Análisis de los resultados de la encuesta de desarrolladores de JIT
Incluso en empresas con grandes y dedicados equipos de seguridad, un exitoso programa de APPSEC comienza y termina con los desarrolladores. Los equipos de desarrollo enfrentan muchos obstáculos en su búsqueda para escribir código seguro y resolver problemas de seguridad del código, incluidas las arquitecturas de aplicaciones complejas, la falta de tiempo y la capacitación, y una organización que prioriza la velocidad de liberación sobre la seguridad. Para descubrir estos puntos débiles y aprender cómo las empresas pueden apoyar mejor a los equipos de desarrollo, JIT realizó una encuesta a 150 desarrolladores en todas las industrias y tamaños de las empresas para preguntar qué piensan los desarrolladores sobre APPSEC en 2025. Vamos a sumergirnos en los resultados.
Superar los mayores desafíos de AppSec
Cuando se les pidió que clasifiquen los mayores desafíos de seguridad del código, los desarrolladores seleccionaron el Complejidad de la arquitectura de aplicaciones modernas como su mejor elección. Definieron la complejidad de varias maneras, incluida la comprensión de los matices de seguridad de muchos servicios y tecnologías diferentes, gestionando la seguridad de muchos servicios integrados diferentes y mitigando vulnerabilidades conocidas dentro de las cadenas de dependencia interconectadas. Estas complejidades son más difíciles de superar para los desarrolladores debido a un Falta de conocimiento, capacitación y pautas, falta de prioridad organizacional y falta de tiempolos siguientes tres desafíos mejor clasificados.
Una forma de ayudar a reducir la complejidad es utilizar una plataforma de prueba de seguridad automatizada que unifica todos los diferentes escáneres necesarios para APPSEC en un solo lugar. Por ejemplo, JIT combina 10 escáneres listos para usar junto con pruebas personalizadas en una sola plataforma. Funciona en todos los principales lenguajes de programación e infraestructuras en la nube para reducir los dolores de cabeza de integración. JIT también utiliza el contexto de tiempo de ejecución de problemas de seguridad detectados para clasificar y priorizar cada riesgo, proporcionando paneles simplificados donde los desarrolladores pueden ver y mitigar fácilmente las vulnerabilidades. JIT incluso proporciona sugerencias de solución automatizada para que los desarrolladores puedan resolver rápidamente problemas con un solo clic, incluso sin capacitación de seguridad especializada.
Herramientas automatizadas para ayudar a los desarrolladores a asegurar su código
Cuando se les preguntó qué creen que son las estrategias más impactantes para asegurar su código, los desarrolladores se clasificaron Pruebas automatizadas (SAST, SCA, Detección de secretos) en la tubería de CI/CD o IDE en la parte superior por un margen claro.
También se les preguntó a los desarrolladores cómo su empresa los apoya en la construcción de aplicaciones seguras, y la respuesta principal fue escáneres de seguridad implementados. Estos resultados indican que la mayoría de los desarrolladores ya tienen herramientas de seguridad automatizadas y encuentran que estas soluciones son más útiles que las revisiones de código manual, los programas de concientización sobre seguridad y otras medidas que toman un tiempo precioso. Los escáneres automatizados no solo ahorran tiempo; También frecuentemente atrapan problemas que los revisores humanos podrían perderse.
Sin embargo, los escáneres automatizados pueden crear complejidad adicional si no se integran correctamente en la tubería de CI/CD o el entorno de desarrollo. Muchas soluciones también son conocidas por generar una gran cantidad de falsos positivos que los desarrolladores tienen que clasificar para priorizar los riesgos reales.
Además de proporcionar integraciones perfectas con herramientas de desarrollo y seguridad, la plataforma de prueba automatizada de JIT ayuda a reducir la complejidad con la priorización contextual. Esta característica prioriza los problemas de seguridad del código y la nube en función de su tiempo de ejecución y contexto comercial, proporcionando una puntuación automatizada de riesgos para ayudar a los desarrolladores a separar la señal del ruido y reducir los falsos positivos.
Cómo los equipos de desarrollo superan las brechas de conocimiento
Los desarrolladores generalmente no son expertos en seguridad, por lo que es importante comprender dónde van a responder preguntas de seguridad del código. Curiosamente, muchos desarrolladores recurren a fuentes externas, incluidas documentación en línea de proveedores y publicaciones comerciales, así como foros, blogs y comunidades Como el desbordamiento de la pila y Reddit.
