개발자를 장려하는 것은 더 나은 보안 관행의 핵심입니다.

게시됨 Oct 19, 2021
작성자: 피터 댄히외
사례 연구

개발자를 장려하는 것은 더 나은 보안 관행의 핵심입니다.

게시됨 Oct 19, 2021
작성자: 피터 댄히외
리소스 보기
리소스 보기

사이버 위협 환경은 날이 갈수록 복잡해지고 있습니다. 공격자는 취약한 애플리케이션, 프로그램, 클라우드 인스턴스에 대한 네트워크를 지속적으로 스캔하고 있으며, 이달의 최신 맛은 API로, 종종 느슨한 보안 제어 덕분에 쉽게 승리할 수 있는 것으로 널리 간주됩니다. 너무 영구적이어서 배포 후 몇 시간 내에 새 앱이 손상되고 악용될 수 있습니다. Verizon 2021 데이터 유출 조사 보고서는 기업과 조직에 대해 평준화 된 위협이 오늘날 역사상 다른 어느 시점보다 더 위험하다는 것을 매우 분명하게 합니다.

생성되는 소프트웨어를 진정으로 보호하는 유일한 방법은 보안 코드에 기반을 두는 것이 아니라는 것이 매우 분명해지고 있습니다. 즉, 위협 행위자 침공을 막는 가장 좋은 방법은 애초에 응용 프로그램에 대한 발판을 거부하는 것입니다. 일단 당신이 그 전쟁을 시작 하면, 장점의 대부분은 공격자쪽으로 왜곡 됩니다.

이러한 상황은 먼저 민첩한 개발과 DevOps를 일으켰으며, 나중에는 개발에서 배포에 이르는 소프트웨어를 만드는 과정에 관련된 모든 사람에게 보안이 공유된 책임이 있는 전체 DevSecOps 이동에대한 책임을 발생시켰습니다. 그러나 그 피라미드의 기초, 그리고 틀림없이 가장 중요한 부분은 개발자입니다. 대부분의 개발자는 자신의 역할을 하고 보안 코드를 작성하기를 원하지만, 작업하는 많은 조직은 우선 순위의 큰 변화에 대한 지지가 적습니다.

디자인에 의한 패배

수년 동안 개발자들은 조직에서 그들의 주요 역할은 비즈니스가 멈추지 않으며 고객이 잠들지 않는 빠르게 진행되는 환경에서 앱을 신속하게 구축하고 배포하는 것이라고 들었습니다. 개발자가 코딩할수록 더 많은 기능을 배포할 수록 성능 검토 측면에서 더 가치 있는 기능을 볼 수 있습니다.

보안은 사후 고려, 그것은 전혀 고려 된 경우. 대신, 이 모든 것을 알아내기 위해 AppSec(응용 프로그램 보안) 팀에 맡겨졌습니다. AppSec 팀은 대부분의 개발자가 보안 패치를 적용하거나 취약점을 수정하기 위해 코드를 다시 작성하기 위해 완료된 응용 프로그램을 다시 개발로 보내기 때문에 싫어했습니다. 그리고 개발자가 이미 "완료"된 앱에서 작업하는 데 보낸 매 시간마다 새로운 앱과 기능을 만들지 않은 시간이었기 때문에 성능과 그 가치는 특히 징벌적 인 회사의 눈에 저하되었습니다.

그리고 위협 환경은 대부분의 기업의 보안의 중요성과 우선 순위를 변경했습니다. IBM과 Ponemon 연구소의 최근 데이터 유출 보고서 비용에 따르면, 평균 사이버 보안 위반은 이제 사건 당 약 380 만 달러의 비용이 들지만, 이는 거의 상한선입니다. 한 회사에서만 네트워크 위반으로 13억 달러의 손실을 입었습니다. 오늘날의 회사들은 DevSecOps가 제공하는 보안을 원하지만 슬프게도 그 전화에 응답하는 개발자에게 보상하는 것이 느렸습니다.

단순히 개발 팀에게 보안이 작동하지 않습니다 생각하라고 말하는 것만으로는 특히 속도만으로 인센티브를 받고 있는 경우 작동하지 않습니다. 사실, 이러한 시스템 내에서 보안에 대해 배우고 코드를 보호하는 데 시간이 걸리는 개발자는 실제로 보안이 덜 인식된 동료가 계속 벌고 있는 더 나은 성능 검토및 수익성 있는 보너스를 잃을 수 있습니다. 그것은 거의 회사가 무의식적으로 자신의 보안 실패에 대한 시스템을 조작하고, 개발 팀에 대한 자신의 인식으로 돌아갑니다. 그들이 그들을 보안 최전선으로 보고 있지 않다면, 인력을 활용하는 실행 가능한 계획이 결실을 맺을 가능성은 매우 낮습니다.

