킥-엉덩이 DevSecOps 엔지니어가 되는 방법
기술 자체와 마찬가지로 코드 개발을 위한 도구, 기술 및 최적의 프로세스가 빠르게 진화합니다. 우리 인간은 더 많은 소프트웨어, 더 많은 기능, 더 많은 기능에 대한 무정의 필요성을 가지고 ... 그리고 우리는 그 어느 때보 다 빨리, 더 질적, 그리고 그 위에: 안전. 불과 몇 년 전만 해도 Agile 개발은 큰 규모의 작업을 작은 조각으로 나누기 위해 사용되고 고객으로부터 오는 빠른 피드백 주기에 신속하게 적응할 수 있는 다음 큰 일이었습니다. 그 전에는 폭포 방법이 언덕의 왕이었습니다.
많은 사람들과 조직이 폭포에서 애자일로 이동하고 있지만, 모두가 아직 거기에 있지는 않지만, 개발 팀과 운영 상대방은 여전히 사일로에서 일하고 있습니다. 이러한 환경에서 는 Agile 방식으로 작업하는 소규모 팀이 더 빠른 배포와 빠른 납품에 대한 약속을 어떻게 제공할 수 있습니까?
개발과 운영의 조합인 DevOps는새 소프트웨어를 만들 때 개발자와 운영 팀의 기능을 병합하기 위해 만들어졌습니다. 본질적으로, 이것은 개발자가 운영 팀에 울타리를 던져 자신의 책임을 만드는 대신, 생산에 물건을 넣어의 소유권을 가지고 하는 데 도움이되었다.
그들은 확실히 더 빨리 발송 할 수 있습니다 -- 심지어 하루에 몇 번 - 이는 민첩의 골목에서 재생 보인다. 그러나 DevOps는 여전히 하나의 크고 혼합된 엔지니어 및 운영 인력 팀을 구성하며, 이는 실제로 민첩한 정렬이 아닐 수도 있습니다. 궁극적으로, 방법론이 여러 면에서 유사하고, 그 차이에서 상호 보완적이기 때문에 DevOps를 애자일의 진화로 생각하는 것이 가장 좋습니다. DevOps는 자동화되고 지속적인 통합 및 배포 파이프라인을 촉진하며, 이는 빈번한 릴리스를 사용하도록 하는 데 필수적이지만 팀 수준에서는 충분하지 않습니다. Agile은 팀, 특히 소규모 팀이 이러한 신속한 릴리스 및 변경 요구 사항에 보조를 맞추면서 업무 와 협업을 유지할 수 있도록 합니다. 확실히 이상해 보이며, 이 과정은 팀이 최종 목표를 달성할 수 있도록 할 수 있지만, 자체 적인 문제가 없는 것은 아닙니다.
DevOps 모범 사례를 사용하여 만든 소프트웨어는 여전히 첫 번째 보스 싸움에서 우연히 발견 할 수있는 잠재력을 가지고 : 보안 팀. 툴링이나 복잡한 수동 검토를 통해 기존/폭포 AppSec 전문가가 코드를 검사하면 종종 허용되지 않는 위험과 취약점을 발견하여 사실 이후에 수정해야 합니다. 보안 수정을 완료된 앱으로 개조하는 과정은 빠르지도 쉽지도 않습니다. 그리고 조직에 훨씬 더 비싸다.
그렇다면 세계가 폭포, 애자일, 그리고 지금 DevOps를 지나가고 있다면 해결책은 무엇일까요? 그리고 개발자로서 이러한 접근 방식의 변화에 보조를 맞추는 데 어떤 역할을 해야 합니까?
개발 기술은 진화의 일정한 상태에 있지만, 고맙게도,이 큰 변화가 아니다. 조직은 "DevOps"에 "Sec"을 넣어야합니다... 그래서, 데브세옵스가 태어났습니다. DevSecOps의 주요 목표는 개발, 운영 및 마지막으로 보안 팀 간의 장벽을 허물고 공동 작업을 열어두는 것입니다. DevSecOps는 소프트웨어 엔지니어링 전술이자 소프트웨어 개발 수명 주기 전반에 걸쳐 보안 자동화 및 모니터링을 옹호하는 문화가 되었습니다.
이것은 또 다른 조직 수준의 프로세스처럼 보일 수 있습니다., 아마도 하나 "너무 많은 요리사" 그것은 구축 하는 기능의 긴 목록을 가진 개발자에 관해서. 그러나 DevSecOps 방법론은 보안 인식 개발자가 정말 빛날 수있는 기회를 열어줍니다.
