Artículo de Veracode

El panorama actual exige que tanto CISOs como desarrolladores y equipos de seguridad entreguen software seguro y protegido de la forma más rápida posible. La automatización se ha convertido en uno de los pilares fundamentales para que una empresa genere un mayor impacto y sea más innovadora. Sin embargo, la automatización y los avances exponenciales en la productividad del desarrollo de software amenazan con ampliar aún más la brecha de seguridad. Nos encontramos en una situación en la encontramos vulnerabilidades más rápidamente de lo que podemos solucionarlas.

En la actualidad, existe una  clara necesidad de remediar vulnerabilidades mediante la automatización. La única forma de disminuir la brecha de seguridad, conseguir mejoras exponenciales y lograr mejores resultados con los mismos recursos (o incluso menores), es aprovechar el aprendizaje automático y la inteligencia para automatizar la remediación del software.

Cómo puede ayudar la remediación automatizada a administrar el riesgo de software y la deuda de seguridad a escala

Los desarrolladores son cada vez más y más productivos. De hecho, la “codificación complementaria” está favoreciendo que la productividad de los desarrolladores esté aumentando en un 55%. La capacidad de crear software está aumentando exponencialmente, pero la capacidad de proteger el software solo ha mejorado de forma incremental. Debido a esto, la brecha de seguridad se ampliará, ya que habrá más fallos de seguridad que corregir y se necesitará más tiempo para corregirlas. A medida que esto suceda, los desarrolladores se verán cada vez más abrumados, se acumulará deuda de seguridad, aumentará el riesgo y se incrementarán los costes.

Esta situación es insostenible. Históricamente, han habido tres métodos para abordar este desafío: desacelerar el desarrollo, contratar y capacitar a las personas y/o aceptar más riesgos. La desaceleración del desarrollo tiene consecuencias competitivas y estratégicas. Encontrar talento es tremendamente difícil dada la brecha de talento, y mucho menos el costo de contratar, capacitar y retener a las personas. Y a medida que aumentan la frecuencia, la sofisticación y la gravedad de los ataques cibernéticos, la deuda de seguridad se convierte en un problema mayor. La solución es aprovechar el aprendizaje automático y la inteligencia para automatizar la remediación de software.

Lo que su programa de AppSec desearía obtener de la remediación inteligente

¿Cómo sería una solución de remediación inteligente? Estos son los tres criterios que debe tener en cuenta:

Corrija automáticamente las vulnerabilidades en su código de origen

La automatización debe ir más allá de las meras herramientas que sólo actualizan las vulnerabilidades de código abierto. La verdadera necesidad es abordar las vulnerabilidades en el código de origen, para las cuales los desarrolladores no tienen el tiempo, la capacitación ni los recursos para hacerlo manualmente. Una verdadera solución debe ser capaz de generar propuestas de código seguros adaptados a una aplicación específica para aliviar el esfuierzo  manual de los desarrolladores. Eso nos lleva al segundo requisito.

Ofrezca una solución especializada en seguridad

Para generar código seguro, una solución debe ofrecer IA generativa especializada en seguridad. Los modelos de aprendizaje automático reflejan el conjunto de datos y la supervisión utilizados para entrenarlos. Los modelos generativos de IA entrenados en código inseguro (que son muchos considerando que el 75 por ciento de las aplicaciones escaneadas en los últimos 12 meses tienen vulnerabilidades) producen nuevamente código inseguro. Si realmente se desea reducir la brecha de seguridad y llevar la automatización a la remediación, necesita una solución especializada en seguridad para complementar las herramientas de codificación. De igual modo como es necesario que sus equipos de desarrollo tengan determinadas habilidades, también es necesario disponer de un conjunto de habilidades diferentes y especialidades en las soluciones que proporciona.

Operar en el entorno de trabajo del desarrollador

Las sugerencias de remediación de código deben estar integradas y procesadas en los flujos de trabajo de los desarrolladores. Las mejores soluciones son las que la gente usa y adopta. Después de desarrollar la capacidad de generar correcciones y generar confianza en los cambios sugeridos, el último obstáculo es hacer que sea fácil y transparente para los desarrolladores.

Una solución que cumpla con estas tres áreas (un modelo de lenguaje especializado en seguridad capaz de generar sugerencias de código seguro que los desarrolladores puedan implementar con una solicitud de incorporación de cambios en su flujo de trabajo existente) puede cerrar la brecha de seguridad y contribuir en gran medida al éxito de su programa AppSec.

El futuro de la seguridad del software inteligente

Por supuesto, es más fácil describir una solución que ofrecerla. Sería necesario tener una de las bases de datos de ciberseguridad más grandes del mundo, un equipo líder de investigadores expertos en seguridad, tecnología fundamental y una profunda integración en el conjunto de herramientas de desarrollo de software. Tal vez no sea una coincidencia que en Veracode hayamos cultivado estos ingredientes durante más de una década, y por ello estamos aquí para decirle que el futuro de la seguridad del software inteligente está más cerca de lo que puede imaginar.