El factor humano olvidado que impulsa las fallas de seguridad de las aplicaciones web
El informe sobre investigaciones de violaciones de datos de Verizon de 2018 es, una vez más, una excelente lectura que nos mantiene actualizados sobre la ciberseguridad, incluidas las tendencias actuales de la ciberdelincuencia y las causas de los incidentes, los análisis y la información que pueden ayudar a las organizaciones a desarrollar sus programas de seguridad. Este año, los investigadores de Verizon analizaron más de 53 000 incidentes y más de 2200 infracciones, y hay muchas conclusiones tangibles sobre qué hay que vigilar y qué no hacer, además de recomendaciones valiosas sobre dónde centrar las iniciativas de seguridad. El informe de 2018 parece que ha evolucionado con los tiempos, es relevante para un público empresarial más amplio a medida que se extienden los impactos en la seguridad, y cada vez se reconoce más que es un problema empresarial generalizado.
Entre muchos hallazgos interesantes, el informe de 2018 verifica que la mayoría de los hackeos siguen ocurriendo a través de infracciones de aplicaciones web (incluso hay un genial gráfico interactivo que muestra esto).
Los ataques a aplicaciones web consisten en cualquier incidente en el que una aplicación web sea el vector del ataque. Esto incluye aprovechar las vulnerabilidades a nivel de código de la aplicación y frustrar los mecanismos de autenticación. Cabe destacar que el número de infracciones que siguen este patrón se ha reducido gracias al filtrado de los ataques relacionados con las redes de bots contra las aplicaciones web mediante el uso de credenciales robadas de los dispositivos propiedad de los clientes. El uso de credenciales robadas sigue siendo el método más utilizado para hackear aplicaciones web, seguido de SQLi (hablaremos más sobre SQL más adelante...).
Un tema que se destaca en el informe de este año es la importancia del «factor humano» en la ecuación de la seguridad, tanto como parte del problema como de la solución. El informe aborda tanto a los actores externos como a los internos, y señala que casi una de cada cinco infracciones (el 17%) se debe a los errores. Las infracciones se producían cuando los empleados no destruían la información confidencial, cuando enviaban un correo electrónico a la persona equivocada y cuando los servidores web estaban mal configurados. El informe señala que, si bien ninguna de ellas fue deliberadamente malintencionada, todas podrían resultar costosas.
Sin embargo, hay un factor humano que a menudo se olvida y que está causando muchas brechas de seguridad, y es la alta frecuencia con la que los desarrolladores crean código que contiene fallas de seguridad, lo que conduce a vulnerabilidades en las aplicaciones web, lo que a su vez resulta en estos incidentes y brechas.
Las pruebas de aplicaciones realizadas en los últimos 5 años no han mostrado una gran mejora en la cantidad de vulnerabilidades encontradas y las mismas fallas de siempre aparecen una y otra vez. Un informe de Veracode de 2017, basado en 400 000 escaneos de aplicaciones, muestra que las aplicaciones superaron la política de las 10 principales políticas de OWASP solo el 30% de las veces. Sorprendentemente, las inyecciones de SQL aparecieron en casi una de cada tres aplicaciones recién escaneadas en los últimos 5 años, incluido el año pasado. Digo que son asombrosas porque las inyecciones de SQL existen desde 1999. El hecho de que los mismos defectos, incluidas las inyecciones de SQL, se encuentren de manera constante, demuestra que este problema del «factor humano» entre los desarrolladores no se está abordando adecuadamente.
