개발자 Tournaments : 보안 문화와 참여를 개선하기 위한 AppSec의 비밀 무기
처음부터 무언가를 만들고, 기술과 숙련된 경험을 사용하여 작고, 특별한 마크를 세상에 표시하는 것을 상상해 보십시오. 혼자 든 팀의 일부이든, 당신은 아무것도에서 뭔가를 구축에 당신의 마음과 영혼을 배치합니다. 당신은 수백 - 어쩌면 수천 - 그것에 시간의, 당신의 아기가 될 수있는 최고 있는지 확인. 완공되면 그 성취의 물결은 그 자체로 보상처럼 느껴질 수 있습니다.
지금, 전리품 스포츠가 함께 와서 그렇게 큰 아니에요 당신을 말한다 상상해보십시오. 아마도 그들은 한 걸음 더 나아가 여러분이 희생한 에너지, 시간, 사랑에도 불구하고 실제로는 사용할 수 없다고 말합니다. 그들은 본질적으로 아기가 못생겼다고 말했습니다.
위의 시나리오는 약간의 긴장을 유발할 수밖에 없습니다. 결국, 누가 그들의 노력이 따로 따로 뽑고 부적절하다고 비난하기를 원합니까? 슬프게도, 많은 개발자에 대 한, 이것은 AppSec 팀과 그들의 관계의 현실이 될 수 있습니다. 개발자는 기능적이고 기능이 풍부하며 엄격한 프로젝트 기한 내에 제공되는 소프트웨어를 빌드하는 데 중요한 책임이 있습니다. 보안은 거의 우선 순위가 되며 신속한 납품과 혁신을 위한 차단제로 볼 수도 있습니다. AppSec은 코드, 펜 테스트 및 잘못된 소식을 꼼꼼하게 검사한 다음 잘못된 소식을 보고하는 부러운 작업을 수행합니다: 코드에 보안 취약점이 있는 경우 종종 이미 커밋된 코드입니다. 리소스와 시간을 위해 늘어나는 환경에서는 비용이 많이 드는 프로세스이며, 설정은 동일한 목표를 가지고 있지만 로거헤드에서 보이는 다른 언어를 말하는 두 팀 간의 균열을 야기할 수밖에 없습니다.
보안에 변화를 준 시간이라고 생각하지 않습니까? 대화를 바꾸고 모든 것을 좀 더 긍정적으로 만드는 것만큼 간단합니다 (재미는 말할 것도 없고!) 양측, 특히 개발 팀에 대해.
교실 밖으로, 게임 경기장으로
많은 개발자가 안전하게 코딩에 대해 많은 것을 배우지 않고 직업 교육을 완료하기 때문에 보안 교육과 함께 첫 번째 터치 포인트가 인력에 진입하는 경우가 많습니다. 교실 기반 교육은 사용되지 않는 솔루션 중 하나이지만 기능 전달에서 귀중한 시간을 빼앗습니다 (그리고, 그것을 직면하자 : 교사와 콘텐츠가 자극이 부족한 경우, 그것은 쉽게 모든 사람에게 시간 낭비가 될 수 있습니다). 비디오도 있습니다. courses , 제지 기반 시험 및 제네릭 회사 보안 정책 교육... 이 모든 것은 일반 개발자의 일상 적인 근무 생활에서 쓸모가 없을 정도로 비특정일 수 있습니다.
너무 자주, 그것은 "상자를 체크하고 컴플라이언스 연습에 이동, 너무 자주 반대의 효과가있다 : 그것은 단지 AppSec와 개발자 팀 사이의 더 넓은 균열을 구동. 결국, 기존의 교육이 보안 문화와 규정 준수에 긍정적인 영향을 미치고 있는 것으로 보이지 는 않습니다. 우리는 같은 실수를 계속합니다.
일반적인 약점 열거(CWE)커뮤니티에 따르면, 700 개 이상의 일반적인 소프트웨어 보안 약점에 맞서 싸울 수 있습니다. SQL 주입과 같은 일부 사람들은 20 년 이상 존재했음에도 불구하고 찌그러지지 않은 바퀴벌레와 같습니다. 우리는 그것을 해결하는 방법을 알고; 이 교육은 개발자가 이를 막을 수 있도록 권한을 부여하지만 펜 테스트 및 수동 코드 검토 프로세스는 이러한 위반사항을 지속적으로 식별합니다.
