인증된 보안 인식: 개발자를 높이기 위한 행정 명령

게시일: 2021년 5월 20일
작성자: 피터 댄히외
사례 연구

인증된 보안 인식: 개발자를 높이기 위한 행정 명령

게시일: 2021년 5월 20일
작성자: 피터 댄히외
리소스 보기
리소스 보기

신성한 타이밍과 같은 것이 있다면, 바이든 행정부가 연방 네트워크를 강화하고 전국의 사이버 보안 표준과 모범 사례를 개선하려는 미국 정부의 계획을 언급하면서 행정 명령 (EO) 발표로 그것을 못 박았다고 말해야합니다. 이 전략은 최근 두 가지 파괴적인 사이버 공격, 즉 콜로니얼 파이프라인 가스 인프라 공격 외에도 SolarWinds의지속적인 공급망 침해에 따른 것입니다.

이러한 사건은 의심 할 여지없이 정부의 모든 수준에 걸쳐 파문을 야기하지만,이 지침은 사이버 보안의 미래에대한 흥미로운 시간을 표시합니다. 마침내 디지털 존재를 정상에서 보호하는 데 진지하고 있는 것 같고, 지금보다 더 나은 표준과 고품질 소프트웨어를 추진할 더 좋은 시기는 없습니다.

EO는 기능적인 사이버 보안의 여러 측면을 다루지만, 처음으로 개발자의 영향과 보안 기술 및 인식을 검증해야 할 필요성에 대해 구체적으로 설명합니다. 수년 동안 우리는 옥상에서 이것이 우리를 자주 방문하는 일반적인 취약점에 대처하기 위한 길이며, 이러한 접근 방식에 부합하는 정부의 명령은 사이버 방어에서 광범위한 성공을 위한 길이라고 외쳤습니다.

조직과 연방 부처 모두이 명령에 어떻게 대응해야합니까? 일부 주요 범주의 압축을 풀수 있습니다.

'체크 더 박스'는 테이블에서 벗어났습니다. 

우리는 오랫동안 개발자를위한 대부분의 유형의 사이버 보안 교육의 무효성을 지적했습니다. 그것은 종종 너무 일반적, 참여 하 고 원하는 결과 영감을 하는 방식으로 제공 되지 (읽기: 더 안전한 코드), 그리고 훨씬 너무 자주 에 감동. 더 나쁜 것은, 많은 기업들이 "체크 더 박스" 교육에 만족하고 있습니다: 운영 요구 사항을 충족하고 개발자의 이름 옆에 진드기를 얻기 위해 최소한의 "하나 및 완료"기본사항을 제공하는 접근 방식. 이러한 교육 전략은 모든 CISO가 칼 날 위에 손가락을 건너다음 제로 데이 위반의 피해자가 되지 않기를 바라는 것입니다. 그들은 단순히 취약점을 줄이고 더 높은 품질의 코드를 만들기 위해 작동하지 않습니다. 

Biden의 명령 의 4절에서 조직이 개발자가 문서화되고 검증된 보안 규정 준수를 표시했음을 입증해야 합니다.

"지침에는 소프트웨어 보안을 평가하는 데 사용할 수 있는 기준이 포함되어야 하며, 개발자 와 공급업체 자체의 보안 관행을 평가하는 기준을 포함하고, 보안 관행에 부합하는 혁신적인 도구 나 방법을 식별해야 합니다."


현재 개발자와 관련된 업계 표준 인증은 없습니다. 개발자의 안전한 코딩 기술 수준을 벤치마킹하고 courses 이러한 기술을 개선하기 위한 평가는 기업이 목표를 설정하고 규정 준수를 달성할 수 있도록 하는 기본입니다. 개발자가 실용적이고 실용적인 환경에서 핵심 역량을 보여줄 수 있는 경우 의미 있고 신뢰할 수 있는 방식으로 평가하고 인증할 수 있습니다. 그것은 우리의 제공의 핵심입니다. Secure Code Warrior 기술 스택 및 조직 요구 사항에 맞게 사용자 정의할 수 있는 신뢰할 수 있는 인증에 활용할 수 있는 시스템을 만들기 위해 열심히 노력했습니다. 

이러한 기술은 귀중하며 자동화할 수 없습니다. 인증은 개발자를 교활한 위협로부터 코드베이스를 방어할 수 있는 보안 인식 인력으로 전환할 수 있습니다. 

팀을위한 무료 보안 과정을 요구하고 더 많은 것을 배우기위한 버튼이있는 배너

개발자 툴링(및 일반적으로 도구)에 중점을 둡니다.

