보안 챔피언으로 가는 길: Workday가 애자일 학습을 활용하여 개발자의 역량을 강화한 방법
상황
Workday가 애자일 학습을 도입하기 전에는 Secure Code Warrior 을 통해 애자일 학습을 구현하기 전에는 몇 가지 의사 코드 예제와 함께 OWASP 상위 10개 취약점을 다룬 파워포인트 프레젠테이션 녹화물로 구성된 사내 courses 를 활용하고 있었습니다. 보안 개발자 교육 프로그램 관리자 알렉스 우다는 이러한 방식이 자신의 팀과 보안 팀 전체가 Workday의 전반적인 보안 태세를 개선하려는 목표를 달성하는 데 도움이 되지 않는다는 것을 깨달았습니다. 개발자들이 빠르게 교육에 참여하지 않게 되자, 개발자들의 피드백을 요청하기로 결정하고 계속해서 제기되는 두 가지 항목이 있다는 점에 주목했습니다:
- 더 많은 실습 유형의 교육 필요성
- 더 많은 언어별 콘텐츠의 필요성
액션
알렉스와 그의 팀은 개발자와 협력하면서 개발자의 동의를 얻어 매력적이고 성공적인 보안 코드 학습 프로그램을 만들기 위해 두 가지 주요 우선순위를 파악했습니다.
명확성과 단순성
대부분의 개발자는 보안에 대한 지식을 가지고 업무에 임하지 않습니다. 답답하거나 시간이 많이 걸리는 작업은 개발자로 하여금 미봉책과 해킹을 찾게 만듭니다. Workday가 SCW에 주목한 점은 개발자가 프로세스를 명확하게 이해하고 소유하며 워크플로에 통합할 수 있다는 점입니다.
실행 가능성 및 가치
개발자는 무엇보다도 코드베이스/라이프사이클에 영향을 미치는 사항을 신속하게 조치할 수 있기를 원합니다. 그러기 위해서는 개발자가 그렇게 하는 방법에 대한 교육을 받아야 합니다. 개발자가 보안과 같은 주제에 관심을 갖도록 하려면 이러한 주제의 가치를 강조하세요.
프로그램 구조화 측면에서 알렉스와 그의 팀은 먼저 보안 챔피언으로 구성된 파일럿 그룹으로부터 플랫폼에 대한 피드백을 수집하고 고객 성공 관리자와 협력하여 제안 사항을 구현했습니다. 그런 다음 Alex와 팀은 SAST 도구와 인시던트 및 보안 이벤트 수에 대한 다양한 메트릭을 검토하여 현재 환경에서 가장 높은 위험이 무엇인지, 업계 전반에서 어떤 일이 일어나고 있는지 평가했습니다. 처음에는 OWASP 상위 10위와 가장 일반적이고 위험도가 높은 취약점(
)에 집중했습니다.
"개발자에게 이러한 학습과 기관을 제공함으로써 SCW는 소프트웨어 보안을 적극적으로 개선할 수 있도록 만들었습니다. 코드 작성뿐만 아니라 성장 기회와 커리어 기회도 얻을 수 있습니다. 보안 프로그램은 회사 전체가 힘을 합쳐 지원하는 분야이기 때문에 개발자가 학습과 개발을 위한 시간을 확보할 수 있었습니다. 일주일에 두 시간씩 일정 기간 동안 학습하는 것은 일관성 있게 근육을 키우는 데 도움이 됩니다."
결과
전통적으로 보안은 개발 프로세스의 마지막 단계에 있다고 생각하기 쉽습니다. 보안팀과 협력하는 Workday의 개발자는 이제 보안을 개발 주기의 중요한 구성 요소로 인식합니다. 개발자는 SDLC 초기에 보안 항목을 신속하게 조치할 수 있으며, 이는 이 프로그램의 가장 큰 효과였습니다. 더블린에 위치한 한 팀의 경우, 개발자들은 하루 평균 31.08건에 달하던 4662건의 보안 이슈를 약 18개월 만에 0건으로 줄였습니다.