아마도 우리는 모든 잘못을 보고 있었고, 업계로서 우리는 다른 각도에서 실행 가능한 교육을 해결해야합니다... 개발자에게 매우 가치 있는 놀라운 기술을 활용하는 기술입니다. 그들은 도전을 사랑하는 창의적이고 호기심 많은 문제 해결사입니다. 보안 교육을 게임화하는 것은 자신의 언어를 말하고, 그들이 수행하여 연습 할 수 있도록하는 것입니다 - 누가 알고, 그들은 단지 길을 따라 보안과 사랑에 빠질 수 있습니다.
조금 건강한 경쟁
(오히려 부정확한) 도구, 고가의 펜 테스트 및 부족한 AppSec 전문가에 대한 핵심 의존은 보안 블랙홀에 더 깊이 우리를 급락 할 것입니다. 우리의 삶과 프라이버시의 너무 많은 사람들이 온라인에서 존재하여 기업이 데이터를 보호하는 가상 요새와 함께 바람에 주의를 기울이기 위해 계속 합니다. 세상의 디지털 혁신이 소프트웨어에 대한 의존도를 높아짐에 따라, 우리는 사무실에 앉아 있던 슈퍼 히어로, 즉 개발 팀으로 전환해야 합니다.
관련 언어 및 프레임워크에서 게임화된 교육은 AppSec 관리자가 비즈니스 내에서 보안 문화를 변화시키기 위한 강력한 도구입니다. 교육에서 개발자는 새로 지어진 보안 근육을 재미있게 구부릴 수 있습니다. tournament 당신의 상상력이 연상 할 수있는 만큼 흥미 진진한 될 수있는 설정 : 그냥 IAG의 "코드의 게임'은 모든 사람들이 자신의 조직 내에서 보안에 대해 얘기있어 방법을 살펴.
Secure Code Warrior 's tournament 모듈은 측정 된 교육 노력에 단지 좋은 작은 모자 이상을 제공합니다 : 그것은 각 개발자가 자신의 능력을 검증 할 수있는 플랫폼입니다, 교육이 시작된 이후 얼마나 멀리 진행했는지 확인, 뿐만 아니라 개선이 필요할 수 있습니다 영역을 식별. 경쟁 측면은 실제로 보상과 인식을 사용하여 팀 내의 강력한 보안 문화 성장과 더 넓은 비즈니스의 성장을 지원하기 위해 보안에 적극적으로 참여할 동기부여가 됩니다.
힘들게 보일 수 있는 것에 약간의 재미를 불어넣는 것은 어려운 일이지만, 작업은 부정적인 사고 방식을 바꾸고 지속적인 참여를 유도하는 데 먼 길을 갈 수 있습니다. 결국, 누가 (건강한) 경쟁 환경에서 동료들보다 더 많은 점수를 득점하는 영광을 좋아하지 않습니까?
챔피언은 당신 사이 를 걸어
게임화된 교육 및 후속 교육 tournaments AppSec 및 개발 팀이 서로의 일상 업무에 대한 훨씬 더 많은 통찰력을 얻으면서 긍정적인 보안 문화를 이끄는 데 대단히 도움이 됩니다. 보안 개발자는 공통의 취약점을 해결하고 부족한 AppSec 전문가에게 복잡한 문제를 해결하는 자산입니다. 더 나은 관계는 성장하고 번성하고, 귀중한 보안 예산은 같은 오류의 "Groundhog Day'시나리오를 반복해서 해결하는 것을 좋아하지 않습니다.
또 다른 강력한 부산물이 있다, 그러나: 보안 챔피언의 계시는 당신이 결코 몰랐다. Tournaments 보안에 대한 적성을 가질 뿐만 아니라 적극적으로 그것에 대한 열정을 표시하는 사람들을 발견 할 수 있습니다. 이 챔피언들은 기세를 유지하고 팀 간의 접촉 지점역할을 하고, 동료를 감독하며 모범 사례 정책을 유지하는 데 매우 중요합니다. 인정 과 임원 지원을 포함하는 견고한 챔피언 프로그램을 구현하는 것은 조직의 상한선에 깃털뿐만 아니라 개인의 이력서와 미래의 경력에 대한 강력한 포함입니다.
결론? 우리는 보안 테스트에서 더 나은 결과를 요구해야 합니다. 덜 일반적인 오류, 최전선에있는 사람들을 위해 더 많은 지원. 개발자가 어떻게 보이지 않는지 알 수 없는 이유 tournament 당신이 생각하는 것보다 빨리 당신을 얻을 수 있습니까?
