조직이 정말 DevSec 준비가 되어 있습니까? 테스트에 넣어.
우리는 2020년까지 거의 절반에 불과하지만, 2019년 상반기에 비해 도난당한 데이터가 273% 증가하는 등 냉혹한 데이터 유출 기록을 세우기 위해 이미 궤도에 있습니다. 요즘은 아직 도난당한 데이터의 양을 묻는 것이 더 정확합니다. COVID-19 전염병과 같은 세계 적인 사건으로, 이러한 공격은 점점 더 취약한 목표와 주파수와 힘에 증가했습니다.
이것은 우리 모두가 한동안 알고 있는 것입니다: 보안은 더 이상 선택 사항이 아니고, 우리의 초점은 선제 공격이어야 합니다. 이를 위해 SDLC의 모든 사람들은 보안을 인식해야 하며, 특히 개발자여야 합니다. 이것은 데브세옵스의 "DevSec"부분이며, 기후에 이상적인 소프트웨어 개발 방법론이지만 많은 조직에서 이를 효과적으로 실행할 준비가 되어 있지 않습니다.
조직을 염두에 두고 역할의 맥락에서 이러한 질문에 대해 생각해 보십시오. DevSec 테스트에 넣을 때 요금은 어떻게 되나요?
데브섹 셀프- Assessment : SDLC 정원이 보안 인식 엔지니어를 개화할 준비가 되어 있습니까?
- 내부 개발 프로세스에서 보안이 앞당기고 있습니까?
다양한 사이버 보안 위험 요소가 밤에 평균 CISO를 유지하는 것일 수 있지만, 현실과 관련된 현실은 많은 기업들이 보안을 최우선 으로 만들고 있는 반면, 내부 접근 방식은 잠재적인 재해를 완화하기에 충분하지 않을 수 있습니다(또는 적어도 AppSec 팀에 대한 엄청난 골칫거리 및 소프트웨어 발송 지연).
DevSecOps는 현재 보안 열반 상태일 수 있지만 이 방법론을 다루는 회사는 거의 없습니다. 여전히 애자일(Agile) 또는 폭포에 있는 경우 보안은 프로세스에서 멀리 떨어져 SDLC에서 늦게 활성화된 전문가의 영역으로 간주되어 코드에 대한 핫픽스로 개발자의 하루를 망칠 수 있습니다. 이와 같은 환경에서 개발자는 기능 구축을 사랑하고 우선 순위를 정하는 DevSec 문화를 추진하는 것이 어려울 것이며, 단순히 보안에 대한 충분한 실무 경험을 가지고 있지 않습니다. 사실, 그것으로 그들의 접점은 좌절과 부정성의 사람이 될 수 있습니다. 소프트웨어 개발 프로세스에 관련된 모든 사람에게 미리 생각한 접근 방식을 심어주려면 신속하게 해결해야 합니다.
- 위협 모델링과 관련하여 조직이 여전히 따라잡기 를 하고 있습니까?
중소기업의 60%가 성공적인 사이버 공격 후 6개월 이내에 사업을 나가는것은 냉정한 통계이며, 다른 재해와 마찬가지로 적절한 계획 없이는 그 영향이 훨씬 큽합니다.
위협 모델링은 보안 모범 사례의 중요한 요소로 AppSec 전문가가 공격 표면의 전체 범위를 평가하고 적절한 방어, 대책 및 계획을 구성할 수 있습니다. DevSecOps를 완전히 수용한 회사에서는 CI/CD 파이프라인 초기에 보안을 사용할 수 있으므로 과거만큼 생산을 늦추지 않도록 합니다. 보안, 보안 코딩 및 연속 배송은 모두 프로세스의 일부이며 개발 팀에는 엔진의 주요 구성 요소가 필요한 리소스와 노출이 제공되어 기밀 코드가 밀폐된 코드를 제거합니다.
- 개발 관리자는 보안 모범 사례의 우선 순위를 지정합니까?