Es en este punto cuando tengo que ponerme de pie y gritar que estoy del lado de los desarrolladores en este argumento. ¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias de un código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
Eso es lo que hacemos en Secure Code Warrior y estamos viendo pruebas sólidas de que las empresas que incorporan la formación práctica sobre código seguro en la vida diaria de sus desarrolladores están reduciendo la cantidad de vulnerabilidades creadas en las aplicaciones web. Para que los desarrolladores puedan escribir código seguro, necesitan tener acceso regular a un aprendizaje práctico que les permita desarrollar activamente sus habilidades de programación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y específicamente en sus propios lenguajes o marcos. Esta experiencia de aprendizaje debería ayudarlos a entender cómo localizar, identificar y corregir las vulnerabilidades conocidas. Los desarrolladores también necesitan un conjunto de herramientas de calidad en sus procesos que facilite la seguridad, no los ralentice y los guíe en tiempo real sobre los patrones de codificación buenos y malos.
Así es como podemos marcar una diferencia tangible y positiva en la cantidad de infracciones de aplicaciones web.
Estoy totalmente de acuerdo con Verizon en que es necesario aumentar la capacitación en materia de seguridad en toda la empresa. Mi opinión al respecto para los directores de TI y CISO es: «¡no olviden a sus desarrolladores!». Estos arquitectos de las empresas modernas pueden ser un «factor humano» importante, ya que generan puntos de acceso de forma rutinaria para los piratas informáticos, o pueden ser su primera línea de defensa, sus héroes de la seguridad.
La mejora efectiva de las habilidades de seguridad de los desarrolladores podría marcar una diferencia real en los resultados que Verizon informe en futuros informes. Sería bueno ver que el informe de 2019 reflejara la formación en seguridad de los desarrolladores como una estrategia clave de reducción de riesgos que las empresas pueden adoptar. Soy optimista, pero apostaría a que si las empresas consiguieran que sus desarrolladores aprendieran a evitar que se produjeran errores de inyección, el número de vulnerabilidades de las aplicaciones web incluidas en este informe se reduciría considerablemente.
Eche un vistazo a nuestra plataforma en acción para ver cómo los desarrolladores pueden mejorar sus habilidades rápidamente en un entorno de formación ideal y gamificado:
Participa en un desafío de codificación segura
Visite nuestros recursos de aprendizaje gratuitos
¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias del código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias del código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
El informe sobre investigaciones de violaciones de datos de Verizon de 2018 es, una vez más, una excelente lectura que nos mantiene actualizados sobre la ciberseguridad, incluidas las tendencias actuales de la ciberdelincuencia y las causas de los incidentes, los análisis y la información que pueden ayudar a las organizaciones a desarrollar sus programas de seguridad. Este año, los investigadores de Verizon analizaron más de 53 000 incidentes y más de 2200 infracciones, y hay muchas conclusiones tangibles sobre qué hay que vigilar y qué no hacer, además de recomendaciones valiosas sobre dónde centrar las iniciativas de seguridad. El informe de 2018 parece que ha evolucionado con los tiempos, es relevante para un público empresarial más amplio a medida que se extienden los impactos en la seguridad, y cada vez se reconoce más que es un problema empresarial generalizado.
Entre muchos hallazgos interesantes, el informe de 2018 verifica que la mayoría de los hackeos siguen ocurriendo a través de infracciones de aplicaciones web (incluso hay un genial gráfico interactivo que muestra esto).
Los ataques a aplicaciones web consisten en cualquier incidente en el que una aplicación web sea el vector del ataque. Esto incluye aprovechar las vulnerabilidades a nivel de código de la aplicación y frustrar los mecanismos de autenticación. Cabe destacar que el número de infracciones que siguen este patrón se ha reducido gracias al filtrado de los ataques relacionados con las redes de bots contra las aplicaciones web mediante el uso de credenciales robadas de los dispositivos propiedad de los clientes. El uso de credenciales robadas sigue siendo el método más utilizado para hackear aplicaciones web, seguido de SQLi (hablaremos más sobre SQL más adelante...).