그리고 이것은 심지어 훈련의 부족에 대한 설명하지 않습니다. 일부 매우 숙련 된 개발자는 수십 년 동안 코딩 경험했지만 보안에 관해서는 거의 없습니다 ... 결국, 그것은 그들에게 결코 필요하지 않았습니다. 회사가 숙련 된 프로그래머에게 좋은 교육 프로그램을 제공하지 않는 한 개발자가 갑자기 새로운 기술을 습득하고 취약점을 적극적으로 줄이는 의미있는 방식으로 행동에 나설 것으로 기대할 수는 없습니다.

좋은 보안 관행에 대한 개발자에게 보람

좋은 소식은 개발자의 압도적 인 대다수가 도전과 보람을 모두 발견하기 때문에 자신의 일을하고, 그들은 자신의 위치가 수반 되는 존경을 즐기기 때문에. 평생 전문 코더 마이클 Shpilt는 최근 자신의 개발 작업에 그와 그의 코딩 동료동기모든 것들에 대해 썼다. 예, 그는 그 인센티브 중 금전적 보상을 나열하지만, 놀랍게도 목록 아래로 멀리입니다. 대신, 그는 새로운 무언가를 창조하고, 새로운 기술을 배우고, 자신의 작품이 다른 사람들을 돕기 위해 직접 사용될 것이라는 것을 아는 만족의 스릴을 우선시합니다. 그는 또한 자신의 회사와 지역 사회 내에서 가치를 느끼고 싶다고 이야기합니다. 요컨대, 개발자는 자신의 작품에 자부심을 가지고 좋은 사람들의 많은 처럼.

Shpilt 와 다른 개발자는 위협 행위자가 코드를 손상시키고 회사 또는 도움을 주려는 사용자에게 해를 끼치기를 원하지 않습니다. 그러나 지원 없이는 우선 순위를 보안으로 갑자기 전환할 수 없습니다. 그렇지 않으면 시스템이 그들에 대해 작동하는 것과 거의 같습니다.

개발 팀이 사이버 보안 역량을 향상시킬 수 있도록 먼저 필요한 기술을 가르쳐야 합니다. 스캐폴드 학습과 Just-in-Time(JiT) 교육과 같은 도구를 사용하면 이 프로세스가 훨씬 덜 고통스럽고 올바른 맥락에서 기존 지식을 구축하는 데 도움이 됩니다. 

JiT의 원칙은 개발자가 프로그래머가 안전하지 않은 코드를 만들고 있음을 감지하거나 실수로 응용 프로그램에 취약점을 도입하는 경우 개발자가 적절한 시기에 적절한 지식을 제공한다는 것입니다. 그리고 나중에 동일한 기능을 수행하기 위해 보다 안전한 코드를 작성하는 방법.

그 자리에 업스킬링에 대한 노력의 도움으로, 속도에 만 기초하여 개발자를 평가하는 기존의 방법을 제거해야합니다. 대신, 코더는 보안 코드를 만드는 능력에 따라 보상을 받아야하며, 최고의 개발자는 팀의 나머지 팀이 기술을 향상시키는 데 도움이되는 보안 챔피언이됩니다. 그리고 그 챔피언은 회사 명성과 금전적 보상으로 보상해야합니다. 또한 개발자는 일반적으로 보안에 대한 긍정적인 경험이 없으며, 자신의 관심사에 대해 이야기하는 긍정적이고 재미있는 학습및 인센티브로 고양하는 것은 지식 유지와 구축 기술을 유지하려는 욕구를 보장하는 데 먼 길을 갈 것입니다.

기업은 여전히 개발자 평가의 일부로 코딩 속도를 포함할 수 있지만, 특히 코더가 새로운 기술을 배우고 있기 때문에 보안 응용 프로그램을 개발하는 데 조금 더 오래 걸릴 수 있다는 기대가 있습니다.

DevSecOps는 점점 더 위험한 위협 풍경의 어두운 예술에 대한 궁극적 인 방어가 될 수 있습니다. 이 새로운 세계의 챔피언, 지속적으로 새로운 코드를 만드는 개발자는 존중하고 자신의 작품에 대한 보상이 필요하다는 것을 잊지 마세요.


전 세계의 다른 개발자에 대한 테스트에 보안 기술을 넣어 싶어? 체크 아웃 Secure Code Warrior'의 Devlympics 2021, 그리고 당신은 우리의 글로벌에서 주요 상을 취할 수 있습니다 tournaments!

