Secure Code Warrior 에서 개발자와 조직이 끊임없이 변화하는 오늘날의 보안 문제를 해결할 수 있는 올바른 기술을 갖추도록 지원하기 위해 끊임없이 혁신하고 있습니다. 

조직이 소프트웨어 개발 주기를 시작할 때 개발자 중심의 보안을 통해 소프트웨어를 보호할 수 있도록 Dropbox 플랫폼의 주요 기능 및 업데이트와 올해 발표된 리소스 및 가이드라인을 정리했습니다.

2022년 하이라이트

2022년은 보안 코드 학습에 있어 중요한 해였습니다. 다음은 learning platform 의 범위와 규모를 보여주기 위해 사용자로부터 가져온 몇 가지 지표입니다.

‍

2022년은 중요한 한 해였는데요, 몇 가지 주요 하이라이트를 살펴보겠습니다!

2022년 인기 출시작

곧 출시됩니다: 코딩 랩

코딩 랩을 통해 개발자는 브라우저 내에서 완전히 지원되는 유일무이한 IDE에서 실습을 통해 보안 코딩 기술을 향상시킬 수 있습니다. 익숙한 환경에서 교육함으로써 새로운 기술을 배우는 것부터 실제 코드에 적용하고 취약점을 사전에 예방하는 것까지 그 어느 때보다 쉽게 진행할 수 있습니다.

코딩 랩은 현재 고객에게 미리 보기로 제공되며, SCW 담당자에게 문의하여 자세히 알아보세요. 자세히 알아보기 아직 액세스하지 않은 경우 자세한 내용을 알아보세요.

SCORM LMS 통합

SCORM은 e-courses 의 국제 표준입니다. 코스가 SCORM 형식으로 게시된 경우 거의 모든 학습 관리 시스템(LMS)에서 이를 인식할 수 있습니다.

관리자는 SCORM LMS 통합을 통해 보안 코드 교육 프로그램을 다른 교육 플랫폼과 함께 한 곳에서 쉽게 관리할 수 있으므로 시간을 절약하고 교육 프로그램을 개선할 수 있는 더 효과적인 방법에 집중하는 등 중요한 일에 집중할 수 있습니다. 

Secure Code Warrior Okta 워크플로우용 커넥터 

이 통합 기능은 플로우에 내장할 수 있는 강력한 보안 숙련도 검사를 통해 코드베이스에 안전하지 않은 코드가 도입되는 것을 방지하는 데 도움이 됩니다. 

GitHub 리포지토리와 같은 코드 베이스에서 작업할 때 코드 베이스에서 코딩하기 위한 필수 교육 및 평가를 자격 조건으로 설정할 수 있습니다. 이를 통해 리더는 각 개발자가 관련 코드 베이스에서 작업할 준비가 되었는지 확인할 수 있으므로 전체 조직의 보안 태세를 강화하는 데 도움이 됩니다. 

Okta + SCW에 대해 자세히 알아보기 

여기에서 데모 보기 

개발자 생산성 및 활성화에 관한 이 웨비나에서 코딩 랩에 대해 자세히 알아보고 라이브 데모를 확인하세요.

블로그의 새로운 소식을 확인하세요.

제품토크에서 Okta 데모 및 기타 통합 기능을 확인하세요. 

뉴스에 나온 취약점 

Secure Code Warrior 는 주요 취약점에 대한 신속한 대응을 제공하여 상황과 조치 사항을 파악할 수 있도록 합니다. 또한, 가능한 경우 메커니즘을 직접 경험할 수 있는 시뮬레이션을 만들어 향후 위협으로부터 애플리케이션을 더 잘 보호할 수 있도록 지원합니다. 

2022년은 취약점과 공격이 기승을 부리는 다사다난한 한 해였습니다. 수백만 개의 애플리케이션을 위험에 빠뜨린 로그4j 취약점부터 수정하는 데 거의 15년이 걸린 파이썬 타르 통과 경로까지. Secure Code Warrior 에서는 이러한 유형의 취약점에 대비할 수 있는 가이드라인과 무료 테스트( missions )를 제공합니다. 

