하나의 보안 문화: 민첩한 보안 코드 학습으로 보안 챔피언 프로그램을 구축한 Sage의 사례
Sage는 급여, 인사 및 재무를 위해 간단하고 사용하기 쉬운 소프트웨어와 서비스를 기업에 제공하는 영국의 다국적 기업용 소프트웨어 회사입니다. 2017년 기준 영국에서 두 번째로 큰 기술 기업이자 세계에서 세 번째로 큰 전사적 자원 관리 소프트웨어 공급업체이며, 전 세계 600만 명 이상의 고객을 보유한 최대 규모의 중소기업 공급업체입니다.
상황
Secure Code Warrior 와 협력하기 전에 Sage는 약 10년간 보안 챔피언 네트워크의 윤곽을 잡기 시작했습니다. 보안에 중점을 둔 개발자로 구성된 강력한 네트워크에도 불구하고 교육은 산발적으로 이루어졌고 위험 감소에 초점을 맞춘 구조화되어 있지 않았습니다.
Sage는 유연한 접근 방식으로 장기간에 걸쳐 관계를 구축하고 보안을 내장하는 데 시간을 투자하는 것이 중요하다는 것을 인식했습니다. Sage의 프로그램은 목표를 위험 감소와 해당 프로그램의 실질적인 영향에 연결했습니다. 특정 사업부와 함께 프로그램을 시범 운영할 때는 위험 감소를 측정하고 이를 다시 비즈니스에 재생하여 개발자와 고위 경영진의 동의를 얻는 방법에 중점을 두었습니다.
액션
Sage의 사람 중심 보안 책임자인 매즈 하워드는 보안 챔피언의 페르소나를 이해하기 위해 개발자들과 협력했습니다. 그녀는 각 사업부의 개발자를 만나 인터뷰를 진행하여 무엇이 개발자에게 동기를 부여하는지, 어떤 방식으로 학습하는 것을 좋아하는지, 업무에서 어떤 한계를 느끼는지 파악했습니다. 그녀와 그녀의 팀은 개발자 및 팀 리더와 관계를 구축하기 위해 노력했으며, 접근 방식에 있어 유연성을 갖는 것이 중요하다고 강조했습니다.
Mads는 관계 구축 접근 방식을 강조합니다,
"스프린트 주기 동안 교육에 소요되는 시간을 통제하는 사람들인 개발 팀 리더, 엔지니어링 팀 리더, 제품 관리자와의 관계를 구축하는 데 많은 시간을 할애했습니다."
매즈에 따르면, 보안 챔피언 네트워크를 확장하는 것으로 결론이 났습니다,
"보안 챔피언 네트워크는 이 프로그램의 핵심 통제 수단으로 여겨져 왔습니다. 따라서 제품이 이 프로그램을 통과하기 위해서는 보안 챔피언의 역할을 진지하게 받아들이고 이들에게 탄탄한 보안 교육을 제공해야 했습니다."
Sage의 글로벌 보안 팀의 목표는 복잡한 기술 환경에서 개발자의 학습 요구 사항을 고려한 보안 제어 프로그램을 구현하고 기존 보안 도구와 함께 작동하여 취약성 관리를 지원하는 파트너를 선택하는 것이었습니다.
교육이 성숙한 보안 제어 프로그램의 중요한 측면으로 인식되는 것이 중요했습니다. 그들은 교육을 통해 위험 감소를 측정하는 데 집중했습니다:
- 위험 점수 개선
- 취약점 백로그의 취약점 수명 감소
- 해결 시간
- 폐쇄형 취약점 대 개방형 취약점 없음
- Sage 작성 코드의 줄당 이슈 수(타사 제외)
마스를 위해,
"Sage의 다음 단계는 개발자 워크플로우에 내장된 안전한 코딩 프로그램을 통해 업스킬링하면 측정 가능한 위험 감소 효과를 얻을 수 있음을 입증하는 것입니다."
결과
매즈는 자신과 팀에 제공한 파트너십과 가이드( Secure Code Warrior )의 중요성을 강조했습니다,
"솔직히 말해서 Secure Code Warrior 의 지원이 없었다면 다양한 기술 계층이나 개발팀 측면에서 이 정도 수준의 완성도를 갖춘 프로그램을 구축할 수 없었을 것입니다."
매즈와 그녀의 팀은 인터뷰를 완료하고 개발자의 동의를 얻은 후, 더 광범위한 보안 문화 프로그램의 일환으로 Secure Code Warrior 을 구현하기 시작했습니다.
매즈에 따르면 그 결과는 다음과 같습니다,
"Sage에는 현재 200명 이상의 보안 챔피언이 프로그램에 등록되어 있으며, 보안 챔피언이 일주일에 3.5시간(또는 업무 시간의 10%)을 기술 구축에 할애하는 경우 보안 코딩 프로그램을 옹호하고, 지속적인 교육을 옹호하고, 이 프로그램이 제공하는 가치를 옹호할 수 있습니다."
