Linux Foundation Research i Open Source Security Foundation (OpenSSF) anuncien un nou informe: «Enquesta sobre educació en el desenvolupament de programari segur 2024: comprensió de les necessitats actuals» que, basat en la consulta a gairebé 400 professionals del sector, posa de manifest que hi ha una bretxa a la formació dels desenvolupadors.

En un món on els ciberatacs són cada cop més sofisticats i tot depèn del programari, la seva seguretat esdevé una qüestió de supervivència. No obstant això, la realitat és que molts desenvolupadors no estan preparats per afrontar-la. Almenys és el que es desprèn de l’estudi, que recull que gairebé un terç dels professionals directament involucrats en el desenvolupament i la implementació de programari (operadors de sistemes, desenvolupadors, responsables de la confirmació i mantenidors) admeten no estar familiaritzats amb les pràctiques de seguretat.

David A. Wheeler, director de seguretat de la cadena de subministrament de codi obert de la Linux Foundation, afirma que si s’assegura que l’explotació de vulnerabilitats de programari té conseqüències catastròfiques, cada vegada es fa més necessari que els desenvolupadors de tots els nivells comptin amb els coneixements i les habilitats adequats per escriure codi segur, i que la recerca per a l’informe va descobrir «que els professionals no saben per on començar i, en canvi, aprenen sobre la marxa», de manera que «és clar que el sector ha de prioritzar l’educació en desenvolupament segur i posar-la en primer pla.»

Els resultats de l’enquesta indiquen que la manca de conscienciació sobre seguretat probablement és deguda al fet que la majoria dels programes educatius actuals prioritzen la funcionalitat i l’eficiència, mentre que sovint s’obliden de la capacitació essencial en seguretat. A més, la majoria dels professionals (69 %) confien en l’experiència laboral com a principal recurs d’aprenentatge, però calen almenys cinc anys d’aquesta experiència per assolir un nivell mínim de familiaritat amb la seguretat.

Altres dades clau de l’enquesta inclouen:

• La manca de temps (58 %) i la manca de coneixement i capacitació (50 %) són els dos desafiaments més comuns a l’hora d’implementar pràctiques de desenvolupament de programari segur dins de les organitzacions.
• La raó principal (44 %) per no prendre un curs sobre desenvolupament de programari segur és la manca de coneixement sobre un bon curs sobre el tema.
• Els mètodes d’aprenentatge autodirigit van ser els més freqüents, amb un 74 % dels enquestats que van informar que utilitzen recursos com ara tutorials en línia, vídeos i llibres com el principal mètode d’aprenentatge.
• Les preocupacions de seguretat emergents, com ara la IA (57 %) i la cadena de subministrament (56 %), es consideren àrees crítiques futures per a la innovació i l’atenció.

L’informe subratlla la necessitat urgent d’establir programes d’educació i capacitació formalitzats al sector. La seguretat del programari no pot ser un tema relegat a la improvisació o a l’autoaprenentatge.