Un tema que se destaca en el informe de este año es la importancia del «factor humano» en la ecuación de la seguridad, tanto como parte del problema como de la solución. El informe aborda tanto a los actores externos como a los internos, y señala que casi una de cada cinco infracciones (el 17%) se debe a los errores. Las infracciones se producían cuando los empleados no destruían la información confidencial, cuando enviaban un correo electrónico a la persona equivocada y cuando los servidores web estaban mal configurados. El informe señala que, si bien ninguna de ellas fue deliberadamente malintencionada, todas podrían resultar costosas.
Sin embargo, hay un factor humano que a menudo se olvida y que está causando muchas brechas de seguridad, y es la alta frecuencia con la que los desarrolladores crean código que contiene fallas de seguridad, lo que conduce a vulnerabilidades en las aplicaciones web, lo que a su vez resulta en estos incidentes y brechas.
Las pruebas de aplicaciones realizadas en los últimos 5 años no han mostrado una gran mejora en la cantidad de vulnerabilidades encontradas y las mismas fallas de siempre aparecen una y otra vez. Un informe de Veracode de 2017, basado en 400 000 escaneos de aplicaciones, muestra que las aplicaciones superaron la política de las 10 principales políticas de OWASP solo el 30% de las veces. Sorprendentemente, las inyecciones de SQL aparecieron en casi una de cada tres aplicaciones recién escaneadas en los últimos 5 años, incluido el año pasado. Digo que son asombrosas porque las inyecciones de SQL existen desde 1999. El hecho de que los mismos defectos, incluidas las inyecciones de SQL, se encuentren de manera constante, demuestra que este problema del «factor humano» entre los desarrolladores no se está abordando adecuadamente.
Es en este punto cuando tengo que ponerme de pie y gritar que estoy del lado de los desarrolladores en este argumento. ¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias de un código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
Eso es lo que hacemos en Secure Code Warrior y estamos viendo pruebas sólidas de que las empresas que incorporan la formación práctica sobre código seguro en la vida diaria de sus desarrolladores están reduciendo la cantidad de vulnerabilidades creadas en las aplicaciones web. Para que los desarrolladores puedan escribir código seguro, necesitan tener acceso regular a un aprendizaje práctico que les permita desarrollar activamente sus habilidades de programación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y específicamente en sus propios lenguajes o marcos. Esta experiencia de aprendizaje debería ayudarlos a entender cómo localizar, identificar y corregir las vulnerabilidades conocidas. Los desarrolladores también necesitan un conjunto de herramientas de calidad en sus procesos que facilite la seguridad, no los ralentice y los guíe en tiempo real sobre los patrones de codificación buenos y malos.
Así es como podemos marcar una diferencia tangible y positiva en la cantidad de infracciones de aplicaciones web.
Estoy totalmente de acuerdo con Verizon en que es necesario aumentar la capacitación en materia de seguridad en toda la empresa. Mi opinión al respecto para los directores de TI y CISO es: «¡no olviden a sus desarrolladores!». Estos arquitectos de las empresas modernas pueden ser un «factor humano» importante, ya que generan puntos de acceso de forma rutinaria para los piratas informáticos, o pueden ser su primera línea de defensa, sus héroes de la seguridad.
La mejora efectiva de las habilidades de seguridad de los desarrolladores podría marcar una diferencia real en los resultados que Verizon informe en futuros informes. Sería bueno ver que el informe de 2019 reflejara la formación en seguridad de los desarrolladores como una estrategia clave de reducción de riesgos que las empresas pueden adoptar. Soy optimista, pero apostaría a que si las empresas consiguieran que sus desarrolladores aprendieran a evitar que se produjeran errores de inyección, el número de vulnerabilidades de las aplicaciones web incluidas en este informe se reduciría considerablemente.