위험 감소에 대한 고위 리더의 동의와 측정 가능한 목표를 통해 Mads는 플랫폼 사용자 수와 플레이 시간뿐만 아니라 취약점 수정 시간, 취약점 수명, 고객을 위해 구축된 새로운 기능과 비교하여 취약점 감소에 대한 전체적인 관점을 제공하기 위해 성공을 측정하기 시작할 수 있었습니다. 한 팀의 경우 취약점을 수정하는 데 걸리는 평균 시간이 82% 감소하는 등 그 영향이 매우 컸습니다..
그러나 하워드는 더 중요한 것은 정량화할 수 없는 것, 즉 프로그램에 참여하려는 팀의 참여와 헌신, 의지가 중요하다고 덧붙였습니다.
주요 내용
Sage의 경험은 잘 계획되고 실행된 보안 교육의 관련성, 유연하고 통합된 접근 방식의 중요성을 강조하며, 이는 강력하고 안전한 코딩 프로그램을 목표로 하는 모든 조직이 배울 가치가 있는 교훈입니다. 매즈에 따르면 개발자와 대립하는 것이 아니라 개발자와 협력하는 것이 성공적인 보안 제어 프로그램을 구현하고 보안을 회사 문화에 포함시키는 열쇠라는 점을 기억하는 것이 중요하다고 합니다.
- 보안 문화 조성은 하루아침에 이루어지지 않습니다. 오랜 기간에 걸쳐 관계를 구축하고 보안을 내재화하는 데 시간을 투자하고 리소스를 투입하는 것이 중요합니다.
- 모든 것을 위험 감소로 연결하고 보안 코딩 프로그램의 실질적인 영향에 집중하세요.
- 이러한 위험 감소를 측정하여 비즈니스에 다시 적용하는 방법에 집중하여 개발자와 고위 경영진 모두에게 프로그램이 영향력 있고 성공적인 것으로 인식되도록 하세요.
보안 챔피언이 되고자 하는 개발자를 위해 그녀와 그녀의 팀은 다음과 같은 조언도 제공했습니다:
- 주변에 보안에 관심이 있는 사람들과 네트워크를 구축하고 컨퍼런스 및 강연에 참여하세요. 관심 있는 주제에 대해 배우는 데 시간을 투자하세요.
- 조직의 문화는 하루아침에 바뀌지 않으며, 발전하고 성숙하는 데 시간이 걸린다는 점을 명심하세요.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
하나의 보안 문화: 민첩한 보안 코드 학습으로 보안 챔피언 프로그램을 구축한 Sage의 사례
Sage는 급여, 인사 및 재무를 위해 간단하고 사용하기 쉬운 소프트웨어와 서비스를 기업에 제공하는 영국의 다국적 기업용 소프트웨어 회사입니다. 2017년 기준 영국에서 두 번째로 큰 기술 기업이자 세계에서 세 번째로 큰 전사적 자원 관리 소프트웨어 공급업체이며, 전 세계 600만 명 이상의 고객을 보유한 최대 규모의 중소기업 공급업체입니다.
상황
Secure Code Warrior 와 협력하기 전에 Sage는 약 10년간 보안 챔피언 네트워크의 윤곽을 잡기 시작했습니다. 보안에 중점을 둔 개발자로 구성된 강력한 네트워크에도 불구하고 교육은 산발적으로 이루어졌고 위험 감소에 초점을 맞춘 구조화되어 있지 않았습니다.
Sage는 유연한 접근 방식으로 장기간에 걸쳐 관계를 구축하고 보안을 내장하는 데 시간을 투자하는 것이 중요하다는 것을 인식했습니다. Sage의 프로그램은 목표를 위험 감소와 해당 프로그램의 실질적인 영향에 연결했습니다. 특정 사업부와 함께 프로그램을 시범 운영할 때는 위험 감소를 측정하고 이를 다시 비즈니스에 재생하여 개발자와 고위 경영진의 동의를 얻는 방법에 중점을 두었습니다.
액션
Sage의 사람 중심 보안 책임자인 매즈 하워드는 보안 챔피언의 페르소나를 이해하기 위해 개발자들과 협력했습니다. 그녀는 각 사업부의 개발자를 만나 인터뷰를 진행하여 무엇이 개발자에게 동기를 부여하는지, 어떤 방식으로 학습하는 것을 좋아하는지, 업무에서 어떤 한계를 느끼는지 파악했습니다. 그녀와 그녀의 팀은 개발자 및 팀 리더와 관계를 구축하기 위해 노력했으며, 접근 방식에 있어 유연성을 갖는 것이 중요하다고 강조했습니다.
Mads는 관계 구축 접근 방식을 강조합니다,
"스프린트 주기 동안 교육에 소요되는 시간을 통제하는 사람들인 개발 팀 리더, 엔지니어링 팀 리더, 제품 관리자와의 관계를 구축하는 데 많은 시간을 할애했습니다."