데브세옵스의 밝은 미래
그렇다면 왜 코더가 DevSecOps 엔지니어가 되고 싶어할까요? DevOps (또는 심지어 민첩한)에 대한 몇 가지 경험이 있지만 DevSecOps에서 능숙해지기 위해 다음 단계를 수행하려고합니다. 우선, 비용이 많이 드는 사이버 공격으로부터 세상을 안전하게 만들기 위한 탐구뿐만 아니라 매우 현명한 움직임이라는 것을 아는 것이 좋습니다. 전문가들은 재능있는 사이버 보안 인력에 대한 수요가 급증하고 있다고 말합니다. DevSecOps를 마스터하는 사람들은 길고 수익성있는 경력을 기대할 수 있습니다.
DevSecOps 엔지니어의 작업 보안은 소프트웨어 기반 도구 의 배열을 통해 취약점 스캔과 같은 기존의 사이버 보안 전술과 달리 DevSecOps는 코딩할 때 보안을 구현하는 방법을 아는 사람들이 필요하기 때문에 더욱 보장됩니다. 부즈, 앨런과 해밀턴의 애널리스트는 자신의 블로그에 언급 5 DevSecOps 채택의 신화, 조직은 원하는 심지어 DevSecOps필요, 하지만 단순히 그것을 살 수 없습니다. DevSecOps는 전체 소프트웨어 개발 수명 주기 동안 교차 기능 팀이 기술을 통합하고 협업할 수 있는 방법론으로, 숙련된 인력, 변경 관리 및 여러 이해 관계자의 지속적인 노력이 필요합니다.
Booz, Allen 및 Hamilton에 따르면, 회사는 릴리스 관리 소프트웨어와 같은 DevSecOps의 특정 측면을 돕기 위해 앱과 도구를 구입할 수 있습니다. 그들은 DevSecOps와 문화적, 패러다임 변화에 의해 제공되는 지속적인 개선을 추진하는 사람입니다.
조직은 실행 가능한 DevSecOps 프로그램을 "구매"할 수 없습니다. 또한 비즈니스 감각을 만드는 동시에 보안 문화를 향상시키는 다양한 도구, 사내 지식 및 지침을 사용하여 구축하고 유지관리해야 합니다. 쉽지는 않지만 불가능과는 거리가 멀다.
DevSecOps 운동에서 엉덩이를 걷어차는 방법
DevSecOps 엔지니어가 되기 위한 첫 번째 단계 중 하나는 일련의 기술만큼이나 문화라는 것을 깨닫고 있습니다. 생성하는 모든 코드의 일부로 보안을 구현하려는 의지와 코딩할 때 보안 결함 및 취약점을 적극적으로 찾고 프로덕션에 들어가기 훨씬 전에 수정하여 조직을 사전에 보호하려는 의지가 필요합니다. 대부분의 DevSecOps 엔지니어는 자신의 직업과 기술을 매우 진지하게 생각합니다. DevSecOps 전문 조직은 심지어 자신의 신념을 진술하는 성명서가 있습니다.
성명서는 거의 가벼운 독서가 되기 때문에 이 선언문은 일종의 무거운 손길입니다. 그러나 핵심은 모든 위대한 DevSecOps 엔지니어가 포용하는 법을 배워야한다는 몇 가지 진실이 있습니다.
- 응용 프로그램 보안 팀이 당신의 동맹임을 깨닫습니다. 대부분의 조직에서 AppSec 전문가는 항상 더 많은 작업을 위해 완료된 코드를 다시 보내고 있기 때문에 개발자와 상충됩니다. AppSec 팀은 일반적인 보안 버그를 도입하여 완성된 코드가 프로덕션에 들어가는 것을 지연시킬 수 있기 때문에 개발자에 대한 사랑을 많이 받지 못하는 경우가 많습니다. 그러나 스마트 DevSecOps 엔지니어는 보안 팀의 목표가 궁극적으로 개발자 및 코더와 동일하다는 것을 알게 될 것입니다. 당신은 가장 친한 친구가 될 필요가 없습니다, 하지만 조용하고 협력 작업 관계를 형성하는 것은 성공에 매우 중요합니다.
