ODC
Riesgos IA Generativa · SDLC · UDEC
Portada
01 / 19
Objeto Digital de Conocimiento · UDEC
ODC
Riesgos de la IA Generativa
en la Seguridad del SDLC
Exploración sistemática de los riesgos de seguridad que introducen los modelos de lenguaje grandes en el ciclo de vida del desarrollo de software, fundamentada en 38 estudios científicos seleccionados con metodología PRISMA 2020.
19 Pantallas
10 Módulos completos
Evaluación formativa
APA 7
👤 Escobar Sarmiento, Brayan Esneider
👤 Martínez Gaitán, Edgar Alexander
Universidad de Cundinamarca · Investigación · CC BY 4.0 · 2025
🎙️ Avatar del docente
① Resultado Esperado de Aprendizaje (REA)
El estudiante identificará y evaluará
los principales riesgos de seguridad asociados al uso de herramientas de inteligencia artificial generativa en el ciclo de vida del desarrollo de software,
mediante el análisis de evidencia científica
derivada de una revisión sistemática de literatura (38 estudios, PRISMA 2020),
con el fin de proponer estrategias de mitigación
alineadas a marcos de gobernanza internacionales (EU AI Act, NIST AI RMF, OWASP LLM Top-10),
con un criterio de precisión conceptual ≥ 80%.
🎯
① Verbo · Bloom nivel superior
Identificará y evaluará — Niveles: Análisis + Evaluación
📚
② Contenido temático
Riesgos de seguridad de IA generativa en el ciclo de vida del desarrollo de software
🔬
③ Condición de aprendizaje
Mediante análisis de 38 estudios científicos seleccionados con metodología PRISMA 2020
✅
④ Criterio de desempeño
Estrategias alineadas a EU AI Act · NIST AI RMF · OWASP LLM Top-10 con precisión ≥ 80%
② Pantalla 02
⑤ Avatar del docente
⑥ REA: Verbo Bloom + Contenido + Condición + Criterio (UDEC-CTI, 2025).
Texto contenido
El REA define el resultado que el estudiante debe alcanzar al concluir el ODC. Sigue la fórmula del Instructivo ODC UDEC-CTI (2025): verbo cognitivo Bloom nivel superior (Análisis / Evaluación) + contenido específico + condición de aprendizaje + criterio de evaluación cuantificable. La taxonomía de Bloom orienta el nivel cognitivo esperado: no memorización, sino análisis crítico y evaluación de evidencia.
④ Interactividad
① Grupo Objetivo — Población
👩💻
Estudiantes de Ingeniería
Sistemas, Software y afines. Nivel pregrado / especialización.
💼
Desarrolladores de Software
Junior, Semi-Senior y Senior que usan o evalúan herramientas de IA generativa en su flujo de trabajo.
🔬
Investigadores en Seguridad
Profesionales y académicos interesados en ciberseguridad, DevSecOps y gobernanza de IA.
Prerrequisitos: Conocimientos básicos de programación en al menos un lenguaje de propósito general. Familiaridad con el concepto de ciclo de vida del software.
② Pantalla 03
⑤ Voces y Audios
🎙️
Avatar del docente
Pendiente grabación
📝 Guión del avatar
"Este ODC está diseñado para ti: seas estudiante de ingeniería, desarrollador que ya usa IA, o investigador en ciberseguridad. El nivel es intermedio a alto. Si conoces al menos un lenguaje de programación y sabes qué es el ciclo de vida del software, estás en el lugar correcto. ¡No tienes que ser experto en seguridad — ese conocimiento lo vas a construir aquí!"
⑥ Descripción imagen
Tres segmentos objetivo. Nivel educativo: Intermedio–Alto (Bloom: Análisis, Evaluación).
Texto contenido
Diseñado para personas con conocimiento técnico en desarrollo de software que desean comprender, evaluar y mitigar los riesgos de seguridad que introduce el uso de herramientas de IA generativa. Nivel educativo: Intermedio – Alto.
