개발자가 첫 번째 위험 또는 방어 선입니까? 안전한 코딩 검사 목록에 대해 회사 평가
어떤 조직, 공공 또는 상업적 을 보면 우리가 보장 할 수있는 두 가지가 있습니다. 첫째, 제품 및 서비스는 점점 디지털화되어 있으며, 이는 소프트웨어 개발자가 코드 라인을 만드는 것을 포함한다는 것을 의미합니다. 둘째, 이러한 디지털 비즈니스는 보다 역동적이고 글로벌한 세계에서 운영되는 전통적이고 비전통적인 경쟁업체로부터 압박을 받고 있습니다.
이러한 환경에서 CIO는 새로운 혁신가가 되었으며 힘과 영향력의 위치에 있습니다. 그러나 시장 간 속도를 가속화하고 품질을 향상시키며 유연성을 높이라는 강한 압박은 복잡하고 분산된 개발 팀으로 이어졌으며, 이러한 취약점을 인식하지 않고 기능과 기능을 빠르게 개발하는 데 중점을 두었습니다.
그 어느 때보다도 새로운 작업 방식이 필요합니다. 당신은 안전하지 않은 코딩의 결과였다 최근의 위반 후 Equifax에서 핵 피해를 볼 필요가있다. CIO와 CIS는 개발 팀이 첫 번째 위험 라인인지, 아니면 회사의 진정한 "첫 번째 방어 선"인 회사의 보안 챔피언인지 에 대해 신중하게 생각해야 합니다.
CIO와 CIO가 개발 팀을 더 빠르고 더 우수하며 안전한 코드로 혁신하는 데 도움이 되는 안전한 코딩 챔피언으로 설정했는지 여부를 고려할 수 있도록 이 보안 코딩 체크리스트를 만들었습니다.
1. C-level 임원이 기존의 네트워크 보안만으로는 충분하지 않다는 것을 인식합니까?
기존의 보안 조치를 사용하여 네트워크 계층을 보호하는 것은 더 이상 충분하지 않으며 세미 프로 해커에 대해서도 성공하지 못했습니다. 많은 동시 보고서 중, Verizon의 2017 데이터 유출 조사 보고서 사이트는 오늘날 데이터 유출의 35 %가 웹 응용 프로그램 취약점으로 인해 발생합니다. 웹 응용 프로그램 보안은 네트워크 보안만큼이나 중요합니다.
2. 처음부터 보안에 대해 생각하고 있습니까?
현재 응용 프로그램 보안 도구는 소프트웨어 개발 수명 주기(SDLC)에서 오른쪽에서 왼쪽으로 이동하는 데 중점을 둡니다. 이 방법은 탐지 및 반응을 지원하므로 보안 팀은 서면 코드의 취약점을 감지하고 이를 수정하는 데 반응합니다. 국립 표준 기술 연구소 (NIST)에 따르면, IDE에서 코드를 작성할 때 이를 방지하는 것보다 커밋된 코드의 취약점을 감지하고 수정하는 데 30 배 더 비쌉니다. 문제 해결시 발생하는 시간 지연은 말할 것도 없습니다. 보안 코드 챔피언은 SDLC의 극단적인 왼쪽에서 시작하여 개발자를 보안 코딩으로 지속적으로 교육하는 데 중점을 두므로 조직의 첫 번째 방어 선이 되어 애초에 취약점을 방지할 수 있습니다.
3. 실제로 지식만 먹이는 대신 보안 기술을 구축합니까?
대부분의 교육 솔루션(온라인 및 교실 내)은 기술을 구축하는 대신 지식을 구축하는 데 중점을 둡니다. 개발자가 보안 코드를 작성하려면 보안 코딩 기술을 배우고 구축하기 위해 적극적으로 참여하는 실습 학습에 정기적으로 액세스해야 합니다. 최근에 식별된 취약점, 실제 코드 및 자체 언어/프레임워크에 대해 배워야 합니다. 이 학습 환경은 코드에서 알려진 취약점을 찾고, 식별하고, 해결하는 방법을 이해하는 데 도움이 됩니다.
4. 실시간 메트릭으로 보안 코딩 기술을 측정합니까?
