La falta de tiempo impide que los especialistas en TI adquieran incluso una base mínima de seguridad de la información.
Estudios recientes de OpenSSF y Linux Foundation muestran que casi un tercio de los profesionales involucrados en la creación y despliegue de software no están familiarizados con las prácticas de desarrollo seguro. Esto es particularmente alarmante, ya que son ellos quienes generan y mantienen el código sobre el que funcionan numerosas aplicaciones y sistemas de grandes empresas.
David A. Wheeler, director de seguridad de la cadena de suministro de código abierto en Linux Foundation, señaló que la explotación de vulnerabilidades en el software puede tener consecuencias catastróficas. Enfatizó la necesidad de capacitar a los desarrolladores de todos los niveles de experiencia en codificación segura.
Según Wheeler, uno de los problemas clave es la falta de educación en el desarrollo seguro de software. Muchos especialistas no saben por dónde empezar y aprenden sobre la marcha. Es por eso que es crucial que los programas educativos sobre desarrollo seguro se conviertan en una prioridad para toda la industria.
Los resultados de la encuesta muestran que los programas educativos actuales se centran principalmente en la funcionalidad y la eficiencia, mientras que la formación en seguridad a menudo se ignora. Además, el 69% de los especialistas confían en la experiencia práctica como principal fuente de aprendizaje, aunque se requieren al menos cinco años de dicha experiencia para alcanzar un nivel básico de conocimientos en seguridad.
Los principales problemas para implementar métodos de desarrollo seguro son la falta de tiempo (58%) y la falta de concienciación y formación (50%). Además, el 44% de los encuestados nunca han tomado cursos de desarrollo seguro debido al desconocimiento de buenos cursos sobre el tema.
La mayor falta de conocimientos en desarrollo seguro se observa entre los desarrolladores con menos de un año de experiencia (75%), este porcentaje disminuye al 72% para los especialistas con uno a dos años de experiencia.
Muchos profesionales del desarrollo de software prefieren métodos de aprendizaje informales a los cursos universitarios. El autoaprendizaje es el más común: el 74% de los encuestados utilizan tutoriales en línea, videos y libros.
Christopher «CRob» Robinson de Intel, copresidente del Grupo de Interés Especial en Educación de OpenSSF (SIG) y presidente del Consejo Asesor Técnico de OpenSSF (TAC), señaló que el primer paso para abordar el problema del desarrollo seguro es reconocer la brecha de conocimientos existente e identificar áreas prioritarias para formación adicional.
Las organizaciones necesitan diversos cursos, independientes de lenguajes de programación específicos, para llenar los vacíos educativos y ayudar al personal de TI a manejar mejor el desarrollo seguro. Áreas importantes para futuras innovaciones y atención de los desarrolladores son la seguridad en IA (57%) y en la cadena de suministro (56%).
La formación y orientación en seguridad tienen como objetivo aumentar la concienciación de los empleados y utilizar estos conocimientos en el desarrollo y despliegue de software seguro. En última instancia, la implementación segura en el desarrollo de software implica escribir código fuente resistente a ataques, lo que proporciona un nivel adicional de protección e incorpora la seguridad en los productos de software desde el principio.