④ Interactividad
① Menú Principal — Selecciona un módulo
01
Contexto IA Generativa
02
SDLC Seguro
03
Herramientas IA
04
🔒 Vulnerabilidades CWE
05
🔒 Impacto Empírico
06
🔒 Privacidad y Datos
07
🔒 Mitigación
08
🔒 Gobernanza
09
🔒 Metodología
10
🔒 Conclusiones
② Pantalla 04
⑤ Voces y Audios
🎙️
Avatar del docente
Pendiente grabación
📝 Guión del avatar
"En esta pantalla tienes acceso al menú principal del ODC. Hay diez módulos en total. Los tres primeros están disponibles ahora mismo: contexto de la IA generativa, el SDLC seguro, y las herramientas de IA más usadas. Los módulos del cuatro al diez estarán disponibles próximamente. Puedes navegar en el orden que prefieras, aunque te recomiendo seguir la secuencia. ¿Por dónde quieres comenzar?"
⑥ Descripción imagen
10 módulos. Módulos 1–3 disponibles. Módulos 4–10 se activan progresivamente. Navegación no lineal para módulos disponibles.
Texto contenido
Selecciona un módulo de aprendizaje. Puedes navegar en orden secuencial o acceder directamente al módulo de tu interés. Los módulos 1 a 3 están disponibles. Los módulos 4 a 10 estarán activos en la próxima versión.
④ Interactividad
Módulo 01 · Introducción
01
Contexto: IA Generativa en el Desarrollo de Software
¿Qué son los LLM? ¿Cómo se adoptaron masivamente? ¿Cuál es la evidencia científica sobre el riesgo de seguridad que introducen? Este módulo establece el contexto del problema investigado.
Pantallas 05 – 09
Pearce (2022) · Perry (2023)
① 1.1 · ¿Qué son los Modelos de Lenguaje Grandes (LLM)?
📦
Datos masivos
GitHub · Stack Overflow
HuggingFace · ArXiv
HuggingFace · ArXiv
→
⚙️
Transformer
Mecanismo de atención
Vaswani et al., 2017
Vaswani et al., 2017
→
🧠
LLM entrenado
GPT-4 · Codex
LLaMA · StarCoder
LLaMA · StarCoder
→
💻
Código generado
Sugerencias · Completado
Revisión · Documentación
Revisión · Documentación
Definición operativa: Para este ODC, "IA generativa en el SDLC" comprende cualquier herramienta LLM-based usada para asistir tareas de codificación: autocompletado, generación de funciones, revisión de código o consulta de soluciones de seguridad.
② Pantalla 06
⑤ Voces y Audios
🎙️
Avatar del docente
Pendiente grabación
📝 Guión del avatar
"Los modelos de lenguaje grandes, o LLM, son sistemas de IA entrenados en enormes volúmenes de texto y código. Su arquitectura base se llama Transformer, propuesta por Vaswani y colaboradores en 2017. Herramientas como GitHub Copilot, ChatGPT, Amazon CodeWhisperer y StarCoder son ejemplos que quizás ya usas. Lo fascinante — y lo peligroso — es que pueden generar código completo en segundos sin que el desarrollador comprenda siempre las implicaciones de seguridad de lo que están aceptando."
⑥ Descripción
Flujo de entrenamiento y uso de un LLM para generación de código. Arquitectura Transformer. Vaswani et al. (2017).
Texto contenido
Los LLM son sistemas de IA entrenados sobre vastos corpus de texto y código para predecir y generar tokens coherentes. Base: Transformer (Vaswani et al., 2017). Herramientas en desarrollo: GitHub Copilot (Codex/GPT-4), ChatGPT, Amazon CodeWhisperer, StarCoder, Gemini Code Assist — generan, completan y revisan código en +30 lenguajes.
④ Interactividad
① 1.2 · Adopción Global en el Desarrollo
92%
de desarrolladores en EE.UU. usan o planean usar IA en su trabajo
GitHub Octoverse Survey, 2023
40%
de empresas planeaban adoptar herramientas de IA para codificación en 12 meses
Gartner, 2023
55%
del código sugerido por Copilot se acepta sin modificación
Negri-Ribalta et al., 2024
⚠ El problema central: Si el 55% del código se acepta sin revisión, y el 40% de ese código contiene vulnerabilidades (Pearce et al., 2022), el impacto acumulado en la postura de seguridad es matemáticamente significativo y sistémico.