- 보안 코딩 기술을 연습하고 구체화합니다. 앱이 아직 빌드되는 동안 취약한 방법을 찾을 수 있다면 이러한 허점을 닫으면 향후 해커가 트랙에서 멈출 수 있습니다. 물론 이를 위해서는 취약점에 대한 이해와 취약점을 해결하는 데 도움이 되는 도구가 모두 필요합니다. Secure Code Warrior 블로그 페이지는 당신이 발생할 가장 일반적이고 위험한 취약점에 대한 통찰력을 제공 할 수 있습니다, 뿐만 아니라 실용적인 조언과 지식을 테스트하는 도전. 가장 중요한 측면은 보안을 최우선으로 유지하고 기존 지식을 구축하는 데 도움이 되는 한입 크기의 교육을 위한 시간을 내는 것입니다. 개발자와 보안의 상호 작용이 매우 눈에 띄지 않는 것이 일반적입니다 - 심지어 부정적인 - 그러나 보안에 대한 업스킬링은 훌륭한 경력 이동이며, 집안일 필요는 없습니다.
- 기억하세요: DevSecOps 슈퍼스타는 조직에서 긍정적인 보안 문화에 기여합니다. 고유한 문제에 관계없이 앱을 신속하게 제공하는 것과 같은 과거의 목표에 집중하는 대신 코드 개발의 취약점을 찾아 해결하는 것이 중요합니다. 보안은 모든 사람의 업무로 간주되어야 하며, 모든 사람은 효과적이고 매우 안전한 애플리케이션을 배포할 때마다 제공되는 칭찬과 보상을 공유해야 합니다.
처음부터 안전한 코딩 및 보안 모범 사례를 옹호하고, 교육 솔루션을 권장하며, DevSecOps의 모든 실습, 빠르게 진행되는 세상에 코더가 남지 않도록 하여 조직에서 놀라운 보안 문화를 육성하는 데 도움을 줄 수 있습니다. 유일한 좋은 코드는 보안 코드이며, 숙련 된 보안 인식 개발자는 퍼즐의 중요한 조각입니다. 개인적, 직업적 보상은 확실히 노력할 만한 가치가 있으며, 매년 개인 데이터 기록의 청구서가 손상되어 여러분이 필요합니다. 최전선에서 자리를 차지하고 디지털 세계에서 악당을 방어하는 데 도움이됩니다.
마티아스 마두 박사, CTO 및 공동 설립자 Secure Code Warrior . 그는 보안 전문가, 오랜 개발자, 포트나이트 마약 중독자입니다.
마티아스 마두, Ph.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
킥-엉덩이 DevSecOps 엔지니어가 되는 방법
기술 자체와 마찬가지로 코드 개발을 위한 도구, 기술 및 최적의 프로세스가 빠르게 진화합니다. 우리 인간은 더 많은 소프트웨어, 더 많은 기능, 더 많은 기능에 대한 무정의 필요성을 가지고 ... 그리고 우리는 그 어느 때보 다 빨리, 더 질적, 그리고 그 위에: 안전. 불과 몇 년 전만 해도 Agile 개발은 큰 규모의 작업을 작은 조각으로 나누기 위해 사용되고 고객으로부터 오는 빠른 피드백 주기에 신속하게 적응할 수 있는 다음 큰 일이었습니다. 그 전에는 폭포 방법이 언덕의 왕이었습니다.
많은 사람들과 조직이 폭포에서 애자일로 이동하고 있지만, 모두가 아직 거기에 있지는 않지만, 개발 팀과 운영 상대방은 여전히 사일로에서 일하고 있습니다. 이러한 환경에서 는 Agile 방식으로 작업하는 소규모 팀이 더 빠른 배포와 빠른 납품에 대한 약속을 어떻게 제공할 수 있습니까?
개발과 운영의 조합인 DevOps는새 소프트웨어를 만들 때 개발자와 운영 팀의 기능을 병합하기 위해 만들어졌습니다. 본질적으로, 이것은 개발자가 운영 팀에 울타리를 던져 자신의 책임을 만드는 대신, 생산에 물건을 넣어의 소유권을 가지고 하는 데 도움이되었다.
그들은 확실히 더 빨리 발송 할 수 있습니다 -- 심지어 하루에 몇 번 - 이는 민첩의 골목에서 재생 보인다. 그러나 DevOps는 여전히 하나의 크고 혼합된 엔지니어 및 운영 인력 팀을 구성하며, 이는 실제로 민첩한 정렬이 아닐 수도 있습니다. 궁극적으로, 방법론이 여러 면에서 유사하고, 그 차이에서 상호 보완적이기 때문에 DevOps를 애자일의 진화로 생각하는 것이 가장 좋습니다. DevOps는 자동화되고 지속적인 통합 및 배포 파이프라인을 촉진하며, 이는 빈번한 릴리스를 사용하도록 하는 데 필수적이지만 팀 수준에서는 충분하지 않습니다. Agile은 팀, 특히 소규모 팀이 이러한 신속한 릴리스 및 변경 요구 사항에 보조를 맞추면서 업무 와 협업을 유지할 수 있도록 합니다. 확실히 이상해 보이며, 이 과정은 팀이 최종 목표를 달성할 수 있도록 할 수 있지만, 자체 적인 문제가 없는 것은 아닙니다.
