Se necesita una aldea: cómo el espíritu comunitario crea desarrolladores más seguros

La frase «se necesita un pueblo» es antiguo proverbio africano, que abarca muchas culturas, dialectos y lugares geográficos africanos diversos. Si bien el lenguaje utilizado para transmitir esta perla de sabiduría puede ser diferente, el sentimiento es el mismo: se necesitan las aportaciones de toda la comunidad para crear un entorno seguro, positivo e iluminador que permita a las generaciones futuras convertirse en adultos íntegros.

Puede parecer una reverencia larga, pero la verdad es que la comunidad de desarrolladores ha prosperado durante décadas gracias a este mismo principio. La idea del antisocial fanático del «lobo solitario» detrás de un ordenador es, como la mayoría de los estereotipos, exagerada y no es la mejor manera de aprender cómo operamos. Hay desarrolladores de todo tipo, de todos los ámbitos de la vida, y siempre ha habido un sentido de comunidad en todo lo que hacemos.

Mucho antes de que Internet se convirtiera en la norma, estábamos en los tablones de anuncios compartiendo consejos, resolviendo los problemas de los demás y discutiendo sobre las mejores prácticas (y, desde luego, de mi lado de la valla, trabajando duro para romper cosas). Este sentimiento no ha cambiado. Internet es ahora una bestia diferente, con más trolls bajo el puente y mucho más ruido, pero con un salto rápido a lugares como Reddit y Stack Overflow le dará una sensación inmediata de voluntad de ayuda, camaradería y una gran cantidad de información.

Sin embargo, una cosa que todos podríamos ayudar a apoyar son esas conexiones en el mundo real con personas que están pasando por lo mismo. Cuando interactúas en el mundo real hay una nueva capa de significado, y crear una comunidad «en la vida real» puede acelerar el intercambio de conocimientos, la clarificación y ampliar horizontes de maneras maravillosas.

¿Cómo apoya la comunidad de desarrolladores la seguridad?

Organisations like AVISPA están realizando un trabajo increíble en la comunidad de seguridad, con abundantes recursos gratuitos sobre vulnerabilidades, noticias y alertas críticas. Sin conexión a Internet, hay capítulos de OWASP en ciudades de todo el mundo que organizan eventos con regularidad para que las personas se reúnan, hablen sobre seguridad y compartan consejos para hacer que nuestro software sea más seguro. Es realmente impresionante y, para mí, eso es lo que importa a la comunidad de desarrolladores.

Una cosa que estas comunidades, ya sean en línea o presenciales, ayudan a abordar es la brecha de habilidades y conocimientos entre los desarrolladores. Muchos desarrolladores experimentados están encantados de compartir información, ayudar a alguien a empezar o indicarle la dirección correcta (cualquier buen Jedi sabe que necesita ayudar a un padawan de vez en cuando).

Por lo tanto, siempre es un verdadero placer cuando nos asociamos con ellos para organizar eventos como torneos de programación seguros. Hasta ahora, hemos apoyado las reuniones en Australia, Inglaterra, India y EE. UU. EE. UU., y espero que haya muchas más por venir.

How is a union of a OWASP tournament? Mira este vídeo de un torneo de OWASP celebrado en Londres en los icónicos estudios de la BBC:

Sin duda, estos eventos ayudan a crear conciencia, y este impulso puede aprovecharse en las organizaciones cuando apoyan estas iniciativas de base, introducen una formación completa de codificación segura y se comprometen a operar con una cultura de seguridad positiva.

How do gamification ¿Y los torneos ayudan a crear desarrolladores más seguros?

Las reuniones de OWASP se basan en la socialización, el intercambio de conocimientos y la discusión de ideas con una amplia gama de personas preocupadas por la seguridad. Sin embargo, para quienes recién comienzan a hablar de seguridad (o que aún no están interesados en ella), estos eventos pueden pasar desapercibidos.

Cuando las organizaciones desempeñan un papel activo en la creación de conciencia sobre la seguridad y despiertan un interés real entre la cohorte de desarrolladores, esto puede tener el efecto positivo y continuo de inculcar una búsqueda permanente de conocimientos sobre seguridad en su seno, del tipo que necesitamos todos más serio acerca de la codificación segura.

Los métodos de entrenamiento típicos rara vez son una gran motivación (por ejemplo, estar sentado en un aula mientras se acumulen las tareas del día a día o tratar de permanecer despierto viendo un sinfín de vídeos), pero generar un sentido de competencia, diversión y gamificación del proceso puede hacer que aprender sea mucho menos difícil. Los métodos de aprendizaje gamificados hacen que los conocimientos técnicos (y, a veces, ásperos) sean mucho más digeribles, dividiéndolos en partes más pequeñas que contextuales, memorables y fomentan la repetición del aprendizaje. Secure Code Warrior se creó sobre la base de la accesibilidad, lo que permite a los desarrolladores seguir ampliando sus conocimientos anteriores paso a paso, de una manera que refleja su creatividad y su instinto general de resolver problemas.

Las evaluaciones ayudan a mantener a todos en el buen camino e identificar las áreas de mejora, pero un torneo de programación seguro puede servir como catalizador para la conciencia de seguridad organizacional y para un cambio positivo, así como una forma de que los participantes demuestren sus sólidas habilidades. Al fin y al cabo, cuando ves que la clasificación de un torneo se actualiza en tiempo real, te motiva a seguir intentando conseguir más puntos y a demostrar tus habilidades en materia de seguridad.

¿Qué aspecto tiene un torneo exitoso?

El objetivo de nuestras reuniones con OWASP siempre ha sido invertir en la salud continua de la comunidad de seguridad, ayudándola a promover el concepto de que aprender sobre seguridad puede ser realmente divertido.

Los torneos de programación segura son una obviedad cuando se trata de atraer a los desarrolladores, ya que les ayudan a perfeccionar y desarrollar sus habilidades en un entorno social con personas de ideas afines. Ayudan a derribar las barreras artificiales que pueden existir en torno a la idea de «seguridad», tal vez a partir de una experiencia laboral o educativa poco placentera.

Un torneo verdaderamente grandioso suele consistir en lo siguiente:

• Un poco de fanfarria en torno a la organización; deje que las personas ajenas a los equipos de desarrollo sepan lo que está sucediendo y por qué
• Un entorno libre de prejuicios que apoya a los desarrolladores en todos los niveles
• Algunos beneficios especiales: pide comida y bebida, dale un tema y fomenta la autoexpresión
• Recompensas y reconocimientos: a los desarrolladores nos encantan los regalos, y los premios para los ganadores son una ventaja adicional: recuerda que es posible que durante este proceso descubran a tus futuros campeones de seguridad
• Un sentido de comunidad y camaradería.

Nos estamos convirtiendo en un mundo de DevSecOps y, dado que la seguridad se está centrando por fin desde el principio de los proyectos de desarrollo de software, los desarrolladores deben participar desde el principio con una formación eficaz. Son fundamentales para proteger a una organización de las vulnerabilidades desde el momento en que se escribe el código y, en una cultura de seguridad próspera, todos pueden descansar un poco más tranquilos.