피터 다뉴
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
개발자 Tournaments : 보안 문화와 참여를 개선하기 위한 AppSec의 비밀 무기
처음부터 무언가를 만들고, 기술과 숙련된 경험을 사용하여 작고, 특별한 마크를 세상에 표시하는 것을 상상해 보십시오. 혼자 든 팀의 일부이든, 당신은 아무것도에서 뭔가를 구축에 당신의 마음과 영혼을 배치합니다. 당신은 수백 - 어쩌면 수천 - 그것에 시간의, 당신의 아기가 될 수있는 최고 있는지 확인. 완공되면 그 성취의 물결은 그 자체로 보상처럼 느껴질 수 있습니다.
지금, 전리품 스포츠가 함께 와서 그렇게 큰 아니에요 당신을 말한다 상상해보십시오. 아마도 그들은 한 걸음 더 나아가 여러분이 희생한 에너지, 시간, 사랑에도 불구하고 실제로는 사용할 수 없다고 말합니다. 그들은 본질적으로 아기가 못생겼다고 말했습니다.
위의 시나리오는 약간의 긴장을 유발할 수밖에 없습니다. 결국, 누가 그들의 노력이 따로 따로 뽑고 부적절하다고 비난하기를 원합니까? 슬프게도, 많은 개발자에 대 한, 이것은 AppSec 팀과 그들의 관계의 현실이 될 수 있습니다. 개발자는 기능적이고 기능이 풍부하며 엄격한 프로젝트 기한 내에 제공되는 소프트웨어를 빌드하는 데 중요한 책임이 있습니다. 보안은 거의 우선 순위가 되며 신속한 납품과 혁신을 위한 차단제로 볼 수도 있습니다. AppSec은 코드, 펜 테스트 및 잘못된 소식을 꼼꼼하게 검사한 다음 잘못된 소식을 보고하는 부러운 작업을 수행합니다: 코드에 보안 취약점이 있는 경우 종종 이미 커밋된 코드입니다. 리소스와 시간을 위해 늘어나는 환경에서는 비용이 많이 드는 프로세스이며, 설정은 동일한 목표를 가지고 있지만 로거헤드에서 보이는 다른 언어를 말하는 두 팀 간의 균열을 야기할 수밖에 없습니다.
보안에 변화를 준 시간이라고 생각하지 않습니까? 대화를 바꾸고 모든 것을 좀 더 긍정적으로 만드는 것만큼 간단합니다 (재미는 말할 것도 없고!) 양측, 특히 개발 팀에 대해.
교실 밖으로, 게임 경기장으로
많은 개발자가 안전하게 코딩에 대해 많은 것을 배우지 않고 직업 교육을 완료하기 때문에 보안 교육과 함께 첫 번째 터치 포인트가 인력에 진입하는 경우가 많습니다. 교실 기반 교육은 사용되지 않는 솔루션 중 하나이지만 기능 전달에서 귀중한 시간을 빼앗습니다 (그리고, 그것을 직면하자 : 교사와 콘텐츠가 자극이 부족한 경우, 그것은 쉽게 모든 사람에게 시간 낭비가 될 수 있습니다). 비디오도 있습니다. courses , 제지 기반 시험 및 제네릭 회사 보안 정책 교육... 이 모든 것은 일반 개발자의 일상 적인 근무 생활에서 쓸모가 없을 정도로 비특정일 수 있습니다.
너무 자주, 그것은 "상자를 체크하고 컴플라이언스 연습에 이동, 너무 자주 반대의 효과가있다 : 그것은 단지 AppSec와 개발자 팀 사이의 더 넓은 균열을 구동. 결국, 기존의 교육이 보안 문화와 규정 준수에 긍정적인 영향을 미치고 있는 것으로 보이지 는 않습니다. 우리는 같은 실수를 계속합니다.
일반적인 약점 열거(CWE)커뮤니티에 따르면, 700 개 이상의 일반적인 소프트웨어 보안 약점에 맞서 싸울 수 있습니다. SQL 주입과 같은 일부 사람들은 20 년 이상 존재했음에도 불구하고 찌그러지지 않은 바퀴벌레와 같습니다. 우리는 그것을 해결하는 방법을 알고; 이 교육은 개발자가 이를 막을 수 있도록 권한을 부여하지만 펜 테스트 및 수동 코드 검토 프로세스는 이러한 위반사항을 지속적으로 식별합니다.
