콜게이트-팜올리브가 개발자의 보안 기술을 향상하고 안전한 코딩 문화를 조성한 방법
콜게이트-팜올리브가 개발자의 보안 기술을 향상하고 안전한 코딩 문화를 조성한 방법
상황
콜게이트-팜올리브는 거의 모든 다른 조직과 마찬가지로 고객에게 더 나은 서비스를 제공하기 위해 디지털 전환을 진행하고 있으며, 이로 인해 애플리케이션 보안에 접근하는 방식에 변화가 생겼습니다.
콜게이트-팜올리브의 CISO인 알렉스 슈크먼은 이렇게 설명합니다:
"고객의 데이터를 보호하여 제품뿐만 아니라 고객과의 디지털 상호 작용에서 신뢰를 구축할 수 있다는 것은 우리에게 매우 중요합니다."
하지만 알렉스의 과제는 잠재적인 고객 데이터 유출의 근본 원인인 코드 자체를 보호하는 것이었습니다.
"애플리케이션 빌드 쪽에서 일한 경험이 CISO로 전환할 때 큰 도움이 되었습니다. 앱보안팀에서 티켓을 돌려받거나 재작업으로 인해 마감일을 놓칠 때의 고통을 잘 알고 있습니다. 그 결과 소프트웨어 개발 수명 주기에서 보안을 강화하는 것뿐만 아니라 구현 방법을 간소화하는 것이 CISO로서 저의 목표가 되었습니다."
액션
콜게이트-팜올리브는 보안 교육을 한입에 먹을 수 있는 작은 단위로 나누어 이 문제에 접근했습니다. 이를 통해 개발자가 기존에 익숙해져 있던 길고 획일적인 규정 준수 교육 대신 자신의 워크플로에 맞출 수 있도록 더 쉽게 만들었습니다. 개발자는 보안 코드 학습에 대한 Secure Code Warrior의 민첩하고 상황에 맞는 접근 방식을 활용하여 실제 프로젝트의 맥락에서 취약점을 이해할 수 있었으며, 이를 통해 참여도를 높이고 보안 코딩 기술을 장기적으로 유지할 수 있었습니다.
"개발자의 참여를 유지하면서 이러한 모범 사례를 배포하고 싶었습니다."라고 Alex는 말합니다. "여전히 프로그램의 중요한 부분을 의무화했지만, 교육을 관리하기 쉽게 유지하고 개발자의 피드백에 귀를 기울인 것이 프로그램의 성공에 도움이 되었습니다."
콜게이트-팜올리브는 아래 다이어그램과 같이 특정 SCW 평가를 통과한 개발자만 풀 리퀘스트에 액세스할 수 있도록 GitHub 리포지토리를 게이팅하는 Okta 워크플로우를 구현했습니다.
결과
알렉스에 따르면 "성공을 위한 최적화를 위해서는 처음부터 개발자를 참여시켜야 한다는 것을 알고 있었습니다. 그래서 개발자들이 프로그램의 성공에 중요한 역할을 할 것이라는 점을 확실히 인식하도록 했습니다. 그 결과 보안팀과 개발자 간의 관계가 훨씬 더 좋아졌고, 프로그램을 위해 한 팀으로 함께 일하고 있다는 느낌이 들었습니다. 우리는 이미 거둔 성공을 바탕으로 보안 성숙도 프로그램을 계속 확장하고 확장할 계획입니다."
주요 내용
- 프로그램 목표를 명확하게 정의하고 개발자의 의견과 참여를 강조하세요. 개발자는 워크플로에 내장되어 있고 매일 사용하는 개발 도구와 통합된 안전한 코드 학습 프로그램에 동의할 가능성이 높습니다.
- Okta와 같은 SSO 도구를 사용하여 코드 리포지토리를 게이트하면 팀에 인센티브가 주어집니다. 특정 SCW courses 및 assessment 에서 합격 점수를 받은 개발자만 풀 리퀘스트를 만들 수 있습니다.
- 시간이 지남에 따라 앱 보안 팀과 개발 팀 간의 강력한 협력 관계를 촉진하는 보안 문화를 구축하세요.