Alex는 이 프로그램의 성장에 대해 "최고의 보안 챔피언들과 함께 시작한 후 눈덩이처럼 불어난 효과"라고 설명했습니다. 경영진에게 프로그램과 그 혜택을 알리고 멤버십을 계속 늘리면서 입소문을 통해 거의 자연스럽게 성장했습니다. 교육 관점에서, 우리의 목표는 개발자가 코드를 안전하게 개발하는 데 필요한 기술을 제공하는 것입니다. 이는 Workday가 계속 성장하고 있기 때문에 특히 중요합니다."
주요 내용
Alex는 "보안을 성공적으로 확장하려면 개발자가 소프트웨어 개발의 설계 단계에서 보안 위험을 식별하는 데 도움이 되는 보안 마인드를 가져야 합니다. 이는 개발자가 시간과 비용을 절약하고 마음의 고통을 덜어줄 수 있도록 권한을 부여하는 이니셔티브에 부합합니다. 보안 코드 학습을 더 잘 수행할수록 스캔 및 펜테스트 결과에서 발견되는 취약점이 줄어듭니다."
개발자에게는 보안에 대해 배울 때 재미있게 배우는 것이 중요합니다
SCW는 보안이 얼마나 흥미로울 수 있는지 잘 보여줍니다. 보안 학습에 참여하게 된다면 완전히 받아들이세요. 개발 프로세스의 일부이자 경력 성장의 일부로 생각하세요.
개발자가 보안에 대해 궁금한 점이 있으면 팀에 문의하도록 장려하세요
대화를 나누고 협업을 시작하세요.↪CF_200D↩
보안을 프로젝트의 블랙박스 또는 볼트온으로 간주하는 것은 구식이며 궁극적으로 소프트웨어에 해를끼칩니다
보안을 개발 프로세스의 일부로 수용하는 것은 TDD, 애자일, 린팅을 수용하는 것과 같은 방식으로 고객에게 제공되는 소프트웨어의 흐름을 개선하고 품질을 높일 수 있습니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
보안 챔피언으로 가는 길: Workday가 애자일 학습을 활용하여 개발자의 역량을 강화한 방법
상황
Workday가 애자일 학습을 도입하기 전에는 Secure Code Warrior 을 통해 애자일 학습을 구현하기 전에는 몇 가지 의사 코드 예제와 함께 OWASP 상위 10개 취약점을 다룬 파워포인트 프레젠테이션 녹화물로 구성된 사내 courses 를 활용하고 있었습니다. 보안 개발자 교육 프로그램 관리자 알렉스 우다는 이러한 방식이 자신의 팀과 보안 팀 전체가 Workday의 전반적인 보안 태세를 개선하려는 목표를 달성하는 데 도움이 되지 않는다는 것을 깨달았습니다. 개발자들이 빠르게 교육에 참여하지 않게 되자, 개발자들의 피드백을 요청하기로 결정하고 계속해서 제기되는 두 가지 항목이 있다는 점에 주목했습니다:
- 더 많은 실습 유형의 교육 필요성
- 더 많은 언어별 콘텐츠의 필요성
액션
알렉스와 그의 팀은 개발자와 협력하면서 개발자의 동의를 얻어 매력적이고 성공적인 보안 코드 학습 프로그램을 만들기 위해 두 가지 주요 우선순위를 파악했습니다.
명확성과 단순성
대부분의 개발자는 보안에 대한 지식을 가지고 업무에 임하지 않습니다. 답답하거나 시간이 많이 걸리는 작업은 개발자로 하여금 미봉책과 해킹을 찾게 만듭니다. Workday가 SCW에 주목한 점은 개발자가 프로세스를 명확하게 이해하고 소유하며 워크플로에 통합할 수 있다는 점입니다.
실행 가능성 및 가치
개발자는 무엇보다도 코드베이스/라이프사이클에 영향을 미치는 사항을 신속하게 조치할 수 있기를 원합니다. 그러기 위해서는 개발자가 그렇게 하는 방법에 대한 교육을 받아야 합니다. 개발자가 보안과 같은 주제에 관심을 갖도록 하려면 이러한 주제의 가치를 강조하세요.