• Log4J 취약점
• 트로이 목마 소스
• 스프링 취약점
• NGINX 및 Microsoft Windows SMB 원격 프로시저 호출 서비스 취약점
• 하드 코딩된 자격 증명
• Python 경로 탐색 버그

추가 릴리스 및 업데이트 

Secure Code Warrior 에서는 개발자의 수준에 관계없이 개발자가 있는 곳에서 확장 가능하고 참여도 높은 교육을 제공합니다. 6월에는 분기별 ProductTalk 웨비나 시리즈를 시작하여 고객에게 출시하는 모든 흥미로운 내용을 다룹니다.

2022년에는 SCW에서 사용할 수 있는 언어와 콘텐츠가 많이 추가되었으며, 관리자 환경이 크게 개선되고 더 자세한 보고 기능이 추가되었습니다. 

유연하고 다양한 교육

Secure Code Warrior 에는 가장 인기 있는 언어(Java, C++)부터 떠오르는 언어(GO, 타입스크립트 등)까지 63개 이상의 다양한 언어로 된 교육 콘텐츠가 포함되어 있습니다(계속 추가 중). 2022년에는 더 많은 콘텐츠와 언어를 레퍼토리에 추가했습니다. 

• 개발자의 기본 지식과 보안 인식을 구축하는 데 도움이 되는 새로운 OWASP 과정 템플릿을 제공합니다.
• 새로운 언어 - SAP:ABAP SAP:ABAP과 같은 틈새 언어는 개발자가 선호하는 형식(코드 스니펫 및 샘플)으로 제공되는 교육 콘텐츠로 SCW 대우를 받습니다.

간소화된 구성 및 관리

저희는 안전한 코딩 프로그램을 쉽게 배포하고 유지 관리하는 것이 얼마나 중요한지 잘 알고 있습니다. 2022년에는 관리자의 업무를 더 쉽게 만들고 골치 아프지 않고 직관적인 환경을 만들기 위해 의도적으로 많은 부분을 개선했습니다.

• 코스 표 보기 - 이제 여러 개발 팀을 위해 courses 을 더욱 쉽게 생성할 수 있습니다.
• 코스 수정 및 버전 관리 - 관리자는 새 코스를 생성하지 않고도 기존 courses 을 수정하고 기본 코스 버전을 생성할 수 있습니다.
• 대량 작업 - 더 적은 클릭으로 더 많은 작업을 수행하고 모든 언어에 변경 사항을 적용하는 대신 한 곳에서 courses 으로 변경하세요.
• 계속 버튼 - 홈 화면에서 '계속' 버튼을 눌러 Courses 에 접속하면 사용자가 이전에 시작한 모듈을 빠르게 재개할 수 있도록 활동 카드 목록이 표시됩니다.

보고 및 분석

회사 관리자와 팀 관리자에게 조직 전반의 활동을 모니터링하는 것은 개발자의 참여도를 파악하고 교육 프로그램의 성공 여부를 측정하는 데 매우 중요합니다. 팀 또는 개인 수준에서 courses 완료 횟수 및 courses 사용 시간과 같은 주요 메트릭에 액세스하면 더욱 풍부한 교육 프로그램을 구축하기 위해 더욱 전략적인 결정을 내릴 수 있습니다.

• 교육 지표 - 개발자가 플랫폼에서 보낸 시간보다는 교육이 얼마나 잘 진행되고 있는지를 보여주는 지표를 통해 애플리케이션 보안 프로그램의 진행 상황과 성공 여부를 보고합니다.

• Assessment CSV 다운로드 - 한 가지 버전이 아닌 assessment 의 모든 버전이 포함된 CSV 다운로드를 통해 개발자의 강점과 약점을 빠르게 파악하여 전략과 성숙도를 평가할 수 있습니다.

기술 스택 통합

Secure Code Warrior의 통합 접근 방식은 SCW 프로그램을 선호하는 제품 및 개발자의 워크플로에 직접 구축하여 사용자 경험을 개선하고 적시에 수정할 수 있을 뿐만 아니라 학습 결과를 더욱 견고하게 만들 수 있도록 지원합니다. 

• Secure Code Warrior GitHub용 - 상황별 애플리케이션 보안 교육 자료를 SARIF 파일에 추가하거나 이슈 및 풀 리퀘스트 내에 직접 추가하여 GitHub 워크플로 내에서 상황별 교육을 활성화하여 개발자가 가장 필요할 때 지식에 액세스하여 양질의 코드를 더 빠르게 배포할 수 있도록 지원합니다.