개발자와 그녀의 조직에 개발자의 안전한 코딩 기술이 향상되고 있음을 증명하는 증거를 만드는 것이 중요합니다. 측정할 수 없는 것을 개선할 수 없습니다. 평가는 개발 팀의 진행 상황을 실시간으로 파악하고 안전한 코딩 강점과 약점을 벤치마킹하는 데 도움이 됩니다.
5. 아웃소싱 공급업체가 안전한 코딩 기술을 적용하고 있습니까?
많은 조직이 대형 육상 또는 해양 개발 주택에 개발 작업을 계약하기로 결정합니다. 가장 좋은 경우, 조직이 보안에 요청하는 유일한 형태의 보증은 결과물이 "보안"되어야 한다는 계약서의 진술입니다. 실제로 좋은 보안 코딩 관행을 따르지 않는 소프트웨어로 이러한 개발 하우스의 기술을 선불로 검증하는 사람은 거의 없습니다. 최악의 시나리오는 그들에 대해 모르고 응용 프로그램과 함께 라이브 이동한다는 것입니다. 가장 일반적인 시나리오는 전담 전문가(지불하는)에 의해 포착되고 이동-라이브지연, 이러한 보안 약점을 해결하기 위해 지불해야 하는 사람에 대한 계약상의 논의에 직면하게 된다는 것입니다. 선불로 스마트하게 하고 다음 응용 프로그램을 부리려는 개발자의 응용 프로그램 보안 기술을 평가하십시오.
6. 개발자가 가장 일반적인 보안 약점을 알고 있습니까?
악용된 웹 응용 프로그램 취약점의 85.5%는 알려진 10개의 취약점 "OWASP Top 10"에 불과합니다. 응용 프로그램 보안 교육은 최소한 더 많은 취약점 유형을 다루어야 합니다. 개발자가 완료한 과제는 새로운 코딩 프레임워크 또는 새로운 취약점 유형에 대한 새로운 과제로 지속적으로 수정및 업데이트해야 합니다.
7. 사내 보안 챔피언이 있습니까?
개발자가 많은 모든 조직은 개발 팀 내에서 보안을 옹호하려는 사람에 투자해야 합니다. 그들의 목적은 보안과 관련된 질문이있는 모든 사람에게 지원 지점이 될 뿐만 아니라 팀 내에서 안전한 코딩 및 보안 아키텍처 관행을 옹호하는 것입니다.
8. 개발자가 안전한 코딩을 쉽게 할 수 있도록 도구에 투자했습니까?
응용 프로그램에 대한 많은 변경 사항이 있거나 민첩한 개발이 실행되는 환경에서는 속도와 볼륨을 따라잡기 위해 보안 부분을 자동화하는 것이 필수적입니다. 개발 수명 주기의 각 단계에서 는 고문, 품질 게이트 또는 탐지 도구역할을 할 도구가 있습니다. 개발자가 코드를 작성하는 동안 특정 유형의 보안 버그에 초점을 맞추고 맞춤법 검사기처럼 행동하는 IDE PlugIns가 있어야 합니다. 코드가 코드 리포지토리에 제출될 때 특정 유형의 약점을 감지하는 빌드 프로세스와 통합되는 도구도 있습니다. 소프트웨어가 생산되면 해킹 기술을 시뮬레이션하여 코드를 통해 자동화된 테스트를 실행하는 도구도 있습니다. 모든 사람은 자신의 이점과 과제를 가지고 있으며, 아무도 보안 문제가 없는 100% 보장을 제공할 수 없습니다. 황금률, 약점을 포착할 수 있는 더 일찍, 더 빠르고 저렴한 것은 비즈니스에 미치는 영향이 가장 적은 약점을 해결하는 것입니다.
CIO가 엔터프라이즈 민첩한 기능을 적극적으로 구축함에 따라 안전한 코딩 기술은 혁신의 무기가 될 것이며 이를 갖지 않는 것은 파괴의 도구가 될 것입니다. 이 중요한 기능을 건너뛰기 전에 두 번 생각하십시오.
조직에서 이 검사 목록에 어떻게 반대했습니까?
CIO가 엔터프라이즈 민첩한 기능을 적극적으로 구축함에 따라 안전한 코딩 기술은 혁신의 무기가 될 것이며 이를 갖지 않는 것은 파괴의 도구가 될 것입니다. 이 중요한 기능을 건너뛰기 전에 두 번 생각하십시오.