② Pantalla 07
⑤ Voces y Audios
🎙️
Avatar del docente
Pendiente grabación
📝 Guión del avatar
"¿Dimensionas la magnitud de la adopción? El noventa y dos por ciento de los desarrolladores en EE.UU. ya usan o planean usar IA. El cuarenta por ciento de las empresas planeaban adoptarla en doce meses. Y aquí viene el dato más preocupante: el cincuenta y cinco por ciento del código sugerido por Copilot se acepta sin ninguna modificación. Si ese código tiene errores de seguridad — y ya vamos a ver que los tiene — el problema es enorme y sistémico."
⑥ Descripción
Tres estadísticas de adopción que ilustran la escala del riesgo. Fuentes: GitHub (2023), Gartner (2023), Negri-Ribalta et al. (2024).
Texto contenido
La adopción masiva sin procesos de validación crea riesgos sistémicos. GitHub Copilot acumuló más de 1 millón de usuarios activos en los primeros 12 meses — la adopción más rápida de una herramienta de desarrollo en la historia de la industria (Negri-Ribalta et al., 2024).
④ Interactividad
① 1.3 · Hallazgo Seminal: Perry et al. (2023) — 47 desarrolladores
✅ Sin IA (grupo control)
🔒Mayor seguridad en el código producido
🎯Percepción realista de la calidad de su trabajo
🐢Menor velocidad en completar las tareas
⚠ Con IA (OpenAI Codex)
❌Código menos seguro — más CWE por función
❌Sobreconfianza: se percibían más seguros que el grupo control
⚡Mayor velocidad — completaron tareas más rápido
Brecha de percepción (Perception Gap): Los desarrolladores con IA calificaron su propio código como más seguro que el grupo sin IA. Esta ilusión de seguridad es el hallazgo más crítico del estudio.
② Pantalla 08
⑤ Voces y Audios
🎙️
Avatar del docente
Pendiente grabación
📝 Guión del avatar
"Uno de los estudios más impactantes del área fue publicado por Perry y colaboradores en 2023. Dividieron a cuarenta y siete desarrolladores en dos grupos: unos trabajaron solos, otros con IA. El resultado fue contraintuitivo: los que usaron IA produjeron código con más vulnerabilidades. Pero lo más alarmante fue que ese grupo se percibía a sí mismo como más seguro. A eso lo llamamos la brecha de percepción, y es el hallazgo más peligroso porque crea una falsa sensación de seguridad que inhibe la revisión crítica del código."
⑥ Descripción
Experimento controlado: sin IA (n=23) vs con Codex (n=24). 5 tareas de seguridad. Perry et al. (2023); en Negri-Ribalta et al. (2024, p. 8).
Texto contenido
Perry et al. (2023) demostraron que la IA aumenta velocidad a expensas de seguridad. La velocidad explica la adopción masiva; la brecha de percepción explica por qué el riesgo se subestima sistemáticamente (Perry et al., 2023; citado en Negri-Ribalta et al., 2024, p. 8).
④ Interactividad
① 1.4 · Magnitud del Problema y Metodología PRISMA 2020
397
Identificados
(Scopus, IEEE, ACM)
(Scopus, IEEE, ACM)
→
355
Después de
deduplicación
deduplicación
→
52
Elegibles
(revisión completa)
(revisión completa)
→
38
Incluidos
PRISMA 2020
PRISMA 2020
40%
código Copilot con vulnerabilidades
Pearce et al., 2022
50%
código C generado vulnerable
Pearce et al., 2022
CWE más frecuentes
CWE-787 Buffer Overflow
CWE-089 SQL Injection
CWE-079 XSS
② Pantalla 09
⑤ Voces y Audios
🎙️
Avatar del docente
Pendiente grabación
📝 Guión del avatar
"Pearce y colaboradores en 2022 evaluaron mil seiscientos ochenta y nueve fragmentos de código de GitHub Copilot en ochenta y nueve escenarios CWE. Resultado: cuarenta por ciento contiene al menos una vulnerabilidad. Para el lenguaje C, ese número sube al cincuenta. Las más frecuentes son CWE-787 desbordamiento de búfer, CWE-089 inyección SQL, y CWE-079 Cross-Site Scripting. Este es el estudio sobre el que se construye gran parte de la investigación de este ODC. Con eso concluimos el Módulo 1. ¡Avancemos al Módulo 2!"