DevOps 모범 사례를 사용하여 만든 소프트웨어는 여전히 첫 번째 보스 싸움에서 우연히 발견 할 수있는 잠재력을 가지고 : 보안 팀. 툴링이나 복잡한 수동 검토를 통해 기존/폭포 AppSec 전문가가 코드를 검사하면 종종 허용되지 않는 위험과 취약점을 발견하여 사실 이후에 수정해야 합니다. 보안 수정을 완료된 앱으로 개조하는 과정은 빠르지도 쉽지도 않습니다. 그리고 조직에 훨씬 더 비싸다.
그렇다면 세계가 폭포, 애자일, 그리고 지금 DevOps를 지나가고 있다면 해결책은 무엇일까요? 그리고 개발자로서 이러한 접근 방식의 변화에 보조를 맞추는 데 어떤 역할을 해야 합니까?
개발 기술은 진화의 일정한 상태에 있지만, 고맙게도,이 큰 변화가 아니다. 조직은 "DevOps"에 "Sec"을 넣어야합니다... 그래서, 데브세옵스가 태어났습니다. DevSecOps의 주요 목표는 개발, 운영 및 마지막으로 보안 팀 간의 장벽을 허물고 공동 작업을 열어두는 것입니다. DevSecOps는 소프트웨어 엔지니어링 전술이자 소프트웨어 개발 수명 주기 전반에 걸쳐 보안 자동화 및 모니터링을 옹호하는 문화가 되었습니다.
이것은 또 다른 조직 수준의 프로세스처럼 보일 수 있습니다., 아마도 하나 "너무 많은 요리사" 그것은 구축 하는 기능의 긴 목록을 가진 개발자에 관해서. 그러나 DevSecOps 방법론은 보안 인식 개발자가 정말 빛날 수있는 기회를 열어줍니다.
데브세옵스의 밝은 미래
그렇다면 왜 코더가 DevSecOps 엔지니어가 되고 싶어할까요? DevOps (또는 심지어 민첩한)에 대한 몇 가지 경험이 있지만 DevSecOps에서 능숙해지기 위해 다음 단계를 수행하려고합니다. 우선, 비용이 많이 드는 사이버 공격으로부터 세상을 안전하게 만들기 위한 탐구뿐만 아니라 매우 현명한 움직임이라는 것을 아는 것이 좋습니다. 전문가들은 재능있는 사이버 보안 인력에 대한 수요가 급증하고 있다고 말합니다. DevSecOps를 마스터하는 사람들은 길고 수익성있는 경력을 기대할 수 있습니다.
DevSecOps 엔지니어의 작업 보안은 소프트웨어 기반 도구 의 배열을 통해 취약점 스캔과 같은 기존의 사이버 보안 전술과 달리 DevSecOps는 코딩할 때 보안을 구현하는 방법을 아는 사람들이 필요하기 때문에 더욱 보장됩니다. 부즈, 앨런과 해밀턴의 애널리스트는 자신의 블로그에 언급 5 DevSecOps 채택의 신화, 조직은 원하는 심지어 DevSecOps필요, 하지만 단순히 그것을 살 수 없습니다. DevSecOps는 전체 소프트웨어 개발 수명 주기 동안 교차 기능 팀이 기술을 통합하고 협업할 수 있는 방법론으로, 숙련된 인력, 변경 관리 및 여러 이해 관계자의 지속적인 노력이 필요합니다.
Booz, Allen 및 Hamilton에 따르면, 회사는 릴리스 관리 소프트웨어와 같은 DevSecOps의 특정 측면을 돕기 위해 앱과 도구를 구입할 수 있습니다. 그들은 DevSecOps와 문화적, 패러다임 변화에 의해 제공되는 지속적인 개선을 추진하는 사람입니다.
조직은 실행 가능한 DevSecOps 프로그램을 "구매"할 수 없습니다. 또한 비즈니스 감각을 만드는 동시에 보안 문화를 향상시키는 다양한 도구, 사내 지식 및 지침을 사용하여 구축하고 유지관리해야 합니다. 쉽지는 않지만 불가능과는 거리가 멀다.