EO는 보안 코딩 관행을 확인하는 방법에 대한 지침 외에도 보안의 자동화 및 툴링 측면에 대해 깊이 파고들 수 있습니다. 

인간이 보안 관점에서 혼자 처리할 수 있도록 너무 많은 코드가 생성되고 있으며, 광범위한 기술 스택의 일부로 자동화는 모든 보안 프로그램의 주요 부분입니다. 그러나 모든 도구가 동일하게 만들어지는 것은 아니며 모든 프로그래밍 언어로 모든 취약점을 포착하는 "모든 도구를 모두 지배하는 도구"는 없습니다. 훌륭한 보안 프로그램은 특히 개발자가 타겟팅하는 도구 및 서비스에 있어 미묘한 접근 방식을 취합니다.

EO 섹션 3은 연방 정부가 사용할 자격이 있는 소프트웨어를 만드는 공급업체에 대한 기대와 개발 프로세스에서 도구 사용에 대한 유익한 지침을 간략하게 설명합니다.

"(iii) 신뢰할 수 있는 소스 코드 공급망을 유지하기 위해 자동화된 도구 또는 유사한 프로세스를 사용하여 코드의 무결성을 보장합니다.
(iv) 알려진 잠재적 취약점을 확인하고 정기적으로 또는 제품, 버전 또는 업데이트 릴리스 전에 최소한으로 작동해야 하는 자동화된 도구 또는 유사한 프로세스를 사용합니다.
"


개발자 기술 스택의 보안 도구는 보안 모범 사례를 빠른 속도로 개선하는 방법 중 하나이며, 릴리스가 기한을 충족할 수 있는 가장 좋은 기회를 보장하고 보안 버그 및 기타 쇼스토퍼에 의해 유지되지 않습니다. 그러나 문제는 개발자가 가장 강력한 도구를 최대한 활용하기 위해 컨텍스트 학습이 여전히 필요하다는 것입니다. 플래그가 지정된 항목, 위험이유, 이를 해결하는 방법을 이해하기 위해 중요한 역할을 하며, 처음에 식별할 수 있는 도구에 대한 실수가 줄어듭니다. 

최상의 도구는 개발자의 환경과 통합되어 더 높은 품질(보다 안전한) 코드를 생성하고 보안이 미리 유지되도록 지원합니다. 


공급망 을 확보합니다.

EO에서 제가 가장 좋아하는 부분 중 하나는 소프트웨어 공급망을 보호하는 포괄적인 계획입니다. SolarWinds 이벤트를 감안할 때 놀라운 일은 아니지만 중요한 하이라이트입니다.


"연방정부가 사용하는 소프트웨어의 보안은 연방 정부가 중요한 기능을 수행하는 능력에 매우 중요합니다. 상용 소프트웨어의 개발은 종종 투명성이 부족하고, 공격에 저항할 수 있는 소프트웨어의 능력에 충분한 초점을 맞추고, 악의적인 행위자의 변조를 방지하기 위한 적절한 제어가 부족합니다. 제품이 안전하게 작동할 수 있도록 보다 엄격하고 예측 가능한 메커니즘을 구현해야 합니다. 연방 정부는 중요한 소프트웨어 해결을 우선적으로 하여 소프트웨어 공급망의 보안과 무결성을 신속하게 개선하기 위한 조치를 취해야 합니다.


이 판결은 미국 정부와 사업을 하고자하는 모든 소프트웨어 회사에 영향을 미치지만 모든 곳에서 표준으로 적용해야합니다. 보안 조치에 대한 타사 공급업체의 투명성 부족(타사 구성 요소를 사용하는 개발자는 말할 것도 없고)으로 인해 사이버 보안 모범 사례가 이행되고 있음을 평가, 검증 및 선언하기가 매우 어렵습니다. 우리는 우리가 사용하는 공급 업체와 그들이 쓰는 소프트웨어를 분석해야합니다. 이러한 작업은 "추가 마일"로 볼 수 있지만 사이버 보안 모범 사례의 금 본위제에 내재되어야합니다.


자신감을 가지고 보안 코드를 배송하는 것은 오랫동안 우리 업계에서 고통스러웠지만, 이는 현재 프로세스를 평가하고 남은 사람들의 부러움을 주는 강화된 소프트웨어 및 클라우드 인프라에 대한 책임을 이끌 수 있는 완벽한 기회입니다. 지금 저희에게 이야기하고 당신이 활용할 수있는 방법을 알아보십시오 Courses 보안 인식 개발자팀의 다음 팀을 인증하는 평가개발자 도구입니다.

개발 팀의 보안 코딩 기술을 업스킬, 평가 및 검증하는 배너
리소스 보기
리소스 보기

저자

피터 다뉴

피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.