Eche un vistazo a nuestra plataforma en acción para ver cómo los desarrolladores pueden mejorar sus habilidades rápidamente en un entorno de formación ideal y gamificado:
Participa en un desafío de codificación segura
Visite nuestros recursos de aprendizaje gratuitos
¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias del código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
El informe sobre investigaciones de violaciones de datos de Verizon de 2018 es, una vez más, una excelente lectura que nos mantiene actualizados sobre la ciberseguridad, incluidas las tendencias actuales de la ciberdelincuencia y las causas de los incidentes, los análisis y la información que pueden ayudar a las organizaciones a desarrollar sus programas de seguridad. Este año, los investigadores de Verizon analizaron más de 53 000 incidentes y más de 2200 infracciones, y hay muchas conclusiones tangibles sobre qué hay que vigilar y qué no hacer, además de recomendaciones valiosas sobre dónde centrar las iniciativas de seguridad. El informe de 2018 parece que ha evolucionado con los tiempos, es relevante para un público empresarial más amplio a medida que se extienden los impactos en la seguridad, y cada vez se reconoce más que es un problema empresarial generalizado.
Entre muchos hallazgos interesantes, el informe de 2018 verifica que la mayoría de los hackeos siguen ocurriendo a través de infracciones de aplicaciones web (incluso hay un genial gráfico interactivo que muestra esto).
Los ataques a aplicaciones web consisten en cualquier incidente en el que una aplicación web sea el vector del ataque. Esto incluye aprovechar las vulnerabilidades a nivel de código de la aplicación y frustrar los mecanismos de autenticación. Cabe destacar que el número de infracciones que siguen este patrón se ha reducido gracias al filtrado de los ataques relacionados con las redes de bots contra las aplicaciones web mediante el uso de credenciales robadas de los dispositivos propiedad de los clientes. El uso de credenciales robadas sigue siendo el método más utilizado para hackear aplicaciones web, seguido de SQLi (hablaremos más sobre SQL más adelante...).
Un tema que se destaca en el informe de este año es la importancia del «factor humano» en la ecuación de la seguridad, tanto como parte del problema como de la solución. El informe aborda tanto a los actores externos como a los internos, y señala que casi una de cada cinco infracciones (el 17%) se debe a los errores. Las infracciones se producían cuando los empleados no destruían la información confidencial, cuando enviaban un correo electrónico a la persona equivocada y cuando los servidores web estaban mal configurados. El informe señala que, si bien ninguna de ellas fue deliberadamente malintencionada, todas podrían resultar costosas.
Sin embargo, hay un factor humano que a menudo se olvida y que está causando muchas brechas de seguridad, y es la alta frecuencia con la que los desarrolladores crean código que contiene fallas de seguridad, lo que conduce a vulnerabilidades en las aplicaciones web, lo que a su vez resulta en estos incidentes y brechas.
Las pruebas de aplicaciones realizadas en los últimos 5 años no han mostrado una gran mejora en la cantidad de vulnerabilidades encontradas y las mismas fallas de siempre aparecen una y otra vez. Un informe de Veracode de 2017, basado en 400 000 escaneos de aplicaciones, muestra que las aplicaciones superaron la política de las 10 principales políticas de OWASP solo el 30% de las veces. Sorprendentemente, las inyecciones de SQL aparecieron en casi una de cada tres aplicaciones recién escaneadas en los últimos 5 años, incluido el año pasado. Digo que son asombrosas porque las inyecciones de SQL existen desde 1999. El hecho de que los mismos defectos, incluidas las inyecciones de SQL, se encuentren de manera constante, demuestra que este problema del «factor humano» entre los desarrolladores no se está abordando adecuadamente.
Es en este punto cuando tengo que ponerme de pie y gritar que estoy del lado de los desarrolladores en este argumento. ¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias de un código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
Eso es lo que hacemos en Secure Code Warrior y estamos viendo pruebas sólidas de que las empresas que incorporan la formación práctica sobre código seguro en la vida diaria de sus desarrolladores están reduciendo la cantidad de vulnerabilidades creadas en las aplicaciones web. Para que los desarrolladores puedan escribir código seguro, necesitan tener acceso regular a un aprendizaje práctico que les permita desarrollar activamente sus habilidades de programación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y específicamente en sus propios lenguajes o marcos. Esta experiencia de aprendizaje debería ayudarlos a entender cómo localizar, identificar y corregir las vulnerabilidades conocidas. Los desarrolladores también necesitan un conjunto de herramientas de calidad en sus procesos que facilite la seguridad, no los ralentice y los guíe en tiempo real sobre los patrones de codificación buenos y malos.
