Voleu programari més segur? Comenceu a reconèixer els desenvolupadors experts en seguretat

Els desenvolupadors professionals volen fer el correcte, però en termes de seguretat, poques vegades estan configurats per tenir èxit. Les organitzacions han de donar suport a la seva millora amb formació i incentius de precisió si volen un programari segur des de la base.

El panorama de les amenaces cibernètiques es fa cada dia més complex, i les nostres dades són considerades àmpliament com un “or digital” molt desitjable. Els atacants estan analitzant contínuament xarxes a la recerca d’aplicacions, programes, instàncies en núvol vulnerables, i l’últim sabor del mes són les API, amb Gartner predint correctament que es convertirien en el vector d’atac més comú el 2022, i això és en gran part gràcies al seu controls de seguretat sovint laxos.

Els actors de l’amenaça són tan persistents que les noves aplicacions de vegades es poden veure compromeses i explotades poques hores després del desplegament. L’informe d’investigació d’infraccions de dades de Verizon 2022 revela que els errors i les configuracions errònies van ser la causa del 13% de les infraccions, i l’element humà és responsable en general del 82% dels 23.000 incidents analitzats.

S’està tornant molt clar que l’única manera de reforçar realment el programari que s’està creant és assegurar-se que es basa en codi segur. En altres paraules, la millor manera d’aturar la invasió dels actors d’amenaça és en primer lloc negar-los un punt de peu al vostre programari. Els ciberdelinqüents tenen una clara avantatge davant les organitzacions que lluiten per defensar la seva àmplia superfície d’atac, i qualsevol finestra d’oportunitat que es pugui tancar definitivament redueix significativament el risc.

Fem difícil que les estrelles de la seguretat brillin

L’estat actual dels desenvolupadors de moltes organitzacions és tal que la seva funció principal és crear funcions increïbles i desplegar programari a gran velocitat. Com més ràpid puguin codificar i desplegar els desenvolupadors, més valuosos tendeixen a ser vists pel que fa a les seves revisions de rendiment.

La seguretat pot ser una idea posterior, si es té en compte, i està clarament absent com a mesura de l’èxit del desenvolupador. L’enquesta sobre l’estat de seguretat impulsada pels desenvolupadors de 2022 juntament amb Evans Data dóna suport a aquesta perspectiva, amb el 86% dels desenvolupadors enquestats que revelen que no veuen la seguretat de les aplicacions com una prioritat màxima. En canvi, gran part d’això es deixa als equips de seguretat de l’aplicació (AppSec) per esbrinar. Els equips d’AppSec solen ser una font de frustració per a la majoria de desenvolupadors, ja que sovint enviaven aplicacions completades al desenvolupament per aplicar pedaços de seguretat o per reescriure codi per corregir vulnerabilitats. I cada hora que un desenvolupador passava treballant en una aplicació que ja estava “acabada” era una hora que no creava noves aplicacions i funcions, disminuint així el seu rendiment (i el seu valor, als ulls d’una empresa especialment punitiva).

Tanmateix, l’entorn d’amenaça modern ha obligat a tothom, des de les empreses fins als departaments governamentals, a repensar la importància i la priorització de la seguretat, i estarien ben posicionats per considerar com s’adapta la cohort de desenvolupament a un enfocament defensiu. Segons el recent informe sobre el cost d’una violació de dades del 2022 d’IBM i el Ponemon Institute, la bretxa mitjana de la ciberseguretat costa ara uns 4,24 milions de dòlars per incident, tot i que aquest no és el límit superior. Les empreses d’avui volen la seguretat que ofereix DevSecOps, però, malauradament, han trigat a recompensar els desenvolupadors que responen a aquesta trucada.