더 알고 싶으신가요?

블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.

Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.

블로그 보기
더 알고 싶으신가요?

개발자 중심 보안에 대한 최신 연구 보기

광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.

리소스 허브

인증된 보안 인식: 개발자를 높이기 위한 행정 명령

게시일: 2021년 5월 20일
By 피터 댄히외

신성한 타이밍과 같은 것이 있다면, 바이든 행정부가 연방 네트워크를 강화하고 전국의 사이버 보안 표준과 모범 사례를 개선하려는 미국 정부의 계획을 언급하면서 행정 명령 (EO) 발표로 그것을 못 박았다고 말해야합니다. 이 전략은 최근 두 가지 파괴적인 사이버 공격, 즉 콜로니얼 파이프라인 가스 인프라 공격 외에도 SolarWinds의지속적인 공급망 침해에 따른 것입니다.

이러한 사건은 의심 할 여지없이 정부의 모든 수준에 걸쳐 파문을 야기하지만,이 지침은 사이버 보안의 미래에대한 흥미로운 시간을 표시합니다. 마침내 디지털 존재를 정상에서 보호하는 데 진지하고 있는 것 같고, 지금보다 더 나은 표준과 고품질 소프트웨어를 추진할 더 좋은 시기는 없습니다.

EO는 기능적인 사이버 보안의 여러 측면을 다루지만, 처음으로 개발자의 영향과 보안 기술 및 인식을 검증해야 할 필요성에 대해 구체적으로 설명합니다. 수년 동안 우리는 옥상에서 이것이 우리를 자주 방문하는 일반적인 취약점에 대처하기 위한 길이며, 이러한 접근 방식에 부합하는 정부의 명령은 사이버 방어에서 광범위한 성공을 위한 길이라고 외쳤습니다.

조직과 연방 부처 모두이 명령에 어떻게 대응해야합니까? 일부 주요 범주의 압축을 풀수 있습니다.

'체크 더 박스'는 테이블에서 벗어났습니다. 

우리는 오랫동안 개발자를위한 대부분의 유형의 사이버 보안 교육의 무효성을 지적했습니다. 그것은 종종 너무 일반적, 참여 하 고 원하는 결과 영감을 하는 방식으로 제공 되지 (읽기: 더 안전한 코드), 그리고 훨씬 너무 자주 에 감동. 더 나쁜 것은, 많은 기업들이 "체크 더 박스" 교육에 만족하고 있습니다: 운영 요구 사항을 충족하고 개발자의 이름 옆에 진드기를 얻기 위해 최소한의 "하나 및 완료"기본사항을 제공하는 접근 방식. 이러한 교육 전략은 모든 CISO가 칼 날 위에 손가락을 건너다음 제로 데이 위반의 피해자가 되지 않기를 바라는 것입니다. 그들은 단순히 취약점을 줄이고 더 높은 품질의 코드를 만들기 위해 작동하지 않습니다. 

Biden의 명령 의 4절에서 조직이 개발자가 문서화되고 검증된 보안 규정 준수를 표시했음을 입증해야 합니다.

"지침에는 소프트웨어 보안을 평가하는 데 사용할 수 있는 기준이 포함되어야 하며, 개발자 와 공급업체 자체의 보안 관행을 평가하는 기준을 포함하고, 보안 관행에 부합하는 혁신적인 도구 나 방법을 식별해야 합니다."


현재 개발자와 관련된 업계 표준 인증은 없습니다. 개발자의 안전한 코딩 기술 수준을 벤치마킹하고 courses 이러한 기술을 개선하기 위한 평가는 기업이 목표를 설정하고 규정 준수를 달성할 수 있도록 하는 기본입니다. 개발자가 실용적이고 실용적인 환경에서 핵심 역량을 보여줄 수 있는 경우 의미 있고 신뢰할 수 있는 방식으로 평가하고 인증할 수 있습니다. 그것은 우리의 제공의 핵심입니다. Secure Code Warrior 기술 스택 및 조직 요구 사항에 맞게 사용자 정의할 수 있는 신뢰할 수 있는 인증에 활용할 수 있는 시스템을 만들기 위해 열심히 노력했습니다. 

이러한 기술은 귀중하며 자동화할 수 없습니다. 인증은 개발자를 교활한 위협로부터 코드베이스를 방어할 수 있는 보안 인식 인력으로 전환할 수 있습니다. 

팀을위한 무료 보안 과정을 요구하고 더 많은 것을 배우기위한 버튼이있는 배너

개발자 툴링(및 일반적으로 도구)에 중점을 둡니다.