⑥ Descripción
Diagrama PRISMA 2020 (Page et al., 2021): 397→38 estudios. Pearce et al. (2022): 1,689 snippets, 89 escenarios CWE Top-25.
Texto contenido
Pearce et al. (2022) evaluaron 1,689 snippets en 89 escenarios CWE Top-25: 40% contiene vulnerabilidades. El 25% de los snippets vulnerables tiene múltiples CWE encadenadas. La SLR de Negri-Ribalta et al. (2024) confirma consolidando 38 estudios (Page et al., 2021 — PRISMA 2020).
④ Interactividad
Módulo 02 · Fundamentos de Seguridad
02
El SDLC Seguro y la Integración de la IA
Comprende cómo la IA generativa se inserta en el ciclo de vida del desarrollo, qué principios de seguridad deben guiar su adopción, y en qué fases el riesgo es más crítico. DevSecOps y Shift Left Security como marcos operativos.
Pantallas 10 – 14
DevSecOps · Shift Left
① 2.1 · Fases del Ciclo de Vida del Desarrollo de Software
📋
Requisitos
Criterios de seguridad y funcionales
→
🏗️
Diseño
Arquitectura, modelado de amenazas
→
💻
Implementación
⭐ Mayor exposición IA
→
🧪
Pruebas
SAST, DAST, pentest
→
🚀
Despliegue
CI/CD, dependencias, SBOM
→
🔁
Mantenimiento
Parches, regresiones
La IA interviene principalmente en Implementación, pero sus efectos se propagan: sugerencias inseguras en Diseño, dependencias maliciosas en Despliegue, regresiones en Mantenimiento (Negri-Ribalta et al., 2024, Tabla 2).
② Pantalla 11
⑤ Voces y Audios
🎙️
Avatar del docente
Pendiente grabación
📝 Guión del avatar
"El ciclo de vida del desarrollo de software tiene seis fases: requisitos, diseño, implementación, pruebas, despliegue y mantenimiento. La IA generativa interviene principalmente en implementación, cuando los desarrolladores escriben código. Pero sus efectos se propagan a todo el ciclo: una sugerencia de arquitectura incorrecta contamina el diseño; una dependencia maliciosa sugerida por IA compromete el despliegue. Por eso el riesgo no es solo de código — es sistémico y afecta todas las fases."
⑥ Descripción
Flujo SDLC 6 fases. Implementación resaltada como zona de mayor exposición. Negri-Ribalta et al. (2024), vectores de riesgo por fase.
Texto contenido
El SDLC es el proceso estructurado de creación de software. Aunque la IA se usa principalmente en Implementación, los riesgos se propagan a todo el ciclo. Cada fase genera un vector de riesgo específico, todos documentados en Negri-Ribalta et al. (2024).
④ Interactividad
① 2.2 · Marcos de Secure SDLC
🔷 Microsoft SDL
12 prácticas obligatorias: modelado de amenazas, revisión de diseño seguro, análisis de código estático, pruebas de penetración. Integrado en Azure DevOps.
🟠 OWASP SAMM
15 prácticas de seguridad en 5 funciones de negocio. 3 niveles de madurez medibles. Marco más usado para evaluar la postura de seguridad en el SDLC.
🟢 BSIMM
Basado en observación de 130+ organizaciones. Mide lo que las empresas realmente hacen, no lo que deberían hacer. Benchmark de referencia del sector.
Los tres marcos comparten el principio: Security by Design — la seguridad debe ser un atributo de calidad desde la primera línea de código, no un parche de última hora.
② Pantalla 12
⑤ Voces y Audios
🎙️
Avatar del docente
Pendiente grabación
📝 Guión del avatar
"Para gestionar la seguridad a lo largo del ciclo existen tres marcos de referencia. El Microsoft SDL define doce prácticas obligatorias integradas en el proceso de desarrollo. OWASP SAMM mide la madurez de la seguridad en cinco funciones de negocio con tres niveles de madurez. Y BSIMM, en lugar de decirte qué debes hacer, mide lo que ciento treinta empresas líderes realmente hacen. Los tres comparten un principio: Security by Design — la seguridad desde la primera línea de código."
⑥ Descripción
Tres marcos normativos: Microsoft SDL (prescriptivo), OWASP SAMM (madurez medible), BSIMM (benchmarking empírico).