리소스 보기
리소스 보기

저자

피터 다뉴

피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.

더 알고 싶으신가요?

블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.

Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.

블로그 보기
더 알고 싶으신가요?

개발자 중심 보안에 대한 최신 연구 보기

광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.

리소스 허브

개발자를 장려하는 것은 더 나은 보안 관행의 핵심입니다.

게시됨 Oct 19, 2021
By 피터 댄히외

사이버 위협 환경은 날이 갈수록 복잡해지고 있습니다. 공격자는 취약한 애플리케이션, 프로그램, 클라우드 인스턴스에 대한 네트워크를 지속적으로 스캔하고 있으며, 이달의 최신 맛은 API로, 종종 느슨한 보안 제어 덕분에 쉽게 승리할 수 있는 것으로 널리 간주됩니다. 너무 영구적이어서 배포 후 몇 시간 내에 새 앱이 손상되고 악용될 수 있습니다. Verizon 2021 데이터 유출 조사 보고서는 기업과 조직에 대해 평준화 된 위협이 오늘날 역사상 다른 어느 시점보다 더 위험하다는 것을 매우 분명하게 합니다.

생성되는 소프트웨어를 진정으로 보호하는 유일한 방법은 보안 코드에 기반을 두는 것이 아니라는 것이 매우 분명해지고 있습니다. 즉, 위협 행위자 침공을 막는 가장 좋은 방법은 애초에 응용 프로그램에 대한 발판을 거부하는 것입니다. 일단 당신이 그 전쟁을 시작 하면, 장점의 대부분은 공격자쪽으로 왜곡 됩니다.

이러한 상황은 먼저 민첩한 개발과 DevOps를 일으켰으며, 나중에는 개발에서 배포에 이르는 소프트웨어를 만드는 과정에 관련된 모든 사람에게 보안이 공유된 책임이 있는 전체 DevSecOps 이동에대한 책임을 발생시켰습니다. 그러나 그 피라미드의 기초, 그리고 틀림없이 가장 중요한 부분은 개발자입니다. 대부분의 개발자는 자신의 역할을 하고 보안 코드를 작성하기를 원하지만, 작업하는 많은 조직은 우선 순위의 큰 변화에 대한 지지가 적습니다.

디자인에 의한 패배

수년 동안 개발자들은 조직에서 그들의 주요 역할은 비즈니스가 멈추지 않으며 고객이 잠들지 않는 빠르게 진행되는 환경에서 앱을 신속하게 구축하고 배포하는 것이라고 들었습니다. 개발자가 코딩할수록 더 많은 기능을 배포할 수록 성능 검토 측면에서 더 가치 있는 기능을 볼 수 있습니다.

보안은 사후 고려, 그것은 전혀 고려 된 경우. 대신, 이 모든 것을 알아내기 위해 AppSec(응용 프로그램 보안) 팀에 맡겨졌습니다. AppSec 팀은 대부분의 개발자가 보안 패치를 적용하거나 취약점을 수정하기 위해 코드를 다시 작성하기 위해 완료된 응용 프로그램을 다시 개발로 보내기 때문에 싫어했습니다. 그리고 개발자가 이미 "완료"된 앱에서 작업하는 데 보낸 매 시간마다 새로운 앱과 기능을 만들지 않은 시간이었기 때문에 성능과 그 가치는 특히 징벌적 인 회사의 눈에 저하되었습니다.

그리고 위협 환경은 대부분의 기업의 보안의 중요성과 우선 순위를 변경했습니다. IBM과 Ponemon 연구소의 최근 데이터 유출 보고서 비용에 따르면, 평균 사이버 보안 위반은 이제 사건 당 약 380 만 달러의 비용이 들지만, 이는 거의 상한선입니다. 한 회사에서만 네트워크 위반으로 13억 달러의 손실을 입었습니다. 오늘날의 회사들은 DevSecOps가 제공하는 보안을 원하지만 슬프게도 그 전화에 응답하는 개발자에게 보상하는 것이 느렸습니다.

단순히 개발 팀에게 보안이 작동하지 않습니다 생각하라고 말하는 것만으로는 특히 속도만으로 인센티브를 받고 있는 경우 작동하지 않습니다. 사실, 이러한 시스템 내에서 보안에 대해 배우고 코드를 보호하는 데 시간이 걸리는 개발자는 실제로 보안이 덜 인식된 동료가 계속 벌고 있는 더 나은 성능 검토및 수익성 있는 보너스를 잃을 수 있습니다. 그것은 거의 회사가 무의식적으로 자신의 보안 실패에 대한 시스템을 조작하고, 개발 팀에 대한 자신의 인식으로 돌아갑니다. 그들이 그들을 보안 최전선으로 보고 있지 않다면, 인력을 활용하는 실행 가능한 계획이 결실을 맺을 가능성은 매우 낮습니다.

