효과적인 개발자 보안 교육을 출시하는 방법: 5가지 중요한 교훈

2017년 10월 4일 게시
작성자: 피터 댄히외
사례 연구

효과적인 개발자 보안 교육을 출시하는 방법: 5가지 중요한 교훈

2017년 10월 4일 게시
작성자: 피터 댄히외
리소스 보기
리소스 보기

한 개발자 응용 프로그램 보안 교육 프로그램이 다른 개발자보다 더 나은 결과를 생성하는 이유는 무엇입니까?

SANS 트레이너로 10 년 이상 지난 3 년 동안 설립 및 건물 Secure Code Warrior (SCW), 나는 교육 프로그램이 최상의 결과를 생산만들기에 시간과 자원을 투자의 가치를 보았다.

판매 첫해에 10,000명 이상의 개발자가 보안 코드 교육에 참여했으며, 가장 효과적으로 배포한 개발자들 사이에서 몇 가지 트렌드를 발견했습니다. 참여도가 높고, 보안 인식이 향상되었으며, 보안 약점을 조기에 발견하여 비용이 많이 들기 전에 프로그램의 ROI가 높았다는 놀라운 결과를 얻었습니다.

나는 그것을 인정하는 것을 싫어하지만, 또한 "낮은 노력"접근 방식을 취하고 교육에 대한 링크가있는 이메일을 보내 프로그램을 출시하려고 시도한 몇 가지 사람들도 있었습니다. 당연히, 그것은 뿐만 아니라 운임 하지 않습니다 그리고 우리는이 롤아웃을 수정 했다.

아래에서 저는 저희를 포함한 개발자 보안 교육 프로그램의 참여 수준, 영향 및 성공을 크게 향상시키는 5가지 중요한 교훈을 공유하고 있습니다.

1. 프로그램에 영향을 미치려면 시작에 재미를 넣어

특별한 킥오프 날 이벤트를 만들거나, 프로그램에 영화 /괴짜 / 게임 테마를 주는 것은 처음부터 흥분과 참여의 수준에 큰 차이를 만들 수 있습니다. 우리의 큰 고객 중 하나는 티셔츠, 배지 및 스티커와 함께 인기있는 TV 시리즈를 중심으로 전체 판타지 프로그램을 만들어 전체 교육 프로그램을 개발자가 놓치고 싶지 않은 경험을 만들었습니다. 또 다른 테마는 5월 4일에 편리하게 개최된 스타워즈를 중심으로 진행되었습니다. 직원들이 탑승할 수 있도록 돕는 데 는 약간의 재미가 있으며, 중요한 개발자 보안 코드 기술 교육의 짧은 버스트는 수행해야 하는 다른 작업보다는 직장에서 휴식처럼 느껴집니다. 이정표는 #1 달성, 우리는 그들의 관심을 가지고 그들은 프로그램에 대해 알고있다.

2. 올바른 개발자 보안 교육 챔피언을 찾으십시오 (힌트 : 보안 기술보다 통신 기술이 더 필요합니다!)

각 스크럼 팀에서 올바른 보안 챔피언을 찾을 수 있다는 것은 특히 대규모 조직에서 지속적인 프로그램 성공에 매우 중요합니다. 제 경험에 비추어 볼 때, 모든 고도로 숙련된 보안 또는 개발자 전문가가 고도로 발달된 사람 및/또는 커뮤니케이션 기술을 가지고 있는 것은 아닙니다. 최고의 보안 챔피언, 프로그램에 긍정적인 온-진행 영향을 줄 것 이다 사람들, 보안에 대 한 열정과 강한 사람들이, 영향을 미치는 의사 소통 기술. 현명하게 선택하고 성격과 의사 소통 기술을 고려하십시오.

3. 기술을 인식하는 멋진 보상이 있습니다.

일반적으로 개발자를 포함한 모든 컴퓨터 괴짜는 지능과 기술로 인정받는 것을 좋아합니다. 특정 상태 스티커, 괴짜 가제트, 특수 배지 또는 자신의 기술을 인식하는 맞춤형 인쇄 티셔츠로 보상하면 착용하거나 자부심을 표시합니다. 누군가가 훈련 프로그램에서 중요한 무언가를 달성하는 경우에, 그(것)들에게 인식과 노출을 주는 쪽을 생각하는 것이 중요합니다. 나는 정기적으로 자신의 사진을 찍은 한 고객과 함께 큰 이니셔티브를 보았다 Secure Code Warrior 챔피언과 직원의 뉴스 레터에 회사의 CISO에서 사진과 메시지와 함께 그들을 게시.

4. 개발자를 보안 전문가로 만들지 마십시오.

