DevSecOps: analizando el estado de la seguridad del software

En un panorama de ciberseguridad cada vez más complejo, el 2025 se presenta como un año lleno de desafíos para el desarrollo de software.

El Informe de Investigaciones de Violaciones de Datos de Verizon 2024 reveló que “La explotación de vulnerabilidades como vía crítica para iniciar una vulneración de datos se triplicó con un aumento del 180% en el último año”. A esto se le suma que la deuda de seguridad o deuda técnica como se conoce en el sector de desarrollo de software y la superficie de ataque cada vez se hacen más complejas.

Aunado a lo anterior, uno de los factores más importantes a considerar es el auge del uso de la inteligencia artificial en la ingeniería de software, particularmente con los generadores de código, ya que pueden comprometer el software a nivel de seguridad por factores como el código heredado, envenenamiento de datos y falta de comprensión del contexto.

Retos para mejorar la seguridad del software

Para poder afrontar estos desafíos y superarlos con éxito, lo responsables de la seguridad en los equipos de desarrollo deben adoptar un enfoque estratégico y orientado al contexto que les permita gestionar los riesgos y vulnerabilidades con foco en las necesidades de las organizaciones.

En este sentido, el deber apunta a la priorización en la remediación de los peligros de mayor impacto en función de obtener ciclos de retroalimentación ágiles para la mejora continua, lo que se traduce en una gestión de la seguridad más eficaz a lo largo del tiempo.

Los hallazgos clave del informe de Veracode: “2025 STATE OF SOFTWARE SECURITY: A NEW VIEW OF MATURITY” revelan varios puntos importantes:

• La mitad de las organizaciones encuestadas tienen deudas de seguridad críticas de alto riesgo y alta explotabilidad.

  
  

• Al aumento en el porcentaje de software con vulnerabilidades severas (181% en comparación con 2020) se añade un incremento en el número de días para ser solucionadas: 171 días en 2020 en comparación 252 días en 2024.

  
  

• El 70% de la deuda de técnica proviene de código de terceros y de la cadena de suministro de software.

  
  

En resumen, implementar la seguridad desde las primeras fases del ciclo de vida de desarrollo de software, asegurar las cadenas de suministro, la detección y corrección de fallos y la reducción ágil de la deuda técnica ofrece una ventaja significativa a los equipos de desarrollo y permite entregar software y aplicaciones de mejor calidad, con mayor agilidad y confiabilidad.

¿Cómo combatir la deuda técnica y de seguridad en el software?

Primero comprendamos más a profundidad este concepto. De forma sencilla, se puede ver como las fallas de código que permanecen sin ser solucionadas durante más de un año. Pero, también podemos entender la deuda técnica y de seguridad como el costo futuro del trabajo que se acumula cuando se eligen soluciones rápidas pero subóptimas priorizando la entrega ágil sobre la robustez del código.

La encuesta de Veracode muestra que casi tres cuartas partes de las organizaciones encuestadas han acumulado algún nivel de deuda. También, la mitad de las organizaciones que participaron poseen una combinación arriesgada que consiste en deudas muy críticas y sin resolver desde hace mucho tiempo.

En resumen, 74.2% de las organizaciones presentan deuda de seguridad general y 49.9% tienen deudas de seguridad crítica. Lo positivo de esto es que los estudios de Veracode demuestran que las organizaciones pueden reducir la deuda de su software.

DevSecOps: la madurez en la seguridad del software

La efectividad en la reducción de la deuda técnica y de seguridad esta asociada a una perspectiva donde la planificación y la alineación con los objetivos de negocio se dan cita. Esto requiere un abordaje desde dos dimensiones.

La primera dimensión está enfocada en una visibilidad del Desarrollo del Ciclo de Vida del Software (SDLC) que permita visibilizar las fallas del código desde el origen. Este objetivo se puede alcanzar mediante la automatización del escaneo continuo durante la escritura del código. Esta práctica tiene varias ventajas como ser el momento más rentable para corregir fallas y el uso de I.A. para la escritura y corrección de código dada su capacidad para abordar eficazmente fallos a gran escala.

Otro aspecto importante es el diseño de políticas que permiten la automatización en la remediación durante el SDLC ya que determinan con claridad “lo que debe repararse”. A esto, se suma la implementación de un sistema de detección de paquetes maliciosos que permita atender a tiempo las fallas de terceros y evaluar las bibliotecas de código abierto antes de que sean importadas al código base lo cual puede ayudar a reducir drásticamente los problemas críticos en las aplicaciones.

La segunda dimensión esta fundamentada en la capacidad de correlacionar y contextualizar los hallazgos en el escaneo de código para reducir los riesgos más importantes con menor esfuerzo. Si bien hay que considerar el hecho de que “Si todo es urgente nada lo es” en el mar de información que se produce durante un análisis del código, determinar las explotabilidades más urgentes para priorizarlas mejor, ayuda a atender oportunamente los riesgos más críticos en el código.

Una vez hecha esta priorización, la diferencia puede marcarse al asignar ciclos de sprint a uno o más expertos que permitan atender los aspectos más urgentes de la deuda técnica en el código y cómo este puede apoyarse en herramientas específicas o IA para abordar la remediación.

Nubuss y Veracode: una postura de madurez para solucionar la deuda técnica y de seguridad en su software

Según el informe de Veracode, abordar los fallos a medida que estos aparecen, es una de las principales señales de contar con un programa de seguridad de software maduro. La gran pregunta es ¿Cómo hacerlo con eficiencia?

Antes de respoderle lo anterior le queremos hacer una pregunta ¿Su organización quiere sencillamente solucionar errores de código o contar con una herramienta potente que le permita optimizar el rendimiento de su equipo de desarrollo?

Si su respuesta es sí a la segunda parte de nuestra pregunta, Veracode y Nubuss son su aliado estratégico. Implementamos en su organización una herramienta de vanguardia enfocada en la seguridad, impulsada por I.A., líder de la industria durante más de 19 años y que cuenta con la confianza de agencias gubernamentales para apoyar sus procesos de cumplimiento normativo en materia código seguro.

En una plataforma unificada, Veracode le ofrece una suite con escaneo profundo del código de su software o aplicación (SCA), análisis estático (SAST) y análisis dinámico (DAST) para que su equipo de desarrollo pueda estar a la altura de los desafíos modernos y hacer entregas ágiles con mayor seguridad.