DevSecOps 운동에서 엉덩이를 걷어차는 방법
DevSecOps 엔지니어가 되기 위한 첫 번째 단계 중 하나는 일련의 기술만큼이나 문화라는 것을 깨닫고 있습니다. 생성하는 모든 코드의 일부로 보안을 구현하려는 의지와 코딩할 때 보안 결함 및 취약점을 적극적으로 찾고 프로덕션에 들어가기 훨씬 전에 수정하여 조직을 사전에 보호하려는 의지가 필요합니다. 대부분의 DevSecOps 엔지니어는 자신의 직업과 기술을 매우 진지하게 생각합니다. DevSecOps 전문 조직은 심지어 자신의 신념을 진술하는 성명서가 있습니다.
성명서는 거의 가벼운 독서가 되기 때문에 이 선언문은 일종의 무거운 손길입니다. 그러나 핵심은 모든 위대한 DevSecOps 엔지니어가 포용하는 법을 배워야한다는 몇 가지 진실이 있습니다.
- 응용 프로그램 보안 팀이 당신의 동맹임을 깨닫습니다. 대부분의 조직에서 AppSec 전문가는 항상 더 많은 작업을 위해 완료된 코드를 다시 보내고 있기 때문에 개발자와 상충됩니다. AppSec 팀은 일반적인 보안 버그를 도입하여 완성된 코드가 프로덕션에 들어가는 것을 지연시킬 수 있기 때문에 개발자에 대한 사랑을 많이 받지 못하는 경우가 많습니다. 그러나 스마트 DevSecOps 엔지니어는 보안 팀의 목표가 궁극적으로 개발자 및 코더와 동일하다는 것을 알게 될 것입니다. 당신은 가장 친한 친구가 될 필요가 없습니다, 하지만 조용하고 협력 작업 관계를 형성하는 것은 성공에 매우 중요합니다.
- 보안 코딩 기술을 연습하고 구체화합니다. 앱이 아직 빌드되는 동안 취약한 방법을 찾을 수 있다면 이러한 허점을 닫으면 향후 해커가 트랙에서 멈출 수 있습니다. 물론 이를 위해서는 취약점에 대한 이해와 취약점을 해결하는 데 도움이 되는 도구가 모두 필요합니다. Secure Code Warrior 블로그 페이지는 당신이 발생할 가장 일반적이고 위험한 취약점에 대한 통찰력을 제공 할 수 있습니다, 뿐만 아니라 실용적인 조언과 지식을 테스트하는 도전. 가장 중요한 측면은 보안을 최우선으로 유지하고 기존 지식을 구축하는 데 도움이 되는 한입 크기의 교육을 위한 시간을 내는 것입니다. 개발자와 보안의 상호 작용이 매우 눈에 띄지 않는 것이 일반적입니다 - 심지어 부정적인 - 그러나 보안에 대한 업스킬링은 훌륭한 경력 이동이며, 집안일 필요는 없습니다.
- 기억하세요: DevSecOps 슈퍼스타는 조직에서 긍정적인 보안 문화에 기여합니다. 고유한 문제에 관계없이 앱을 신속하게 제공하는 것과 같은 과거의 목표에 집중하는 대신 코드 개발의 취약점을 찾아 해결하는 것이 중요합니다. 보안은 모든 사람의 업무로 간주되어야 하며, 모든 사람은 효과적이고 매우 안전한 애플리케이션을 배포할 때마다 제공되는 칭찬과 보상을 공유해야 합니다.
처음부터 안전한 코딩 및 보안 모범 사례를 옹호하고, 교육 솔루션을 권장하며, DevSecOps의 모든 실습, 빠르게 진행되는 세상에 코더가 남지 않도록 하여 조직에서 놀라운 보안 문화를 육성하는 데 도움을 줄 수 있습니다. 유일한 좋은 코드는 보안 코드이며, 숙련 된 보안 인식 개발자는 퍼즐의 중요한 조각입니다. 개인적, 직업적 보상은 확실히 노력할 만한 가치가 있으며, 매년 개인 데이터 기록의 청구서가 손상되어 여러분이 필요합니다. 최전선에서 자리를 차지하고 디지털 세계에서 악당을 방어하는 데 도움이됩니다.
마티아스 마두 박사, CTO 및 공동 설립자 Secure Code Warrior . 그는 보안 전문가, 오랜 개발자, 포트나이트 마약 중독자입니다.