아마도 우리는 모든 잘못을 보고 있었고, 업계로서 우리는 다른 각도에서 실행 가능한 교육을 해결해야합니다... 개발자에게 매우 가치 있는 놀라운 기술을 활용하는 기술입니다. 그들은 도전을 사랑하는 창의적이고 호기심 많은 문제 해결사입니다. 보안 교육을 게임화하는 것은 자신의 언어를 말하고, 그들이 수행하여 연습 할 수 있도록하는 것입니다 - 누가 알고, 그들은 단지 길을 따라 보안과 사랑에 빠질 수 있습니다.
조금 건강한 경쟁
(오히려 부정확한) 도구, 고가의 펜 테스트 및 부족한 AppSec 전문가에 대한 핵심 의존은 보안 블랙홀에 더 깊이 우리를 급락 할 것입니다. 우리의 삶과 프라이버시의 너무 많은 사람들이 온라인에서 존재하여 기업이 데이터를 보호하는 가상 요새와 함께 바람에 주의를 기울이기 위해 계속 합니다. 세상의 디지털 혁신이 소프트웨어에 대한 의존도를 높아짐에 따라, 우리는 사무실에 앉아 있던 슈퍼 히어로, 즉 개발 팀으로 전환해야 합니다.
관련 언어 및 프레임워크에서 게임화된 교육은 AppSec 관리자가 비즈니스 내에서 보안 문화를 변화시키기 위한 강력한 도구입니다. 교육에서 개발자는 새로 지어진 보안 근육을 재미있게 구부릴 수 있습니다. tournament 당신의 상상력이 연상 할 수있는 만큼 흥미 진진한 될 수있는 설정 : 그냥 IAG의 "코드의 게임'은 모든 사람들이 자신의 조직 내에서 보안에 대해 얘기있어 방법을 살펴.
Secure Code Warrior 's tournament 모듈은 측정 된 교육 노력에 단지 좋은 작은 모자 이상을 제공합니다 : 그것은 각 개발자가 자신의 능력을 검증 할 수있는 플랫폼입니다, 교육이 시작된 이후 얼마나 멀리 진행했는지 확인, 뿐만 아니라 개선이 필요할 수 있습니다 영역을 식별. 경쟁 측면은 실제로 보상과 인식을 사용하여 팀 내의 강력한 보안 문화 성장과 더 넓은 비즈니스의 성장을 지원하기 위해 보안에 적극적으로 참여할 동기부여가 됩니다.
힘들게 보일 수 있는 것에 약간의 재미를 불어넣는 것은 어려운 일이지만, 작업은 부정적인 사고 방식을 바꾸고 지속적인 참여를 유도하는 데 먼 길을 갈 수 있습니다. 결국, 누가 (건강한) 경쟁 환경에서 동료들보다 더 많은 점수를 득점하는 영광을 좋아하지 않습니까?
챔피언은 당신 사이 를 걸어
게임화된 교육 및 후속 교육 tournaments AppSec 및 개발 팀이 서로의 일상 업무에 대한 훨씬 더 많은 통찰력을 얻으면서 긍정적인 보안 문화를 이끄는 데 대단히 도움이 됩니다. 보안 개발자는 공통의 취약점을 해결하고 부족한 AppSec 전문가에게 복잡한 문제를 해결하는 자산입니다. 더 나은 관계는 성장하고 번성하고, 귀중한 보안 예산은 같은 오류의 "Groundhog Day'시나리오를 반복해서 해결하는 것을 좋아하지 않습니다.
또 다른 강력한 부산물이 있다, 그러나: 보안 챔피언의 계시는 당신이 결코 몰랐다. Tournaments 보안에 대한 적성을 가질 뿐만 아니라 적극적으로 그것에 대한 열정을 표시하는 사람들을 발견 할 수 있습니다. 이 챔피언들은 기세를 유지하고 팀 간의 접촉 지점역할을 하고, 동료를 감독하며 모범 사례 정책을 유지하는 데 매우 중요합니다. 인정 과 임원 지원을 포함하는 견고한 챔피언 프로그램을 구현하는 것은 조직의 상한선에 깃털뿐만 아니라 개인의 이력서와 미래의 경력에 대한 강력한 포함입니다.
결론? 우리는 보안 테스트에서 더 나은 결과를 요구해야 합니다. 덜 일반적인 오류, 최전선에있는 사람들을 위해 더 많은 지원. 개발자가 어떻게 보이지 않는지 알 수 없는 이유 tournament 당신이 생각하는 것보다 빨리 당신을 얻을 수 있습니까?
