Los desarrolladores por sí solos NO tienen la culpa del estado actual de ciberseguridad, pero son responsables del panorama de amenazas en constante evolución. Cuando alguien compromete un producto, aplicación web o sistema, encuentra una vulnerabilidad que probablemente haya existido en ese producto desde que fue escrito. Digo que los desarrolladores no tienen la culpa, porque la mayoría de ellos no tienen la comprensión básica adecuada de por qué deben preocuparse por la seguridad. No ven la conexión entre el código que escriben y las vulnerabilidades del mañana. Necesitan ser educados y ser conscientes. La rendición de cuentas solo puede comenzar después de alcanzar la conciencia.
Nuevas aplicaciones se implementan diariamente con antiguas vulnerabilidades porque :
- Los desarrolladores no entienden el “por qué” de la seguridad: ¿por qué deberían preocuparse?
- Si la organización tiene un ciclo de vida de desarrollo seguro, es probable que no se adhieran al 100% del tiempo (acéptelo, es difícil decir que sí)
- Los probadores de seguridad no pueden probar exhaustivamente cada versión de software; existen herramientas pero no son perfectas
- Las prácticas ágiles de software aceleran las cosas, lo cual es bueno para la implementación y las reparaciones, pero puede introducir el vuln más rápido
Si tenemos que culpar a alguien, la culpa recae en los Ejecutivos de cada organización por no invertir en la educación necesaria. Cierta culpa recae en la academia por no enseñar prácticas de codificación segura desde el principio.
- ¿Cuál es el mejor nivel de descomposición que debe hacer un programador con el código?
- JavaScript: ¿Por qué querría agregar claves de objeto con el constructor de objetos?
- ¿Cuál es la diferencia entre el ingeniero Build-Release y el desarrollador de software?
- ¿Cuáles son las mejores compañías de las que un desarrollador de Java debería comenzar como nuevo?
- ¿Qué tipo de desarrollador de software escribe más código?
PERO, no nos culpemos, trabajemos en educar a los desarrolladores del mundo en las vulnerabilidades más prolíficas. Si pudiéramos erradicar el OWASP Top 1 (Inyección) y 3 (XSS), la web sería un lugar mucho más seguro para hacer negocios.