¿Qué es la seguridad centrada en el desarrollador?

Una encuesta reciente de Forrester Research, titulada Breaches By The Numbers: Adapting To Regional Challenges Is Imperative, realizada el 12 de abril de 2022, reveló que el 63 % de las organizaciones sufrieron vulneraciones de la seguridad en el último año, un 4 % más que el año anterior. Y es importante reconocer que [el código se ha convertido en el objetivo principal](/blog/2020/10/14/why-security-ch Champions/){data-ga-name="security champions blog post" data-ga-location="body"}, en lugar de la infraestructura. Para agravar aún más las cosas, algunas estimaciones indican que cerca del 60 % de las aplicaciones están compuestas por código abierto, mientras que otras sitúan estas cifras en un rango de hasta el 80 % o 90 %. El código abierto es inherentemente más propenso a contener vulnerabilidades y código malicioso en comparación con el código generado desde cero. Sin embargo, es una elección comprensible para los desarrolladores ocupados que buscan entregar código de calidad con plazos cada vez más ajustados.

Durante años, la seguridad era gestionada por una organización separada que solía intervenir luego de que el código había sido confirmado. Su tarea era identificar problemas de seguridad y exigir cambios a (quizás no sorprendentemente) desarrolladores reacios que ya habían empezado a trabajar en el siguiente proyecto. La seguridad no era una ocurrencia de último momento; era una experiencia impuesta desde arriba por individuos que se encontraban muy alejados de los desafíos del desarrollo. No resulta difícil comprender por qué este enfoque constituyó una fuente significativa de frustración para todos los involucrados.

El objetivo de DevSecOps era profundizar en la eliminación de silos lograda con la implementación de DevOps. Ahora, desarrollo, operaciones y seguridad colaboran de manera integrada. Aún es pronto, pero nuestra Encuesta Global de DevSecOps de 2022 reveló signos prometedores: casi el 29 % de los profesionales de seguridad indicaron que ahora forman parte de un equipo de seguridad multifuncional, y el 57 % de los miembros del equipo de seguridad señalaron que sus organizaciones han desplazado la seguridad hacia la izquierda o planean hacerlo este año.

Persiste cierta fricción entre los desarrolladores y el equipo de seguridad, pero hay indicios de que las relaciones están mejorando. En 2022, disminuyó la cantidad de profesionales de seguridad que expresaron preocupaciones sobre la identificación tardía de vulnerabilidades en el ciclo de vida del desarrollo de software o sobre las dificultades para que los desarrolladores abordaran los riesgos de seguridad.Desde la perspectiva de los desarrolladores, más de la mitad afirma que son «totalmente responsable» de la seguridad en sus organizaciones, mientras que otro 39 % indicó sentirse responsables de la seguridad como parte de un equipo más amplio.

Para romper lo que parece ser un ciclo muy vicioso, los expertos afirman que es momento de comenzar a pensar en una seguridad orientada a los desarrolladores o en contexto. En resumen, la seguridad centrada en el desarrollador le brinda al programador una herramienta de seguridad «amigable para los desarrolladores» que se integra en el IDE y les permite identificar y corregir problemas de seguridad de forma sencilla y sin complicaciones. Lo ideal es que estos controles de seguridad estén automatizados, de manera que un desarrollador ocupado no necesite preocuparse por los requisitos de seguridad al crear código seguro, ya que el proceso se integra de forma natural en el ciclo de desarrollo.

La clave para el éxito de la seguridad centrada en el desarrollador es un cambio en las perspectivas de ambas partes. Los profesionales de la seguridad deben recordar que los desarrolladores realizan muchas tareas (programación, pruebas, seguridad e incluso algunas funciones de operaciones). En consecuencia, es esencial que los profesionales de seguridad dediquen tiempo a comprender las responsabilidades que enfrentan los desarrolladores, e incluso consideren aprender a programar, para poder proporcionar la capacitación, el apoyo y la empatía necesarios. A su vez, los desarrolladores deben estar dispuestos a aceptar cambios en los procesos y motivados por la oportunidad de contribuir de manera significativa a la seguridad del código.Integrar la seguridad en el equipo de desarrollo, garantizar que los equipos cuenten con la combinación adecuada de habilidades y fomentar un ambiente de colaboración contribuirá en gran medida al éxito de un enfoque de seguridad centrado en el desarrollador.