피터 다뉴
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
개발자가 첫 번째 위험 또는 방어 선입니까? 안전한 코딩 검사 목록에 대해 회사 평가
어떤 조직, 공공 또는 상업적 을 보면 우리가 보장 할 수있는 두 가지가 있습니다. 첫째, 제품 및 서비스는 점점 디지털화되어 있으며, 이는 소프트웨어 개발자가 코드 라인을 만드는 것을 포함한다는 것을 의미합니다. 둘째, 이러한 디지털 비즈니스는 보다 역동적이고 글로벌한 세계에서 운영되는 전통적이고 비전통적인 경쟁업체로부터 압박을 받고 있습니다.
이러한 환경에서 CIO는 새로운 혁신가가 되었으며 힘과 영향력의 위치에 있습니다. 그러나 시장 간 속도를 가속화하고 품질을 향상시키며 유연성을 높이라는 강한 압박은 복잡하고 분산된 개발 팀으로 이어졌으며, 이러한 취약점을 인식하지 않고 기능과 기능을 빠르게 개발하는 데 중점을 두었습니다.
그 어느 때보다도 새로운 작업 방식이 필요합니다. 당신은 안전하지 않은 코딩의 결과였다 최근의 위반 후 Equifax에서 핵 피해를 볼 필요가있다. CIO와 CIS는 개발 팀이 첫 번째 위험 라인인지, 아니면 회사의 진정한 "첫 번째 방어 선"인 회사의 보안 챔피언인지 에 대해 신중하게 생각해야 합니다.
CIO와 CIO가 개발 팀을 더 빠르고 더 우수하며 안전한 코드로 혁신하는 데 도움이 되는 안전한 코딩 챔피언으로 설정했는지 여부를 고려할 수 있도록 이 보안 코딩 체크리스트를 만들었습니다.
1. C-level 임원이 기존의 네트워크 보안만으로는 충분하지 않다는 것을 인식합니까?
기존의 보안 조치를 사용하여 네트워크 계층을 보호하는 것은 더 이상 충분하지 않으며 세미 프로 해커에 대해서도 성공하지 못했습니다. 많은 동시 보고서 중, Verizon의 2017 데이터 유출 조사 보고서 사이트는 오늘날 데이터 유출의 35 %가 웹 응용 프로그램 취약점으로 인해 발생합니다. 웹 응용 프로그램 보안은 네트워크 보안만큼이나 중요합니다.
2. 처음부터 보안에 대해 생각하고 있습니까?
현재 응용 프로그램 보안 도구는 소프트웨어 개발 수명 주기(SDLC)에서 오른쪽에서 왼쪽으로 이동하는 데 중점을 둡니다. 이 방법은 탐지 및 반응을 지원하므로 보안 팀은 서면 코드의 취약점을 감지하고 이를 수정하는 데 반응합니다. 국립 표준 기술 연구소 (NIST)에 따르면, IDE에서 코드를 작성할 때 이를 방지하는 것보다 커밋된 코드의 취약점을 감지하고 수정하는 데 30 배 더 비쌉니다. 문제 해결시 발생하는 시간 지연은 말할 것도 없습니다. 보안 코드 챔피언은 SDLC의 극단적인 왼쪽에서 시작하여 개발자를 보안 코딩으로 지속적으로 교육하는 데 중점을 두므로 조직의 첫 번째 방어 선이 되어 애초에 취약점을 방지할 수 있습니다.
3. 실제로 지식만 먹이는 대신 보안 기술을 구축합니까?
대부분의 교육 솔루션(온라인 및 교실 내)은 기술을 구축하는 대신 지식을 구축하는 데 중점을 둡니다. 개발자가 보안 코드를 작성하려면 보안 코딩 기술을 배우고 구축하기 위해 적극적으로 참여하는 실습 학습에 정기적으로 액세스해야 합니다. 최근에 식별된 취약점, 실제 코드 및 자체 언어/프레임워크에 대해 배워야 합니다. 이 학습 환경은 코드에서 알려진 취약점을 찾고, 식별하고, 해결하는 방법을 이해하는 데 도움이 됩니다.
4. 실시간 메트릭으로 보안 코딩 기술을 측정합니까?