Texto contenido
El Secure SDLC incorpora actividades de seguridad en cada fase del ciclo. Microsoft SDL, OWASP SAMM y BSIMM difieren en enfoque pero convergen en que la seguridad desde el diseño reduce radicalmente el costo de corrección y la superficie de ataque.
④ Interactividad
① 2.3 · DevSecOps: Seguridad como Código
📋 Plan
Threat Modeling · Requisitos de seguridad en backlog · Story de seguridad
💻 Code
Linting en IDE · Revisión sugerencias IA · SonarLint · Semgrep
🔨 Build
SAST en CI/CD · SonarQube · Checkmarx · Cada commit revisado
🧪 Test
DAST en staging · OWASP ZAP · Burp Suite · Penetration Testing
🚀 Deploy
SCA · Dependabot · SBOM · Análisis dependencias IA
📊 Monitor
SIEM · WAF · Detección anomalías · Respuesta incidentes
② Pantalla 13
⑤ Voces y Audios
🎙️
Avatar del docente
Pendiente grabación
📝 Guión del avatar
"DevSecOps significa que la seguridad no es responsabilidad solo del equipo de seguridad — es responsabilidad de todos, desde el primer día. El principio se llama Security as Code. Para IA generativa: en la fase Code, cuando el desarrollador acepta una sugerencia de Copilot, herramientas como Semgrep y SonarLint la analizan en tiempo real. En la fase Build, SonarQube revisa cada commit. Así DevSecOps convierte la seguridad en un proceso continuo y automatizado."
⑥ Descripción
Pipeline DevSecOps 6 etapas. Teal = mayor exposición IA generativa. Herramientas específicas por etapa. Principio: Security as Code.
Texto contenido
DevSecOps incorpora seguridad como responsabilidad compartida. El principio "Security as Code" automatiza y versiona los controles. Para IA generativa: el SAST evalúa el código sugerido antes de aceptarlo, integrando Shift Left a nivel del IDE con herramientas como GitHub Advanced Security.
④ Interactividad
① 2.4 · Shift Left Security — Costo de la Detección Tardía
Costo relativo de corrección por fase (Seacord, 2013)
💻 Desarrollo1× (línea base)
🧪 Pruebas6× más costoso
🚀 Producción30–100× más costoso
Aplicación a IA: Cuando el desarrollador acepta una sugerencia de Copilot, esa es la oportunidad de Shift Left. Semgrep y SonarLint en el IDE evalúan la seguridad del código sugerido antes de aceptarlo — sin salir del editor.
② Pantalla 14
⑤ Voces y Audios
🎙️
Avatar del docente
Pendiente grabación
📝 Guión del avatar
"El principio Shift Left dice que la seguridad debe moverse lo más temprano posible en el tiempo — detectar y corregir en las fases más tempranas. Seacord cuantificó: detectar en desarrollo vale uno; en pruebas, seis veces más; en producción, entre treinta y cien veces más. Con IA generativa, el momento de Shift Left es exactamente cuando estás a punto de aceptar o rechazar una sugerencia. Ese instante — que dura dos segundos — puede salvar o comprometer la seguridad del sistema."
⑥ Descripción
Gráfico de barras costo de corrección por fase. Escala relativa. Seacord (2013) en Negri-Ribalta et al. (2024). Herramientas: Semgrep, SonarLint, GitHub Advanced Security.
Texto contenido
Seacord (2013), citado en Negri-Ribalta et al. (2024), cuantificó que corregir en producción cuesta 30–100 veces más que detectar durante el desarrollo. Shift Left + IA = validar cada sugerencia en el IDE antes de aceptarla.
④ Interactividad
Módulo 03 · Herramientas
03
Herramientas de IA Generativa en el Desarrollo
Análisis comparativo de las herramientas más adoptadas: sus capacidades, limitaciones de seguridad documentadas científicamente y criterios para una adopción responsable en entornos de desarrollo profesional.