그리고 이것은 심지어 훈련의 부족에 대한 설명하지 않습니다. 일부 매우 숙련 된 개발자는 수십 년 동안 코딩 경험했지만 보안에 관해서는 거의 없습니다 ... 결국, 그것은 그들에게 결코 필요하지 않았습니다. 회사가 숙련 된 프로그래머에게 좋은 교육 프로그램을 제공하지 않는 한 개발자가 갑자기 새로운 기술을 습득하고 취약점을 적극적으로 줄이는 의미있는 방식으로 행동에 나설 것으로 기대할 수는 없습니다.

좋은 보안 관행에 대한 개발자에게 보람

좋은 소식은 개발자의 압도적 인 대다수가 도전과 보람을 모두 발견하기 때문에 자신의 일을하고, 그들은 자신의 위치가 수반 되는 존경을 즐기기 때문에. 평생 전문 코더 마이클 Shpilt는 최근 자신의 개발 작업에 그와 그의 코딩 동료동기모든 것들에 대해 썼다. 예, 그는 그 인센티브 중 금전적 보상을 나열하지만, 놀랍게도 목록 아래로 멀리입니다. 대신, 그는 새로운 무언가를 창조하고, 새로운 기술을 배우고, 자신의 작품이 다른 사람들을 돕기 위해 직접 사용될 것이라는 것을 아는 만족의 스릴을 우선시합니다. 그는 또한 자신의 회사와 지역 사회 내에서 가치를 느끼고 싶다고 이야기합니다. 요컨대, 개발자는 자신의 작품에 자부심을 가지고 좋은 사람들의 많은 처럼.

Shpilt 와 다른 개발자는 위협 행위자가 코드를 손상시키고 회사 또는 도움을 주려는 사용자에게 해를 끼치기를 원하지 않습니다. 그러나 지원 없이는 우선 순위를 보안으로 갑자기 전환할 수 없습니다. 그렇지 않으면 시스템이 그들에 대해 작동하는 것과 거의 같습니다.

개발 팀이 사이버 보안 역량을 향상시킬 수 있도록 먼저 필요한 기술을 가르쳐야 합니다. 스캐폴드 학습과 Just-in-Time(JiT) 교육과 같은 도구를 사용하면 이 프로세스가 훨씬 덜 고통스럽고 올바른 맥락에서 기존 지식을 구축하는 데 도움이 됩니다. 

JiT의 원칙은 개발자가 프로그래머가 안전하지 않은 코드를 만들고 있음을 감지하거나 실수로 응용 프로그램에 취약점을 도입하는 경우 개발자가 적절한 시기에 적절한 지식을 제공한다는 것입니다. 그리고 나중에 동일한 기능을 수행하기 위해 보다 안전한 코드를 작성하는 방법.

그 자리에 업스킬링에 대한 노력의 도움으로, 속도에 만 기초하여 개발자를 평가하는 기존의 방법을 제거해야합니다. 대신, 코더는 보안 코드를 만드는 능력에 따라 보상을 받아야하며, 최고의 개발자는 팀의 나머지 팀이 기술을 향상시키는 데 도움이되는 보안 챔피언이됩니다. 그리고 그 챔피언은 회사 명성과 금전적 보상으로 보상해야합니다. 또한 개발자는 일반적으로 보안에 대한 긍정적인 경험이 없으며, 자신의 관심사에 대해 이야기하는 긍정적이고 재미있는 학습및 인센티브로 고양하는 것은 지식 유지와 구축 기술을 유지하려는 욕구를 보장하는 데 먼 길을 갈 것입니다.

기업은 여전히 개발자 평가의 일부로 코딩 속도를 포함할 수 있지만, 특히 코더가 새로운 기술을 배우고 있기 때문에 보안 응용 프로그램을 개발하는 데 조금 더 오래 걸릴 수 있다는 기대가 있습니다.

DevSecOps는 점점 더 위험한 위협 풍경의 어두운 예술에 대한 궁극적 인 방어가 될 수 있습니다. 이 새로운 세계의 챔피언, 지속적으로 새로운 코드를 만드는 개발자는 존중하고 자신의 작품에 대한 보상이 필요하다는 것을 잊지 마세요.


전 세계의 다른 개발자에 대한 테스트에 보안 기술을 넣어 싶어? 체크 아웃 Secure Code Warrior'의 Devlympics 2021, 그리고 당신은 우리의 글로벌에서 주요 상을 취할 수 있습니다 tournaments!

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.