SCW+GitHub에 대해 자세히 알아보기 

• Secure Code Warrior GitLab의 경우 - 관련성이 높은 Secure Code Warrior 교육 링크를 GitLab 내 취약성 보고서의 취약성 세부 정보 섹션에 포함하세요. 이를 통해 학습과 지식 적용 사이의 시간 간격을 줄여 향후 활용도를 높일 수 있습니다.

데모 보기

SCW+GitLab에 대해 자세히 알아보기 

• Synopsys Seeker 통합 - Secure Code Warrior 리소스, 비디오 및 교육 링크를 Seeker 내의 취약점 발견에 연결합니다. Synopsys Seeker 내의 마이크로 학습은 Seeker 내에서 쉽게 액세스할 수 있는 교육 지침을 통해 취약점을 식별하고 해결하는 데 도움이 됩니다. 

Synopsys + SCW에 대해 자세히 알아보기

데블림픽 2022

Secure Code Warrior 는 2022년 10월 19일에 두 번째 연례 Devlympics 보안 코딩 대회를 개최했습니다. 작년보다 더 큰 규모로 개최된 데브림픽 2022를 공유하게 되어 자랑스럽습니다! 올해 행사에는 챔피언 또는 얼티밋 워리어 분야에 약 800명의 플레이어와 함께 2910명이 등록했으며, 모든 경험 수준의 개발자가 보안 코딩 기술을 향상하는 데 큰 도움이 되는 성공적인 행사였음이 입증되었습니다. 

24시간 동안 진행된 tournament 에서 전 세계 개발자들은 자신이 선택한 프로그래밍 언어로 공격 및 방어 코딩 챌린지에서 경쟁했습니다. 개발자들은 선택한 언어 내에서 초보자부터 전문가에 이르기까지 다양한 기술 분야에서 동료들과 경쟁할 수 있는 기회를 가졌습니다.

동시에 보안 전문가들이 시큐어 코드 포럼 디스코드 채널에 초대되어 라이브 플레이를 통해 피드백을 공유하고, 농담과 밈을 주고받으며 자세한 내용을 Secure Code Warrior 에서 확인할 수 있었습니다. 

성공에 도움이 되는 리소스 

Secure Code Warrior 는 소프트웨어 엔지니어링 부문의 가트너® 쿨 벤더™에 선정된 4개 기업 중 하나입니다: 개발자 생산성 향상 보고서의 4개 기업 중 하나입니다. 조직이 개발자 생산성을 높이고 보안 위험을 완화하는 데 도움이 되는 혁신적인 솔루션을 제공할 뿐만 아니라, Secure Code Warrior 에서는 개발자 중심 보안의 중요성에 대한 다양한 리소스 및 연구를 발표했습니다. 

개발자 팀의 참여와 의견을 얻는 데 어려움을 겪고 있는 앱 보안 관리자이든, 팀의 보안 태세를 강화하기 위해 노력하는 엔지니어링 관리자이든, 조직에서 개발자 주도 보안을 옹호하는 데 필요한 가이드와 도구가 준비되어 있습니다. 

• 보안 코드 코치 - 개발자가 보안 코딩에 대해 자세히 알아보고 커뮤니티 구성원과 소통할 수 있는 리소스 허브 ↪cf_200D↩
• 백서: 개발자 주도 보안 현황↪CF_200D↩
• 백서: 소프트웨어 보안 개선을 위한 과제
• 보안 코드 교육 청사진
• 개발팀 보안 성숙도를 위한 단계
• 개발자 보안 성숙도 매트릭스
• 개발자 팀에서 보안 성숙도의 중요성
• 보안 성숙도 퀴즈 ↪CF_200D↩
• 개발자 중심 보안을 위한 핸드북 

Secure Code Warrior 체험에 관심이 있지만 아직 계정이 없으신가요? 지금 무료 평가판 계정에 가입하여 시작하세요.

자세한 내용은 영업팀에 문의하세요. 

트위터에서 Secure Code Warrior 팔로우하여 최신 릴리스 및 개선 사항에 대한 업데이트를 받아보세요.

여기까지입니다, 2023년에 뵙겠습니다!

‍

‍