시작할 수 있는 리소스
트러스트 에이전트 기준 Secure Code Warrior
개발자의 보안 코드 지식과 기술을 커밋하는 작업과 연계하여 보안을 강화하도록 설계된 혁신적인 솔루션인 SCW Trust Agent에 대해 알아보세요. 이 솔루션은 조직의 전체 코드 리포지토리에 대한 포괄적인 가시성과 제어 기능을 제공하여 개발자의 보안 코드 프로필과 비교하여 각 커밋을 분석합니다. SCW Trust Agent를 통해 조직은 보안 태세를 강화하고, 개발 수명 주기를 최적화하며, 개발자 중심의 보안을 확장할 수 있습니다.
시작할 수 있는 리소스
콜게이트-팜올리브가 개발자의 보안 기술을 향상하고 안전한 코딩 문화를 조성한 방법
상황
콜게이트-팜올리브는 거의 모든 다른 조직과 마찬가지로 고객에게 더 나은 서비스를 제공하기 위해 디지털 전환을 진행하고 있으며, 이로 인해 애플리케이션 보안에 접근하는 방식에 변화가 생겼습니다.
콜게이트-팜올리브의 CISO인 알렉스 슈크먼은 이렇게 설명합니다:
"고객의 데이터를 보호하여 제품뿐만 아니라 고객과의 디지털 상호 작용에서 신뢰를 구축할 수 있다는 것은 우리에게 매우 중요합니다."
하지만 알렉스의 과제는 잠재적인 고객 데이터 유출의 근본 원인인 코드 자체를 보호하는 것이었습니다.
"애플리케이션 빌드 쪽에서 일한 경험이 CISO로 전환할 때 큰 도움이 되었습니다. 앱보안팀에서 티켓을 돌려받거나 재작업으로 인해 마감일을 놓칠 때의 고통을 잘 알고 있습니다. 그 결과 소프트웨어 개발 수명 주기에서 보안을 강화하는 것뿐만 아니라 구현 방법을 간소화하는 것이 CISO로서 저의 목표가 되었습니다."
액션
콜게이트-팜올리브는 보안 교육을 한입에 먹을 수 있는 작은 단위로 나누어 이 문제에 접근했습니다. 이를 통해 개발자가 기존에 익숙해져 있던 길고 획일적인 규정 준수 교육 대신 자신의 워크플로에 맞출 수 있도록 더 쉽게 만들었습니다. 개발자는 보안 코드 학습에 대한 Secure Code Warrior의 민첩하고 상황에 맞는 접근 방식을 활용하여 실제 프로젝트의 맥락에서 취약점을 이해할 수 있었으며, 이를 통해 참여도를 높이고 보안 코딩 기술을 장기적으로 유지할 수 있었습니다.
"개발자의 참여를 유지하면서 이러한 모범 사례를 배포하고 싶었습니다."라고 Alex는 말합니다. "여전히 프로그램의 중요한 부분을 의무화했지만, 교육을 관리하기 쉽게 유지하고 개발자의 피드백에 귀를 기울인 것이 프로그램의 성공에 도움이 되었습니다."
콜게이트-팜올리브는 아래 다이어그램과 같이 특정 SCW 평가를 통과한 개발자만 풀 리퀘스트에 액세스할 수 있도록 GitHub 리포지토리를 게이팅하는 Okta 워크플로우를 구현했습니다.
결과
알렉스에 따르면 "성공을 위한 최적화를 위해서는 처음부터 개발자를 참여시켜야 한다는 것을 알고 있었습니다. 그래서 개발자들이 프로그램의 성공에 중요한 역할을 할 것이라는 점을 확실히 인식하도록 했습니다. 그 결과 보안팀과 개발자 간의 관계가 훨씬 더 좋아졌고, 프로그램을 위해 한 팀으로 함께 일하고 있다는 느낌이 들었습니다. 우리는 이미 거둔 성공을 바탕으로 보안 성숙도 프로그램을 계속 확장하고 확장할 계획입니다."
주요 내용
- 프로그램 목표를 명확하게 정의하고 개발자의 의견과 참여를 강조하세요. 개발자는 워크플로에 내장되어 있고 매일 사용하는 개발 도구와 통합된 안전한 코드 학습 프로그램에 동의할 가능성이 높습니다.
- Okta와 같은 SSO 도구를 사용하여 코드 리포지토리를 게이트하면 팀에 인센티브가 주어집니다. 특정 SCW courses 및 assessment 에서 합격 점수를 받은 개발자만 풀 리퀘스트를 만들 수 있습니다.
- 시간이 지남에 따라 앱 보안 팀과 개발 팀 간의 강력한 협력 관계를 촉진하는 보안 문화를 구축하세요.