개발 관리자는 마음에 들든 그렇지 않든 팀의 역할 모델입니다. 그리고 사무실에 플립 플롭을 착용하거나 그들이 "위쪽으로 관리"하는 방법과 같은 문화와 분위기에 대한 것이 아닙니다. 그들의 업무 우선 순위는 필연적으로 팀원들에 의해 흡수될 것이며, 보안이 주요 목표의 일부가 아니거나 교육 및 지원 측면에서 계획되지 않는다면, 그 아래에 있는 엔지니어들은 누락될 것이며, 비즈니스는 예상보다 더 위험할 것입니다.
- 개발자에게 보안에 관심을 가지는 이유가 있습니까?
내 경험에 따르면, 누군가를 오프사이드로 만드는 가장 빠른 방법은 이유를 말하지 않고 현재의 접근 방식에 낯선무언가를 해야 한다고 말하는 것입니다.
"변경"을 말한다는 것은 이전의 접근 방식이 잘못되었다는 것을 의미하며, 많은 경우에 나중에 더 쉽고 효율적으로 만들 수있는 향상일 뿐입니다. DevSec 운동을 진정으로 수용하려면 개발자는 처음부터 보안에 관심을 가지어야 합니다 - 결국 대부분의 조직에서는 여전히 "다른 사람의 문제"입니다 (즉, AppSec 마법사가 다른 방에 잠겨 있습니다.
DevSecOps는 보안이 공동 책임이 아닌 경우 작동하지 않습니다. 개발자는 자신의 역할을 할 수있는 올바른 도구, 지원 및 교육이 필요합니다 ... 이를 위해서는 전체 보안 프로그램의 일환으로 출시하고 완벽한 시간을 필요로 합니다. 최악의 방법은 개발자가 너무 많은 경쟁 우선 순위를 가지고 자신을 미치게하지 않고 그들을 관리하는 데 도움이없는 경우 일 수있는 압도와 소외 하나입니다. 이것은 문화적 변화이며 하룻밤이 아닙니다.
- 당신은 많은 의 작업에 걸릴 마법의 보안 유니콘의 소수에 의존하고 있습니까?
보안 전문가는 공급이 매우 부족하며현재 사용할 수있는 것보다 훨씬 더 많은 것이 필요합니다. 이는 주어진 것이지만 보안 중심의 역할로 이동하는 개발자의 수가 증가하고 있습니다. 일반적으로 그들은 "보안 엔지니어"또는 "DevOps 엔지니어"와 같은 제목 아래에있을 수 있습니다 (천천히, 우리는이 제목이 데브세옵스 엔지니어로변신 볼 수 있습니다, 어떤 행운과!). Gun DevOps 엔지니어는 진정한 CI/CD 파이프라인을 사용하여 배포하는 동안 거의 모든 응용 프로그램에 대한 기능을 개발할 수 있습니다. 그들은 모든 것을 끝까지 하고, 일반적으로 보안 인식의 건강한 복용량으로 제공됩니다. 그런 의미에서, 그들은 일종의 마법, 그리고 결과적으로 드문.
그러나 일부 회사는 이러한 전문 엔지니어를 고용하고 팀으로 전환하고 개발 프로세스의 모든 단계에서 모든 보안 문제에 걸쳐 있을 것으로 기대하는 실수를 저지르고 이 것만으로도 모든 것이 치료법입니다. DevSecOps 마술사에게 과부하가 걸리면 처음부터 수행하기 위해 고용된 검사, 균형 및 보안 정밀도 없이 안전하지 않은 코드를 배송하는 등 시작시로 끝날 것입니다. 개발팀이 전반적으로 숙련되고 긍정적인 보안 환경에서 육성되어 의미 있는 방식으로 부하를 공유할 수 있도록 하는 것이 가장 중요합니다.
조직에서 표시하려는 변경 내용을 찾습니다.