Estas fuentes no parecen ser suficientes para ayudar a los equipos de desarrollo a superar las brechas de conocimiento de seguridad del código en función de las respuestas a la siguiente pregunta:
Solo el 7% de los participantes están totalmente de acuerdo en que pueden entregar de manera constante e independiente un código seguro, lo que indica la necesidad de mejores herramientas y recursos. Por ejemplo, la plataforma de JIT proporciona un desarrollador simplificado UX que integra todo el proceso de escaneo y remediación de seguridad del código en el entorno de desarrollo. Proporciona comentarios automáticos sobre la seguridad de cada cambio de código y ofrece remediación automática, lo que facilita a los desarrolladores asegurar su código de manera proactiva e independiente.
Hacer que los desarrolladores sean más involucrados en la seguridad
Cuando se les preguntó con qué frecuencia están involucrados en actividades relacionadas con la seguridad de las aplicaciones durante el ciclo de vida del desarrollo, como revisiones de seguridad, resolución de problemas y modelado de amenazas, un enorme 62% de los participantes respondió con varias veces al año o nunca. Si bien es inicialmente sorprendente, este resultado tiene sentido en comparación con la pregunta número uno: con falta de tiempo, capacitación y priorización organizacional, no es de extrañar que los desarrolladores no estén más involucrados. Los participantes señalaron específicamente que la seguridad se deprime con frecuencia a favor de la entrega de características.
Se pidió a los desarrolladores que describieran la colaboración entre los equipos de desarrollo y seguridad de su empresa, y la mayoría informó moderadamente positivamente. Solo el 8% de los participantes describieron su colaboración como excelente y sin necesidad de mejora.
La falta de participación y solo la colaboración moderada se vuelven más alarmantes en relación con los resultados de la siguiente pregunta. Cuando se les preguntó qué tan fuerte están de acuerdo o en desacuerdo con la siguiente declaración: “Tengo una visibilidad total sobre la seguridad de mis servicios y las vulnerabilidades de seguridad más críticas que deben resolverse”, 47% de los desarrolladores no estuvo de acuerdo hasta cierto punto.
Lo que se necesita es una plataforma como JIT que pone a AppSec en manos de los desarrolladores sin agregar fricción a sus cargas de trabajo. El UX de desarrollo de JIT, la remediación automatizada y los paneles simplificados brindan a los desarrolladores una visibilidad y control total sobre la seguridad del código mientras cumplen los horarios de entrega acelerados.
Mejorar la cultura de seguridad dentro de los equipos de desarrollo
Todos los resultados de las preguntas anteriores destacan la falta de cultura de seguridad dentro de los equipos de desarrollo, y cuando se les preguntan directamente para describir la cultura de seguridad, acordaron los desarrolladores. 61% de los participantes Respondió que la seguridad es solo “algo importante” o no una prioridad en su cultura, y APPSEC no se integró en sus rutinas. Hubo una correlación entre una cultura de seguridad más fuerte y la confianza del desarrollador en su capacidad para ofrecer un código seguro, mostrando lo importante que es para las organizaciones equilibrar las prioridades entre la seguridad y la entrega.
La plataforma de prueba unificada de JIT y las organizaciones UX amigables con el desarrollo ayudan a implementar un programa APPSEC automatizado y práctico que sea más simple para que los desarrolladores adopten. Son las integraciones fáciles y la activación de un solo clic hacen que sea menos difícil priorizar la seguridad al tiempo que entrega nuevas funciones a tiempo.
JIT ayuda a los desarrolladores de manera consistente e independiente a entregar un código seguro
JIT ayuda a los desarrolladores a asegurar su propio código al tiempo que reduce la complejidad con una plataforma unificada de más de 10 escáneres de seguridad listos para usar. Al integrarse completamente en tuberías de CI/CD y entornos de desarrolladores, reduce la fricción entre el desarrollo y la seguridad y mejora el impacto que las pruebas automáticas tienen en las cargas de trabajo del desarrollador. El motor de contexto de JIT ayuda a los desarrolladores a clasificar y a centrarse en problemas de alto riesgo mientras se filtran los falsos positivos, lo que les permite cumplir con los requisitos de APPSEC diarios mientras ofrece funciones rápidamente. La plataforma de prueba unificada de JIT y los paneles simplificados permiten a las organizaciones priorizar la seguridad sin retrasar los ciclos de desarrollo.
Para obtener más información, descargue nuestro informe: Lo que los desarrolladores piensan sobre la seguridad en 2025 y por qué importa
