Estamos viendo un aumento significativo en los ataques contra aplicaciones como secuencias de comandos entre sitios, ataques de fuerza bruta e inyecciones de SQL, lo que genera preocupaciones importantes. Tan es así que la seguridad de la aplicación ha sido etiquetada como "no negociable" y se ha convertido apropiadamente en una prioridad para muchos, mientras que Jen Easterly, directora de la La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), está en campaña para que la industria de la tecnología asuma la responsabilidad de los productos seguros.
Las soluciones tecnológicas como las pruebas de penetración y el escaneo de códigos son indudablemente valiosas para mitigar el software inseguro, pero en sí mismas no son suficientes. Tantos como Al 70 % de las organizaciones les faltan pasos críticos de seguridad en su ciclo de vida de desarrollo de software (SDLC) y las vulnerabilidades están aumentando exponencialmente. Para resolver este dilema, las empresas deben cambiar su enfoque de encontrar, aplicar parches y corregir vulnerabilidades para garantizar de manera proactiva que no entreguen código inseguro en primer lugar. Esto requiere previsión humana y, como resultado, una mayor inversión en educación para todos los responsables de desarrollar software para garantizar que no solo puedan reconocer los principios y vulnerabilidades de seguridad clave, sino también aplicar su conocimiento a situaciones novedosas para proteger mejor las aplicaciones.
Más allá del escaneo de códigos
Una dependencia excesiva de las herramientas de escaneo de código o herramientas de análisis de código fuente es un ejemplo de que la seguridad se deja demasiado tarde en el SDLC. El escaneo de código para identificar vulnerabilidades antes de que una aplicación entre en funcionamiento es un engranaje clave en la máquina de desarrollo de software seguro, sin embargo, siempre es mejor prevenir que curar (como sabemos por la ley de Boehm, las fallas se vuelven más costosas de reparar con el tiempo).
El problema principal es que las herramientas de escaneo de código corren el riesgo de generar una gran cantidad de falsos positivos, lo que eventualmente conduce a una "fatiga de alerta", donde los desarrolladores ignoran cualquier falla detectada, lo que eventualmente crea una falsa sensación de seguridad. Además, cuando se resaltan problemas críticos, es probable que sea responsabilidad del desarrollador identificar y corregir este código inseguro, y necesitan el conocimiento para aplicar estas correcciones.
Aquí es donde entra en juego una mayor inversión en capacitación en codificación segura y educación continua para el desarrollador y todos los que los apoyan en SDLC. principios y mejores prácticas. Esto no es simplemente para aumentar la "conciencia" de las vulnerabilidades clave, sino para empoderar a los equipos con el conocimiento para codificar de forma segura y prevenir problemas críticos antes de que lleguen a las herramientas de escaneo o incluso a la producción. También puede reducir la carga de los desarrolladores al evitar una presión adicional para parchear en la última etapa. En cambio, el enfoque debe ser "comenzar por la izquierda" y garantizar que la seguridad esté integrada desde el principio (como lo recomienda Easterly).
La investigación respalda esto; un Encuesta EMA a profesionales del desarrollo de software descubrió que solo el 10 % de las organizaciones que utilizaban herramientas de escaneo de código prevenían más vulnerabilidades que las que no lo hacían; sin embargo, la capacitación continua mejoró en gran medida la seguridad del código para más del 60 % de las organizaciones que lo adoptaron. Pero no es necesariamente el caso de uno u otro: EMA argumenta que una combinación de escaneo de código, revisiones de código y capacitación continua de terceros es el mejor enfoque para un desarrollo de software más seguro.
Adoptar hábitos más seguros
La codificación segura esencialmente debe convertirse en un hábito más duradero y arraigado. Sin embargo, el cambio de comportamiento es un desafío sin el conocimiento y la educación para respaldarlo. Promulgar verdaderamente el cambio para garantizar que la seguridad de las aplicaciones no sea negociable significa invertir en la capacitación del desarrollador y del equipo de SDLC que fomente y permita hábitos más seguros. Y es importante reconocer que estos hábitos seguros cambiarán dependiendo del rol de cada profesional.
Por ejemplo, los líderes de desarrollo no serán personalmente responsables del desarrollo del código, por lo que deberán analizar cómo se hacen responsables del desarrollo de aplicaciones con menos vulnerabilidades. Garantizar que las funciones de seguridad se consideren funciones de "salvavidas", algo esencial antes de lanzar el código, puede requerir un cambio de hábitos, pero será invaluable para aumentar la seguridad de las aplicaciones. Para los propios desarrolladores de software, sus hábitos seguros pueden abarcar esos escaneos o revisiones de código tan importantes al principio del proceso de desarrollo, pero esto solo será relevante si pueden reconocer el valor de la codificación segura y tienen el conocimiento para reducir tantas vulnerabilidades como pueden en primer lugar.
Si aún no lo ha hecho, es hora de dar el primer paso para resolver este dilema de seguridad de las aplicaciones. Sin embargo, el SDLC debe ir mucho más allá de la aplicación de parches reactivos y el escaneo de códigos y, en su lugar, buscar cómo empoderar a los equipos, reducir las cargas de las últimas etapas e invertir en educación continua si realmente queremos cambiar el rumbo de las crecientes vulnerabilidades de las aplicaciones.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/application-security/application-security-requires-more-investment-in-developer-education
