Linux Foundation Research y Open Source Security Foundation (OpenSSF) anuncian un nuevo informe: “Encuesta sobre educación en desarrollo de software seguro 2024: comprensión de las necesidades actuales” que, basado en la consulta a casi 400 profesionales del sector, pone de manifiesto que hay una brecha en la educación de los desarrolladores.
En un mundo donde los ciberataques son cada vez más sofisticados y todo depende del software, la seguridad del mismo se vuelve una cuestión de supervivencia. Sin embargo, la realidad es que muchos desarrolladores no están preparados para afrontarla. Al menos es lo que se desprende del estudio, que recoge que casi un tercio de los profesionales directamente involucrados en el desarrollo y la implementación de software (operadores de sistemas, desarrolladores, responsables de la confirmación y mantenedores) admiten no estar familiarizados con las prácticas de seguridad.
Asegurando que la explotación de vulnerabilidades de software tiene consecuencias catastróficas, dice David A. Wheeler, director de seguridad de la cadena de suministro de código abierto de la Linux Foundation, que se hace cada vez más necesario que los desarrolladores de todos los niveles cuenten con los conocimientos y las habilidades adecuados para escribir código seguro, y que la investigación descubrió “que los profesionales no están seguros de por dónde empezar y, en cambio, aprenden sobre la marcha”, por lo que “está claro que un esfuerzo de toda la industria para poner la educación en desarrollo seguro en primer plano debe ser una prioridad”.
Los resultados de la encuesta indican que la falta de concienciación sobre seguridad probablemente se deba a que la mayoría de los programas educativos actuales priorizan la funcionalidad y la eficiencia, mientras que a menudo descuidan la capacitación esencial en seguridad. Además, la mayoría de los profesionales (69 %) confían en la experiencia laboral como principal recurso de aprendizaje, pero se necesitan al menos cinco años de dicha experiencia para lograr un nivel mínimo de familiaridad con la seguridad.
Otros datos clave de la encuesta incluyen:
- La falta de tiempo (58%) y la falta de conocimiento y capacitación (50%) son los dos desafíos más comunes a la hora de implementar prácticas de desarrollo de software seguro dentro de las organizaciones.
- La principal razón (44%) para no tomar un curso sobre desarrollo de software seguro es la falta de conocimiento sobre un buen curso sobre el tema.
- Los métodos de aprendizaje autodirigido fueron los más frecuentes, con un 74% de los encuestados que informaron que utilizan recursos como tutoriales en línea, videos y libros como su principal método de aprendizaje.
- Las preocupaciones de seguridad emergentes, como la IA (57%) y la cadena de suministro (56%), se consideran áreas futuras críticas para la innovación y la atención.
El informe subraya la urgente necesidad de establecer programas de educación y capacitación formalizados en la industria. La seguridad del software no puede ser un tema relegado a la improvisación o al autoaprendizaje.