EO는 보안 코딩 관행을 확인하는 방법에 대한 지침 외에도 보안의 자동화 및 툴링 측면에 대해 깊이 파고들 수 있습니다. 

인간이 보안 관점에서 혼자 처리할 수 있도록 너무 많은 코드가 생성되고 있으며, 광범위한 기술 스택의 일부로 자동화는 모든 보안 프로그램의 주요 부분입니다. 그러나 모든 도구가 동일하게 만들어지는 것은 아니며 모든 프로그래밍 언어로 모든 취약점을 포착하는 "모든 도구를 모두 지배하는 도구"는 없습니다. 훌륭한 보안 프로그램은 특히 개발자가 타겟팅하는 도구 및 서비스에 있어 미묘한 접근 방식을 취합니다.

EO 섹션 3은 연방 정부가 사용할 자격이 있는 소프트웨어를 만드는 공급업체에 대한 기대와 개발 프로세스에서 도구 사용에 대한 유익한 지침을 간략하게 설명합니다.

"(iii) 신뢰할 수 있는 소스 코드 공급망을 유지하기 위해 자동화된 도구 또는 유사한 프로세스를 사용하여 코드의 무결성을 보장합니다.
(iv) 알려진 잠재적 취약점을 확인하고 정기적으로 또는 제품, 버전 또는 업데이트 릴리스 전에 최소한으로 작동해야 하는 자동화된 도구 또는 유사한 프로세스를 사용합니다.
"


개발자 기술 스택의 보안 도구는 보안 모범 사례를 빠른 속도로 개선하는 방법 중 하나이며, 릴리스가 기한을 충족할 수 있는 가장 좋은 기회를 보장하고 보안 버그 및 기타 쇼스토퍼에 의해 유지되지 않습니다. 그러나 문제는 개발자가 가장 강력한 도구를 최대한 활용하기 위해 컨텍스트 학습이 여전히 필요하다는 것입니다. 플래그가 지정된 항목, 위험이유, 이를 해결하는 방법을 이해하기 위해 중요한 역할을 하며, 처음에 식별할 수 있는 도구에 대한 실수가 줄어듭니다. 

최상의 도구는 개발자의 환경과 통합되어 더 높은 품질(보다 안전한) 코드를 생성하고 보안이 미리 유지되도록 지원합니다. 


공급망 을 확보합니다.

EO에서 제가 가장 좋아하는 부분 중 하나는 소프트웨어 공급망을 보호하는 포괄적인 계획입니다. SolarWinds 이벤트를 감안할 때 놀라운 일은 아니지만 중요한 하이라이트입니다.


"연방정부가 사용하는 소프트웨어의 보안은 연방 정부가 중요한 기능을 수행하는 능력에 매우 중요합니다. 상용 소프트웨어의 개발은 종종 투명성이 부족하고, 공격에 저항할 수 있는 소프트웨어의 능력에 충분한 초점을 맞추고, 악의적인 행위자의 변조를 방지하기 위한 적절한 제어가 부족합니다. 제품이 안전하게 작동할 수 있도록 보다 엄격하고 예측 가능한 메커니즘을 구현해야 합니다. 연방 정부는 중요한 소프트웨어 해결을 우선적으로 하여 소프트웨어 공급망의 보안과 무결성을 신속하게 개선하기 위한 조치를 취해야 합니다.


이 판결은 미국 정부와 사업을 하고자하는 모든 소프트웨어 회사에 영향을 미치지만 모든 곳에서 표준으로 적용해야합니다. 보안 조치에 대한 타사 공급업체의 투명성 부족(타사 구성 요소를 사용하는 개발자는 말할 것도 없고)으로 인해 사이버 보안 모범 사례가 이행되고 있음을 평가, 검증 및 선언하기가 매우 어렵습니다. 우리는 우리가 사용하는 공급 업체와 그들이 쓰는 소프트웨어를 분석해야합니다. 이러한 작업은 "추가 마일"로 볼 수 있지만 사이버 보안 모범 사례의 금 본위제에 내재되어야합니다.


자신감을 가지고 보안 코드를 배송하는 것은 오랫동안 우리 업계에서 고통스러웠지만, 이는 현재 프로세스를 평가하고 남은 사람들의 부러움을 주는 강화된 소프트웨어 및 클라우드 인프라에 대한 책임을 이끌 수 있는 완벽한 기회입니다. 지금 저희에게 이야기하고 당신이 활용할 수있는 방법을 알아보십시오 Courses 보안 인식 개발자팀의 다음 팀을 인증하는 평가개발자 도구입니다.

개발 팀의 보안 코딩 기술을 업스킬, 평가 및 검증하는 배너

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.