Simplement dir-li als equips de desenvolupament que considerin la seguretat no funcionarà, sobretot si encara se’ls incentiva només per la velocitat. De fet, dins d’un sistema d’aquest tipus, els desenvolupadors que es prenen el temps per aprendre sobre la seguretat i assegurar el seu codi podrien estar perdent millores revisions de rendiment i bonificacions lucratives que els seus col·legues menys conscients de la seguretat continuen guanyant. És gairebé com si les empreses estiguessin sense voler manipular el sistema per les seves pròpies deficiències de seguretat, i això torna a la seva percepció de l’equip de desenvolupament. Si no els veuen com a primera línia de seguretat, és molt poc probable que un pla viable per utilitzar la seva força de treball arribi a bon port.

I això ni tan sols explica la manca de formació. Alguns desenvolupadors molt hàbils tenen dècades d’experiència en codificació, però molt poca pel que fa a la seguretat… després de tot, mai se’ls va exigir, ni una mesura d’èxit o de qualitat de treball. A menys que una empresa ofereixi un bon programa de formació, difícilment pot esperar que els seus desenvolupadors adquireixin noves habilitats de sobte i les posin en acció d’una manera significativa que redueixi activament les vulnerabilitats.

(Vols competir contra altres desenvolupadors d’elit d’arreu del món o nominar el teu propi equip de desenvolupament de superestrelles de seguretat? Uneix-te Secure Code Warrior‘s Jocs Olímpics 2022el nostre torneig mundial de codificació segura més gran i millor, i pots guanyar molt!)

Recompensar els desenvolupadors per les bones pràctiques de seguretat

La bona notícia és que la gran majoria dels desenvolupadors fan la seva feina perquè la troben desafiant i gratificant, i perquè gaudeixen del respecte que suposa la seva posició. L’enginyer de programari de tota la vida Michael Shpilt va escriure recentment sobre totes les coses que el motiven a ell i als seus col·legues en el seu treball de desenvolupament. Sí, enumera la compensació monetària entre aquests incentius, però és sorprenentment lluny de la llista. En lloc d’això, prioritza l’emoció de crear alguna cosa nova, el desenvolupament d’habilitats i la satisfacció de saber que el seu treball s’utilitzarà directament per ajudar els altres. També parla de voler sentir-se valorat dins de la seva empresa i comunitat. En resum, els desenvolupadors no són diferents a molta gent bona que s’enorgulleix del seu treball.

Desenvolupadors com Shpilt no volen que els actors d’amenaces comprometin el seu codi i l’utilitzin per danyar la seva empresa o els mateixos usuaris als quals estan intentant ajudar. Però, de sobte, no poden canviar les seves prioritats a la seguretat sense suport.

Per ajudar els equips de desenvolupament a millorar les seves habilitats en ciberseguretat, primer se’ls ha d’ensenyar les habilitats necessàries. L’ús d’un enfocament escalonat de l’aprenentatge, així com d’eines dissenyades específicament per integrar-se perfectament en el seu flux de treball real, pot fer que aquest procés sigui molt menys dolorós alhora que ajuda a construir el coneixement existent en el context adequat.

Amb el compromís de millorar les habilitats, s’han d’eliminar els antics mètodes d’avaluació dels desenvolupadors basats únicament en la velocitat. En canvi, els desenvolupadors haurien de ser recompensats en funció de la seva capacitat per crear patrons de codificació bons i segurs, i els millors candidats esdevinguin campions de seguretat que ajudin la resta de l’equip a millorar les seves habilitats. I aquests campions han de ser recompensats tant amb el prestigi de l’empresa com amb una compensació monetària. També és important recordar que els desenvolupadors normalment no tenen una experiència positiva amb la seguretat, i augmentar-los amb un aprenentatge positiu i divertit i incentius que parlin dels seus interessos ajudarà en gran mesura a garantir la retenció de coneixements i el desig de seguir construint habilitats. .

(Vols competir contra altres desenvolupadors d’elit d’arreu del món o nominar el teu propi equip de desenvolupament de superestrelles de seguretat? Uneix-te Secure Code Warrior‘s Jocs Olímpics 2022i pots treure un important premi en efectiu als nostres tornejos globals!)

.

Leave a Comment

Your email address will not be published. Required fields are marked *