매즈에 따르면, 보안 챔피언 네트워크를 확장하는 것으로 결론이 났습니다,
"보안 챔피언 네트워크는 이 프로그램의 핵심 통제 수단으로 여겨져 왔습니다. 따라서 제품이 이 프로그램을 통과하기 위해서는 보안 챔피언의 역할을 진지하게 받아들이고 이들에게 탄탄한 보안 교육을 제공해야 했습니다."
Sage의 글로벌 보안 팀의 목표는 복잡한 기술 환경에서 개발자의 학습 요구 사항을 고려한 보안 제어 프로그램을 구현하고 기존 보안 도구와 함께 작동하여 취약성 관리를 지원하는 파트너를 선택하는 것이었습니다.
교육이 성숙한 보안 제어 프로그램의 중요한 측면으로 인식되는 것이 중요했습니다. 그들은 교육을 통해 위험 감소를 측정하는 데 집중했습니다:
- 위험 점수 개선
- 취약점 백로그의 취약점 수명 감소
- 해결 시간
- 폐쇄형 취약점 대 개방형 취약점 없음
- Sage 작성 코드의 줄당 이슈 수(타사 제외)
마스를 위해,
"Sage의 다음 단계는 개발자 워크플로우에 내장된 안전한 코딩 프로그램을 통해 업스킬링하면 측정 가능한 위험 감소 효과를 얻을 수 있음을 입증하는 것입니다."
결과
매즈는 자신과 팀에 제공한 파트너십과 가이드( Secure Code Warrior )의 중요성을 강조했습니다,
"솔직히 말해서 Secure Code Warrior 의 지원이 없었다면 다양한 기술 계층이나 개발팀 측면에서 이 정도 수준의 완성도를 갖춘 프로그램을 구축할 수 없었을 것입니다."
매즈와 그녀의 팀은 인터뷰를 완료하고 개발자의 동의를 얻은 후, 더 광범위한 보안 문화 프로그램의 일환으로 Secure Code Warrior 을 구현하기 시작했습니다.
매즈에 따르면 그 결과는 다음과 같습니다,
"Sage에는 현재 200명 이상의 보안 챔피언이 프로그램에 등록되어 있으며, 보안 챔피언이 일주일에 3.5시간(또는 업무 시간의 10%)을 기술 구축에 할애하는 경우 보안 코딩 프로그램을 옹호하고, 지속적인 교육을 옹호하고, 이 프로그램이 제공하는 가치를 옹호할 수 있습니다."
위험 감소에 대한 고위 리더의 동의와 측정 가능한 목표를 통해 Mads는 플랫폼 사용자 수와 플레이 시간뿐만 아니라 취약점 수정 시간, 취약점 수명, 고객을 위해 구축된 새로운 기능과 비교하여 취약점 감소에 대한 전체적인 관점을 제공하기 위해 성공을 측정하기 시작할 수 있었습니다. 한 팀의 경우 취약점을 수정하는 데 걸리는 평균 시간이 82% 감소하는 등 그 영향이 매우 컸습니다..
그러나 하워드는 더 중요한 것은 정량화할 수 없는 것, 즉 프로그램에 참여하려는 팀의 참여와 헌신, 의지가 중요하다고 덧붙였습니다.
주요 내용
Sage의 경험은 잘 계획되고 실행된 보안 교육의 관련성, 유연하고 통합된 접근 방식의 중요성을 강조하며, 이는 강력하고 안전한 코딩 프로그램을 목표로 하는 모든 조직이 배울 가치가 있는 교훈입니다. 매즈에 따르면 개발자와 대립하는 것이 아니라 개발자와 협력하는 것이 성공적인 보안 제어 프로그램을 구현하고 보안을 회사 문화에 포함시키는 열쇠라는 점을 기억하는 것이 중요하다고 합니다.
- 보안 문화 조성은 하루아침에 이루어지지 않습니다. 오랜 기간에 걸쳐 관계를 구축하고 보안을 내재화하는 데 시간을 투자하고 리소스를 투입하는 것이 중요합니다.
- 모든 것을 위험 감소로 연결하고 보안 코딩 프로그램의 실질적인 영향에 집중하세요.
- 이러한 위험 감소를 측정하여 비즈니스에 다시 적용하는 방법에 집중하여 개발자와 고위 경영진 모두에게 프로그램이 영향력 있고 성공적인 것으로 인식되도록 하세요.
보안 챔피언이 되고자 하는 개발자를 위해 그녀와 그녀의 팀은 다음과 같은 조언도 제공했습니다:
- 주변에 보안에 관심이 있는 사람들과 네트워크를 구축하고 컨퍼런스 및 강연에 참여하세요. 관심 있는 주제에 대해 배우는 데 시간을 투자하세요.
- 조직의 문화는 하루아침에 바뀌지 않으며, 발전하고 성숙하는 데 시간이 걸린다는 점을 명심하세요.