Pantallas 15 – 19
Copilot · ChatGPT · CodeWhisperer
① 3.1 · GitHub Copilot — La herramienta más adoptada
⭐
GitHub Copilot
Motor: OpenAI Codex → GPT-4 Turbo · Lanzamiento: julio 2021 · +1M usuarios en 12 meses
⚠ Riesgo Alto
✅ Capacidades
- Autocompletado inline en tiempo real
- Generación de funciones completas
- Copilot Chat: explicación y revisión
- Sugerencias de pruebas unitarias
- +30 lenguajes de programación
- VS Code, JetBrains, Vim, CLI
⚠ Limitaciones de seguridad
- 40% del código con vulnerabilidades (Pearce 2022)
- 50% del código C generado es vulnerable
- Sin análisis de seguridad nativo
- Corpus incluye repositorios con CWE
- CodexLeaks: riesgo filtración datos (Niu 2023)
② Pantalla 16
⑤ Voces y Audios
🎙️
Avatar del docente
Pendiente grabación
📝 Guión del avatar
"GitHub Copilot es la herramienta de IA para código más adoptada globalmente. Lanzada en 2021, acumuló más de un millón de usuarios activos en doce meses. Sus capacidades son impresionantes: completa código en tiempo real, genera funciones completas, tiene un chat integrado y soporta más de treinta lenguajes. Pero recuerda el estudio de Pearce: el cuarenta por ciento de lo que genera tiene vulnerabilidades. Y no te avisa cuando te está sugiriendo código inseguro — no tiene análisis de seguridad nativo. Esa es su limitación más crítica."
⑥ Descripción
Tarjeta técnica GitHub Copilot. Riesgo documentado: 40% vulnerabilidades. Fuentes: Pearce et al. (2022); Niu et al. (2023) — CodexLeaks; Negri-Ribalta et al. (2024).
Texto contenido
GitHub Copilot es la herramienta de IA para código más adoptada globalmente. Pearce et al. (2022): 40% del código generado contiene al menos una CWE. La ausencia de análisis de seguridad nativo requiere integración externa (Semgrep, SonarLint) para compensar este déficit operativo.
④ Interactividad
① 3.2 · ChatGPT / GPT-4 para Desarrollo de Software
✅ Casos de uso frecuentes
🐛Debugging y explicación de errores
👁️Revisión de código (code review)
📝Generación de documentación técnica
🏗️Diseño de arquitecturas y APIs
🧪Generación de casos de prueba unitarios
⚠ Riesgos específicos
🔓Tier FREE: código puede usarse para re-entrenamiento
💉Prompt injection: instrucciones maliciosas en el contexto (OWASP LLM01)
👻Alucinaciones de API: funciones inexistentes o deprecadas
🔑Sin verificación de firma criptográfica del código
Política crítica: ChatGPT Enterprise y la API NO usan datos para re-entrenamiento. El tier FREE sí puede hacerlo. Nunca ingresar código propietario, credenciales o PII en ChatGPT Free.
② Pantalla 17
⑤ Voces y Audios
🎙️
Avatar del docente
Pendiente grabación
📝 Guión del avatar
"ChatGPT es quizás la herramienta de IA más conocida del planeta. En el desarrollo se usa principalmente para debugging, revisión de código, diseño de arquitecturas y generación de pruebas. Sus riesgos son distintos a los de Copilot. El principal es la confidencialidad: si usas el tier gratuito, el código que ingresas puede usarse para reentrenamiento. Nunca ingreses código propietario, credenciales o datos personales en ChatGPT Free. Y existe el riesgo de prompt injection — que OWASP lista como LLM01, la vulnerabilidad número uno en modelos de lenguaje."
⑥ Descripción
Capacidades vs riesgos de ChatGPT. Fuentes: OpenAI Privacy Policy (2024); OWASP LLM Top-10 (2023) — LLM01: Prompt Injection.
Texto contenido
ChatGPT es ampliamente usado para tareas de desarrollo aunque no fue diseñado exclusivamente para ello. Su riesgo principal es la confidencialidad del código. Las organizaciones deben definir una política de uso explícita antes de permitir su uso con código propietario (OpenAI Privacy Policy, 2024; OWASP LLM01, 2023).