개발자가 안전하게 코딩할 수 있도록 지원하여 보안 프로그램의 "첫 번째 방어선"을 만들려는 것은 아니지만, 그렇다고 해서 비즈니스에서 가장 심층적인 보안 전문가가 되어야 한다는 의미는 아닙니다. 또는 새로운 보안 취약점 및 데이터 유출 예제를 지속적으로 푸시해야 합니다. 보안이 중요하지만 주요 목표는 종종 훌륭한 제품이나 서비스를 구축하고 비즈니스 속도를 따르는 것입니다. 보안이 너무 많은 사람에게 과부하가 가중되면 보안이 너무 많은 사람을 분리할 위험이 있습니다. 주요 교훈은 기본적인 보안 위생을 이해하고 안전하게 코딩할 수 있는 도구로 지원해야 하지만 회사 보안 전문가가 될 필요는 없습니다.

5. 훈련을 측정하지 말고 영향을 측정하지 마십시오.

개발자가 얼마나 많은 시간을 교육하는지 또는 얼마나 많은 비디오가 시청하는지 측정하지 말고 각 팀에서 프로그램을 시작하기 전에 코드 분석, 버그 현상금 또는 고전적인 취약점 테스트를 통해 개발 수명 주기에서 포착되는 약점 수를 측정하지 마십시오.  교육 프로그램이 작동하는 경우 식별되는 취약점의 수가 감소합니다. 두 번째로 측정해야 할 것은 취약점을 해결하는 데 걸리는 시간입니다. 개발자가 문제를 해결하는 데 한 달이 걸리는 경우, 이것은 분명히 그들이 그것을 수행하는 방법을 이해하지 못하는 보여줍니다, 하지만 그들은 한 시간에 그것을 해결할 수 있다면, 당신은 그들이 기술을 마스터 알고있다. 이 두 가지 지표는 영리한 회사가 개발자 보안 코딩 교육의 영향을 측정하기 위해 사용하는 두 가지 지표입니다.

효과적인 개발자 보안 교육을 출시하는 방법에 대한 5가지 중요한 교훈:

  1. 프로그램에 영향을 미치려면 시작에 재미를 넣어
  2. 올바른 개발자 보안 교육 챔피언을 찾으십시오 (힌트 : 보안 기술보다 통신 기술이 더 필요합니다!)
  3. 기술을 인식하는 멋진 보상이 있습니다.
  4. 개발자를 보안 전문가로 만들지 마십시오.
  5. 교육을 측정하지 말고 영향을 측정하지 마십시오.
리소스 보기
리소스 보기

저자

피터 다뉴

피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.

더 알고 싶으신가요?

블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.

Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.

블로그 보기
더 알고 싶으신가요?

개발자 중심 보안에 대한 최신 연구 보기

광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.

리소스 허브

효과적인 개발자 보안 교육을 출시하는 방법: 5가지 중요한 교훈

2017년 10월 4일 게시
By 피터 댄히외

한 개발자 응용 프로그램 보안 교육 프로그램이 다른 개발자보다 더 나은 결과를 생성하는 이유는 무엇입니까?

SANS 트레이너로 10 년 이상 지난 3 년 동안 설립 및 건물 Secure Code Warrior (SCW), 나는 교육 프로그램이 최상의 결과를 생산만들기에 시간과 자원을 투자의 가치를 보았다.

판매 첫해에 10,000명 이상의 개발자가 보안 코드 교육에 참여했으며, 가장 효과적으로 배포한 개발자들 사이에서 몇 가지 트렌드를 발견했습니다. 참여도가 높고, 보안 인식이 향상되었으며, 보안 약점을 조기에 발견하여 비용이 많이 들기 전에 프로그램의 ROI가 높았다는 놀라운 결과를 얻었습니다.

나는 그것을 인정하는 것을 싫어하지만, 또한 "낮은 노력"접근 방식을 취하고 교육에 대한 링크가있는 이메일을 보내 프로그램을 출시하려고 시도한 몇 가지 사람들도 있었습니다. 당연히, 그것은 뿐만 아니라 운임 하지 않습니다 그리고 우리는이 롤아웃을 수정 했다.

아래에서 저는 저희를 포함한 개발자 보안 교육 프로그램의 참여 수준, 영향 및 성공을 크게 향상시키는 5가지 중요한 교훈을 공유하고 있습니다.

1. 프로그램에 영향을 미치려면 시작에 재미를 넣어

특별한 킥오프 날 이벤트를 만들거나, 프로그램에 영화 /괴짜 / 게임 테마를 주는 것은 처음부터 흥분과 참여의 수준에 큰 차이를 만들 수 있습니다. 우리의 큰 고객 중 하나는 티셔츠, 배지 및 스티커와 함께 인기있는 TV 시리즈를 중심으로 전체 판타지 프로그램을 만들어 전체 교육 프로그램을 개발자가 놓치고 싶지 않은 경험을 만들었습니다. 또 다른 테마는 5월 4일에 편리하게 개최된 스타워즈를 중심으로 진행되었습니다. 직원들이 탑승할 수 있도록 돕는 데 는 약간의 재미가 있으며, 중요한 개발자 보안 코드 기술 교육의 짧은 버스트는 수행해야 하는 다른 작업보다는 직장에서 휴식처럼 느껴집니다. 이정표는 #1 달성, 우리는 그들의 관심을 가지고 그들은 프로그램에 대해 알고있다.