개발자와 그녀의 조직에 개발자의 안전한 코딩 기술이 향상되고 있음을 증명하는 증거를 만드는 것이 중요합니다. 측정할 수 없는 것을 개선할 수 없습니다. 평가는 개발 팀의 진행 상황을 실시간으로 파악하고 안전한 코딩 강점과 약점을 벤치마킹하는 데 도움이 됩니다.
5. 아웃소싱 공급업체가 안전한 코딩 기술을 적용하고 있습니까?
많은 조직이 대형 육상 또는 해양 개발 주택에 개발 작업을 계약하기로 결정합니다. 가장 좋은 경우, 조직이 보안에 요청하는 유일한 형태의 보증은 결과물이 "보안"되어야 한다는 계약서의 진술입니다. 실제로 좋은 보안 코딩 관행을 따르지 않는 소프트웨어로 이러한 개발 하우스의 기술을 선불로 검증하는 사람은 거의 없습니다. 최악의 시나리오는 그들에 대해 모르고 응용 프로그램과 함께 라이브 이동한다는 것입니다. 가장 일반적인 시나리오는 전담 전문가(지불하는)에 의해 포착되고 이동-라이브지연, 이러한 보안 약점을 해결하기 위해 지불해야 하는 사람에 대한 계약상의 논의에 직면하게 된다는 것입니다. 선불로 스마트하게 하고 다음 응용 프로그램을 부리려는 개발자의 응용 프로그램 보안 기술을 평가하십시오.
6. 개발자가 가장 일반적인 보안 약점을 알고 있습니까?
악용된 웹 응용 프로그램 취약점의 85.5%는 알려진 10개의 취약점 "OWASP Top 10"에 불과합니다. 응용 프로그램 보안 교육은 최소한 더 많은 취약점 유형을 다루어야 합니다. 개발자가 완료한 과제는 새로운 코딩 프레임워크 또는 새로운 취약점 유형에 대한 새로운 과제로 지속적으로 수정및 업데이트해야 합니다.
7. 사내 보안 챔피언이 있습니까?
개발자가 많은 모든 조직은 개발 팀 내에서 보안을 옹호하려는 사람에 투자해야 합니다. 그들의 목적은 보안과 관련된 질문이있는 모든 사람에게 지원 지점이 될 뿐만 아니라 팀 내에서 안전한 코딩 및 보안 아키텍처 관행을 옹호하는 것입니다.
8. 개발자가 안전한 코딩을 쉽게 할 수 있도록 도구에 투자했습니까?
응용 프로그램에 대한 많은 변경 사항이 있거나 민첩한 개발이 실행되는 환경에서는 속도와 볼륨을 따라잡기 위해 보안 부분을 자동화하는 것이 필수적입니다. 개발 수명 주기의 각 단계에서 는 고문, 품질 게이트 또는 탐지 도구역할을 할 도구가 있습니다. 개발자가 코드를 작성하는 동안 특정 유형의 보안 버그에 초점을 맞추고 맞춤법 검사기처럼 행동하는 IDE PlugIns가 있어야 합니다. 코드가 코드 리포지토리에 제출될 때 특정 유형의 약점을 감지하는 빌드 프로세스와 통합되는 도구도 있습니다. 소프트웨어가 생산되면 해킹 기술을 시뮬레이션하여 코드를 통해 자동화된 테스트를 실행하는 도구도 있습니다. 모든 사람은 자신의 이점과 과제를 가지고 있으며, 아무도 보안 문제가 없는 100% 보장을 제공할 수 없습니다. 황금률, 약점을 포착할 수 있는 더 일찍, 더 빠르고 저렴한 것은 비즈니스에 미치는 영향이 가장 적은 약점을 해결하는 것입니다.
CIO가 엔터프라이즈 민첩한 기능을 적극적으로 구축함에 따라 안전한 코딩 기술은 혁신의 무기가 될 것이며 이를 갖지 않는 것은 파괴의 도구가 될 것입니다. 이 중요한 기능을 건너뛰기 전에 두 번 생각하십시오.
조직에서 이 검사 목록에 어떻게 반대했습니까?
CIO가 엔터프라이즈 민첩한 기능을 적극적으로 구축함에 따라 안전한 코딩 기술은 혁신의 무기가 될 것이며 이를 갖지 않는 것은 파괴의 도구가 될 것입니다. 이 중요한 기능을 건너뛰기 전에 두 번 생각하십시오.