④ Interactividad
① 3.3 · Alternativas con Mejores Perfiles de Seguridad
🔶Amazon CodeWhispererMejor seguridad nativa
- Escaneo de seguridad en tiempo real integrado
- Cita referencias CWE al detectar vulnerabilidades
- Más conservador en sugerencias inseguras
- Integración: VS Code, JetBrains, AWS Cloud9
🔵TabninePrivacy-first
- Puede ejecutarse on-premise — datos nunca salen
- Modelos privados entrenados en código propio
- Sin envío de código a servidores externos
- Ideal para organizaciones con compliance estricto
🟣StarCoder (BigCode)Open Source
- Modelo open-source auditado y reproducible
- Datos de entrenamiento documentados (The Stack)
- Desplegable localmente
- Hugging Face + ServiceNow
🟢Gemini Code AssistEnterprise
- Contexto extendido (1M tokens) para bases grandes
- Integración GCP + Cloud Security Command Center
- Políticas de seguridad a nivel organización
- Auditoría en Google Workspace Admin
② Pantalla 18
⑤ Voces y Audios
🎙️
Avatar del docente
Pendiente grabación
📝 Guión del avatar
"¿Cuáles son las alternativas con mejores perfiles de seguridad y privacidad? Amazon CodeWhisperer tiene análisis de seguridad en tiempo real integrado y cita las referencias CWE cuando detecta vulnerabilidades — es la más segura nativamente. Tabnine puede ejecutarse completamente on-premise, lo que significa que el código nunca sale de la organización. StarCoder es open-source y permite auditar completamente el modelo. Gemini Code Assist ofrece controles de políticas a nivel organización integrados con Google. La elección depende de tu perfil de riesgo y tus políticas de compliance."
⑥ Descripción
4 herramientas con mejores perfiles de privacidad o seguridad nativa. Fuentes: Amazon (2023); Tabnine (2024); BigCode/StarCoder (2023); Google (2024).
Texto contenido
CodeWhisperer: análisis CWE en tiempo real. Tabnine: elimina riesgo de filtración con on-premise. StarCoder: auditoría completa del modelo. Gemini: controles empresariales avanzados. La elección debe alinearse con el perfil de riesgo y políticas de compliance de la organización.
④ Interactividad
① 3.4 · Comparativa y Criterios de Adopción Responsable
| Herramienta | Seg. nativa | Open Source | On-Premise | Privacidad datos |
|---|---|---|---|---|
| GitHub Copilot | ✗ No | ✗ | ✗ | ⚠ Enterprise sí |
| ChatGPT | ✗ No | ✗ | ✗ | ⚠ API/Enterprise sí |
| CodeWhisperer | ✓ Real-time | ✗ | ✗ | ✓ Sí |
| Tabnine | ⚠ Parcial | ✗ | ✓ Sí | ✓ Sí |
| StarCoder | ✗ No | ✓ Sí | ✓ Sí | ✓ Sí |
| Gemini Code Assist | ⚠ GCP | ✗ | ✗ | ⚠ Enterprise sí |
Conclusión del módulo: La herramienta no es el único determinante del riesgo — el proceso que la rodea lo es. Copilot + revisión rigurosa puede ser más seguro que CodeWhisperer sin proceso de validación (Negri-Ribalta et al., 2024, p. 15).
② Pantalla 19
⑤ Voces y Audios
🎙️
Avatar del docente
Pendiente grabación
📝 Guión del avatar
"Para cerrar el Módulo 3, tienen la tabla comparativa completa: verde significa que la herramienta cumple el criterio, rojo que no, amarillo parcial. CodeWhisperer, Tabnine y StarCoder tienen los mejores perfiles. Pero recuerden la conclusión más importante: la herramienta no es el único determinante del riesgo — el proceso que la rodea lo es. Cuatro criterios para adopción responsable: verifiquen la política de privacidad del código, integren SAST desde el IDE, prefieran modelos con entrenamiento seguro, y establezcan revisión humana obligatoria. ¡Ahora sí, vayan a la evaluación!"
⑥ Descripción
Tabla comparativa 6 herramientas × 4 criterios. Verde=cumple, rojo=no, amarillo=parcial. Fuentes: Negri-Ribalta et al. (2024); He & Vechev (2023) — SVEN.
Texto contenido
4 criterios de adopción responsable: (1) Verificar política de privacidad del código; (2) Integrar SAST externo o preferir análisis nativo; (3) Verificar entrenamiento con SVEN (He & Vechev, 2023); (4) Revisión humana obligatoria por desarrollador senior con conocimientos de seguridad.
④ Interactividad