En un intento por mejorar la eficiencia y seguridad en el desarrollo de software, la industria ha estado moviendo sus flujos de trabajo hacia los desarrolladores, una estrategia conocida como «cambio a la izquierda». Esta metodología busca detectar vulnerabilidades de seguridad más temprano en el ciclo de desarrollo, lo que teóricamente permitiría lanzar software más rápidamente y con menos fallas. Sin embargo, la implementación de este cambio no ha sido tan sencilla como se esperaba.
Una gran parte del problema radica en que muchas herramientas de seguridad, incluso aquellas publicitadas como «orientadas a desarrolladores», todavía requieren un alto nivel de conocimiento en seguridad. Esto puede interrumpir el proceso creativo y de codificación, y llevar a que los desarrolladores se sientan cargados con responsabilidades de seguridad que no están preparados para manejar. Un sorprendente 81% de los desarrolladores revelan haber lanzado software con vulnerabilidades únicamente para cumplir con los plazos establecidos.
Mike Hanley, Director de Seguridad de GitHub, señala que la Inteligencia Artificial (IA) está cambiando radicalmente esta dinámica al integrar la seguridad directamente en el proceso de desarrollo. Según Hanley, la IA previene la creación de vulnerabilidades desde el inicio del proceso de codificación. Durante una presentación en el evento GitHub Universe, Nick Liffen, Director de Servicios de Campo, mostró que la mayoría de los desarrolladores no disfrutan de la tarea de remediar vulnerabilidades, prefiriendo centrarse en escribir código.
Esta situación plantea preguntas sobre la viabilidad de exigir que los desarrolladores mantengan la velocidad sin comprometer la seguridad. La fricción entre los objetivos de los desarrolladores y los equipos de seguridad es evidente, ya que estos últimos buscan minimizar riesgos a toda costa. Esta dualidad de objetivos lleva a que los desarrolladores se sobrecarguen con herramientas que no siempre saben cómo utilizar efectivamente, especialmente cuando deben lidiar con alertas de falsos positivos.
Con los constantes cambios en el panorama de amenazas y la falta de suficiente tiempo para la capacitación en seguridad, los desarrolladores a menudo pasan de la creatividad a la saturación. El resultado es evidente en la predisposición de los desarrolladores a sentarse ante la pregunta de Liffen sobre si disfrutan abordar vulnerabilidades.
En un contexto donde las brechas de seguridad no solo son cada vez más comunes sino también más costosas, incrementándose un 15% en los últimos tres años, las organizaciones deben buscar soluciones que no pongan a los desarrolladores en la difícil posición de elegir entre seguridad y rapidez. La introducción de soluciones de IA, como GitHub Copilot, está marcando una diferencia significativa al ofrecer sugerencias de código que integran contextos de seguridad, permitiendo a los desarrolladores escribir código más seguro desde el inicio.
Esta revolución en el uso de IA para la seguridad de aplicaciones está no solo brindando beneficios a los desarrolladores sino también a los equipos de seguridad, proporcionando visiones integrales y dashboards de seguridad que facilitan la gestión de vulnerabilidades. Los insights resultantes no solo permiten a los desarrolladores centrarse en su principal objetivo – crear soluciones innovadoras – sino que también optimizan la gestión de la seguridad a nivel organizacional.
Frente a la proyección de que se desarrollarán 500 millones de aplicaciones en los próximos cinco años, mucho más de lo producido en las últimas cuatro décadas, la estrategia de «cambio a la izquierda» debe evolucionar. Los desarrolladores necesitan herramientas que sean parte natural de su flujo de trabajo, asegurando que la seguridad no sea un obstáculo, sino una parte integral del desarrollo de software en beneficio de todos.