Así es como podemos marcar una diferencia tangible y positiva en la cantidad de infracciones de aplicaciones web.
Estoy totalmente de acuerdo con Verizon en que es necesario aumentar la capacitación en materia de seguridad en toda la empresa. Mi opinión al respecto para los directores de TI y CISO es: «¡no olviden a sus desarrolladores!». Estos arquitectos de las empresas modernas pueden ser un «factor humano» importante, ya que generan puntos de acceso de forma rutinaria para los piratas informáticos, o pueden ser su primera línea de defensa, sus héroes de la seguridad.
La mejora efectiva de las habilidades de seguridad de los desarrolladores podría marcar una diferencia real en los resultados que Verizon informe en futuros informes. Sería bueno ver que el informe de 2019 reflejara la formación en seguridad de los desarrolladores como una estrategia clave de reducción de riesgos que las empresas pueden adoptar. Soy optimista, pero apostaría a que si las empresas consiguieran que sus desarrolladores aprendieran a evitar que se produjeran errores de inyección, el número de vulnerabilidades de las aplicaciones web incluidas en este informe se reduciría considerablemente.
Eche un vistazo a nuestra plataforma en acción para ver cómo los desarrolladores pueden mejorar sus habilidades rápidamente en un entorno de formación ideal y gamificado:
Participa en un desafío de codificación segura
Visite nuestros recursos de aprendizaje gratuitos
¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias del código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
El informe sobre investigaciones de violaciones de datos de Verizon de 2018 es, una vez más, una excelente lectura que nos mantiene actualizados sobre la ciberseguridad, incluidas las tendencias actuales de la ciberdelincuencia y las causas de los incidentes, los análisis y la información que pueden ayudar a las organizaciones a desarrollar sus programas de seguridad. Este año, los investigadores de Verizon analizaron más de 53 000 incidentes y más de 2200 infracciones, y hay muchas conclusiones tangibles sobre qué hay que vigilar y qué no hacer, además de recomendaciones valiosas sobre dónde centrar las iniciativas de seguridad. El informe de 2018 parece que ha evolucionado con los tiempos, es relevante para un público empresarial más amplio a medida que se extienden los impactos en la seguridad, y cada vez se reconoce más que es un problema empresarial generalizado.
Entre muchos hallazgos interesantes, el informe de 2018 verifica que la mayoría de los hackeos siguen ocurriendo a través de infracciones de aplicaciones web (incluso hay un genial gráfico interactivo que muestra esto).
Los ataques a aplicaciones web consisten en cualquier incidente en el que una aplicación web sea el vector del ataque. Esto incluye aprovechar las vulnerabilidades a nivel de código de la aplicación y frustrar los mecanismos de autenticación. Cabe destacar que el número de infracciones que siguen este patrón se ha reducido gracias al filtrado de los ataques relacionados con las redes de bots contra las aplicaciones web mediante el uso de credenciales robadas de los dispositivos propiedad de los clientes. El uso de credenciales robadas sigue siendo el método más utilizado para hackear aplicaciones web, seguido de SQLi (hablaremos más sobre SQL más adelante...).
Un tema que se destaca en el informe de este año es la importancia del «factor humano» en la ecuación de la seguridad, tanto como parte del problema como de la solución. El informe aborda tanto a los actores externos como a los internos, y señala que casi una de cada cinco infracciones (el 17%) se debe a los errores. Las infracciones se producían cuando los empleados no destruían la información confidencial, cuando enviaban un correo electrónico a la persona equivocada y cuando los servidores web estaban mal configurados. El informe señala que, si bien ninguna de ellas fue deliberadamente malintencionada, todas podrían resultar costosas.