프로그램 구조화 측면에서 알렉스와 그의 팀은 먼저 보안 챔피언으로 구성된 파일럿 그룹으로부터 플랫폼에 대한 피드백을 수집하고 고객 성공 관리자와 협력하여 제안 사항을 구현했습니다. 그런 다음 Alex와 팀은 SAST 도구와 인시던트 및 보안 이벤트 수에 대한 다양한 메트릭을 검토하여 현재 환경에서 가장 높은 위험이 무엇인지, 업계 전반에서 어떤 일이 일어나고 있는지 평가했습니다. 처음에는 OWASP 상위 10위와 가장 일반적이고 위험도가 높은 취약점(
)에 집중했습니다.
"개발자에게 이러한 학습과 기관을 제공함으로써 SCW는 소프트웨어 보안을 적극적으로 개선할 수 있도록 만들었습니다. 코드 작성뿐만 아니라 성장 기회와 커리어 기회도 얻을 수 있습니다. 보안 프로그램은 회사 전체가 힘을 합쳐 지원하는 분야이기 때문에 개발자가 학습과 개발을 위한 시간을 확보할 수 있었습니다. 일주일에 두 시간씩 일정 기간 동안 학습하는 것은 일관성 있게 근육을 키우는 데 도움이 됩니다."
결과
전통적으로 보안은 개발 프로세스의 마지막 단계에 있다고 생각하기 쉽습니다. 보안팀과 협력하는 Workday의 개발자는 이제 보안을 개발 주기의 중요한 구성 요소로 인식합니다. 개발자는 SDLC 초기에 보안 항목을 신속하게 조치할 수 있으며, 이는 이 프로그램의 가장 큰 효과였습니다. 더블린에 위치한 한 팀의 경우, 개발자들은 하루 평균 31.08건에 달하던 4662건의 보안 이슈를 약 18개월 만에 0건으로 줄였습니다.
Alex는 이 프로그램의 성장에 대해 "최고의 보안 챔피언들과 함께 시작한 후 눈덩이처럼 불어난 효과"라고 설명했습니다. 경영진에게 프로그램과 그 혜택을 알리고 멤버십을 계속 늘리면서 입소문을 통해 거의 자연스럽게 성장했습니다. 교육 관점에서, 우리의 목표는 개발자가 코드를 안전하게 개발하는 데 필요한 기술을 제공하는 것입니다. 이는 Workday가 계속 성장하고 있기 때문에 특히 중요합니다."
주요 내용
Alex는 "보안을 성공적으로 확장하려면 개발자가 소프트웨어 개발의 설계 단계에서 보안 위험을 식별하는 데 도움이 되는 보안 마인드를 가져야 합니다. 이는 개발자가 시간과 비용을 절약하고 마음의 고통을 덜어줄 수 있도록 권한을 부여하는 이니셔티브에 부합합니다. 보안 코드 학습을 더 잘 수행할수록 스캔 및 펜테스트 결과에서 발견되는 취약점이 줄어듭니다."
개발자에게는 보안에 대해 배울 때 재미있게 배우는 것이 중요합니다
SCW는 보안이 얼마나 흥미로울 수 있는지 잘 보여줍니다. 보안 학습에 참여하게 된다면 완전히 받아들이세요. 개발 프로세스의 일부이자 경력 성장의 일부로 생각하세요.
개발자가 보안에 대해 궁금한 점이 있으면 팀에 문의하도록 장려하세요
대화를 나누고 협업을 시작하세요.↪CF_200D↩
보안을 프로젝트의 블랙박스 또는 볼트온으로 간주하는 것은 구식이며 궁극적으로 소프트웨어에 해를끼칩니다
보안을 개발 프로세스의 일부로 수용하는 것은 TDD, 애자일, 린팅을 수용하는 것과 같은 방식으로 고객에게 제공되는 소프트웨어의 흐름을 개선하고 품질을 높일 수 있습니다.