2. 올바른 개발자 보안 교육 챔피언을 찾으십시오 (힌트 : 보안 기술보다 통신 기술이 더 필요합니다!)

각 스크럼 팀에서 올바른 보안 챔피언을 찾을 수 있다는 것은 특히 대규모 조직에서 지속적인 프로그램 성공에 매우 중요합니다. 제 경험에 비추어 볼 때, 모든 고도로 숙련된 보안 또는 개발자 전문가가 고도로 발달된 사람 및/또는 커뮤니케이션 기술을 가지고 있는 것은 아닙니다. 최고의 보안 챔피언, 프로그램에 긍정적인 온-진행 영향을 줄 것 이다 사람들, 보안에 대 한 열정과 강한 사람들이, 영향을 미치는 의사 소통 기술. 현명하게 선택하고 성격과 의사 소통 기술을 고려하십시오.

3. 기술을 인식하는 멋진 보상이 있습니다.

일반적으로 개발자를 포함한 모든 컴퓨터 괴짜는 지능과 기술로 인정받는 것을 좋아합니다. 특정 상태 스티커, 괴짜 가제트, 특수 배지 또는 자신의 기술을 인식하는 맞춤형 인쇄 티셔츠로 보상하면 착용하거나 자부심을 표시합니다. 누군가가 훈련 프로그램에서 중요한 무언가를 달성하는 경우에, 그(것)들에게 인식과 노출을 주는 쪽을 생각하는 것이 중요합니다. 나는 정기적으로 자신의 사진을 찍은 한 고객과 함께 큰 이니셔티브를 보았다 Secure Code Warrior 챔피언과 직원의 뉴스 레터에 회사의 CISO에서 사진과 메시지와 함께 그들을 게시.

4. 개발자를 보안 전문가로 만들지 마십시오.

개발자가 안전하게 코딩할 수 있도록 지원하여 보안 프로그램의 "첫 번째 방어선"을 만들려는 것은 아니지만, 그렇다고 해서 비즈니스에서 가장 심층적인 보안 전문가가 되어야 한다는 의미는 아닙니다. 또는 새로운 보안 취약점 및 데이터 유출 예제를 지속적으로 푸시해야 합니다. 보안이 중요하지만 주요 목표는 종종 훌륭한 제품이나 서비스를 구축하고 비즈니스 속도를 따르는 것입니다. 보안이 너무 많은 사람에게 과부하가 가중되면 보안이 너무 많은 사람을 분리할 위험이 있습니다. 주요 교훈은 기본적인 보안 위생을 이해하고 안전하게 코딩할 수 있는 도구로 지원해야 하지만 회사 보안 전문가가 될 필요는 없습니다.

5. 훈련을 측정하지 말고 영향을 측정하지 마십시오.

개발자가 얼마나 많은 시간을 교육하는지 또는 얼마나 많은 비디오가 시청하는지 측정하지 말고 각 팀에서 프로그램을 시작하기 전에 코드 분석, 버그 현상금 또는 고전적인 취약점 테스트를 통해 개발 수명 주기에서 포착되는 약점 수를 측정하지 마십시오.  교육 프로그램이 작동하는 경우 식별되는 취약점의 수가 감소합니다. 두 번째로 측정해야 할 것은 취약점을 해결하는 데 걸리는 시간입니다. 개발자가 문제를 해결하는 데 한 달이 걸리는 경우, 이것은 분명히 그들이 그것을 수행하는 방법을 이해하지 못하는 보여줍니다, 하지만 그들은 한 시간에 그것을 해결할 수 있다면, 당신은 그들이 기술을 마스터 알고있다. 이 두 가지 지표는 영리한 회사가 개발자 보안 코딩 교육의 영향을 측정하기 위해 사용하는 두 가지 지표입니다.

효과적인 개발자 보안 교육을 출시하는 방법에 대한 5가지 중요한 교훈:

  1. 프로그램에 영향을 미치려면 시작에 재미를 넣어
  2. 올바른 개발자 보안 교육 챔피언을 찾으십시오 (힌트 : 보안 기술보다 통신 기술이 더 필요합니다!)
  3. 기술을 인식하는 멋진 보상이 있습니다.
  4. 개발자를 보안 전문가로 만들지 마십시오.
  5. 교육을 측정하지 말고 영향을 측정하지 마십시오.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

전송
양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.