Sin embargo, hay un factor humano que a menudo se olvida y que está causando muchas brechas de seguridad, y es la alta frecuencia con la que los desarrolladores crean código que contiene fallas de seguridad, lo que conduce a vulnerabilidades en las aplicaciones web, lo que a su vez resulta en estos incidentes y brechas.
Las pruebas de aplicaciones realizadas en los últimos 5 años no han mostrado una gran mejora en la cantidad de vulnerabilidades encontradas y las mismas fallas de siempre aparecen una y otra vez. Un informe de Veracode de 2017, basado en 400 000 escaneos de aplicaciones, muestra que las aplicaciones superaron la política de las 10 principales políticas de OWASP solo el 30% de las veces. Sorprendentemente, las inyecciones de SQL aparecieron en casi una de cada tres aplicaciones recién escaneadas en los últimos 5 años, incluido el año pasado. Digo que son asombrosas porque las inyecciones de SQL existen desde 1999. El hecho de que los mismos defectos, incluidas las inyecciones de SQL, se encuentren de manera constante, demuestra que este problema del «factor humano» entre los desarrolladores no se está abordando adecuadamente.
Es en este punto cuando tengo que ponerme de pie y gritar que estoy del lado de los desarrolladores en este argumento. ¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias de un código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
Eso es lo que hacemos en Secure Code Warrior y estamos viendo pruebas sólidas de que las empresas que incorporan la formación práctica sobre código seguro en la vida diaria de sus desarrolladores están reduciendo la cantidad de vulnerabilidades creadas en las aplicaciones web. Para que los desarrolladores puedan escribir código seguro, necesitan tener acceso regular a un aprendizaje práctico que les permita desarrollar activamente sus habilidades de programación segura. Necesitan aprender sobre las vulnerabilidades identificadas recientemente, en código real y específicamente en sus propios lenguajes o marcos. Esta experiencia de aprendizaje debería ayudarlos a entender cómo localizar, identificar y corregir las vulnerabilidades conocidas. Los desarrolladores también necesitan un conjunto de herramientas de calidad en sus procesos que facilite la seguridad, no los ralentice y los guíe en tiempo real sobre los patrones de codificación buenos y malos.
Así es como podemos marcar una diferencia tangible y positiva en la cantidad de infracciones de aplicaciones web.
Estoy totalmente de acuerdo con Verizon en que es necesario aumentar la capacitación en materia de seguridad en toda la empresa. Mi opinión al respecto para los directores de TI y CISO es: «¡no olviden a sus desarrolladores!». Estos arquitectos de las empresas modernas pueden ser un «factor humano» importante, ya que generan puntos de acceso de forma rutinaria para los piratas informáticos, o pueden ser su primera línea de defensa, sus héroes de la seguridad.
La mejora efectiva de las habilidades de seguridad de los desarrolladores podría marcar una diferencia real en los resultados que Verizon informe en futuros informes. Sería bueno ver que el informe de 2019 reflejara la formación en seguridad de los desarrolladores como una estrategia clave de reducción de riesgos que las empresas pueden adoptar. Soy optimista, pero apostaría a que si las empresas consiguieran que sus desarrolladores aprendieran a evitar que se produjeran errores de inyección, el número de vulnerabilidades de las aplicaciones web incluidas en este informe se reduciría considerablemente.
Eche un vistazo a nuestra plataforma en acción para ver cómo los desarrolladores pueden mejorar sus habilidades rápidamente en un entorno de formación ideal y gamificado:
Participa en un desafío de codificación segura
Visite nuestros recursos de aprendizaje gratuitos
¿Cómo van a escribir código seguro los desarrolladores si nadie les enseña nunca por qué es importante, las consecuencias del código inseguro y, lo que es más importante, cómo evitar que se escriban estas vulnerabilidades en sus respectivos marcos de programación?
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.