보안 프로그램의 일부로 강력한 교육을 구현하는 경우 개발 코호트에 숨겨진 보석을 발견할 수 있습니다. 이들은 일상적인 업무에서 겪었을 수도 있는 부정적인 경험에도 불구하고 안전한 코딩 및 보안 모범 사례에 대한 열정을 가지고 있는 사람들입니다. 이 사람들은 팀 내에서 보안 챔피언을위한 주요 후보입니다; 다른 사람들에게 훌륭한 모범을 보이고, 인식을 높이 유지하며, 참여 이니셔티브에 도움이 되는 보안 과 엔지니어링 간의 접촉 지점입니다. 그들의 대인 관계 기술은 보안 의 기쁨을 광범위하고 개발자가 관리 및 보안 팀에 필요한 것을 옹호하는 데 매우 중요합니다.
"내게 무슨 일이 야?" 대화는 긍정적인 발걸음입니다.
인간의 가장 고귀한 사람조차도 발가락을 낯선 영토에 담그기 위해 "당근"이 필요하거나 학습 곡선이 가장 즐겁지 않을 수도 있는 활동이 필요합니다.
"개발"에서 "DevSec"로 도약하는 것은 개발자의 경력에 대한 멋진 부스트입니다. 보안 인식 개발자는 보안을 이해하고, 제어할 수 있는 영역에서 보안을 책임지며, 유일한 품질 코드가 보안 코드라는 것을 이해하여 작동하기 위해 열심히 노력했습니다. 일반적으로 개발자는 개선하고 새로운 문제를 해결하며 동료들 사이에서 눈에 띄는 데 도움이 되는 부러운 기능을 만들고자 합니다. 그들에게 더 높은 수준의 소프트웨어 개발에 도달할 수 있는 길을 제공하며, 이는 윈-윈 상황입니다.
DevSec 드림 팀을 구축하기에는 너무 늦은 일이 없습니다.
개발자를 관리하거나 AppSec 인식 팀을 이끌거나 보안 프로그램 전략을 고안하는 데 많은 마인드 중 하나인 경우 이제는 "이동"하는 것보다 더 나은 프로그램을 진행할 때입니다. 올바른 교육, 도구 및 환경을 통해 모든 당사자에게 큰 배당금을 지급하는 개발자를 위한 보안 인큐베이터를 만들 수 있습니다. 이 체크리스트가 개선을 위한 몇 가지 영역을 강조표시한 경우 SDLC 처음부터 위험을 줄일 수 있는 DevSec 주도 엔지니어링 부서에 대한 조직을 준비할 수 있는 좋은 기회가 있습니다.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
우리는 2020년까지 거의 절반에 불과하지만, 2019년 상반기에 비해 도난당한 데이터가 273% 증가하는 등 냉혹한 데이터 유출 기록을 세우기 위해 이미 궤도에 있습니다. 요즘은 아직 도난당한 데이터의 양을 묻는 것이 더 정확합니다. COVID-19 전염병과 같은 세계 적인 사건으로, 이러한 공격은 점점 더 취약한 목표와 주파수와 힘에 증가했습니다.
이것은 우리 모두가 한동안 알고 있는 것입니다: 보안은 더 이상 선택 사항이 아니고, 우리의 초점은 선제 공격이어야 합니다. 이를 위해 SDLC의 모든 사람들은 보안을 인식해야 하며, 특히 개발자여야 합니다. 이것은 데브세옵스의 "DevSec"부분이며, 기후에 이상적인 소프트웨어 개발 방법론이지만 많은 조직에서 이를 효과적으로 실행할 준비가 되어 있지 않습니다.
조직을 염두에 두고 역할의 맥락에서 이러한 질문에 대해 생각해 보십시오. DevSec 테스트에 넣을 때 요금은 어떻게 되나요?
데브섹 셀프- Assessment : SDLC 정원이 보안 인식 엔지니어를 개화할 준비가 되어 있습니까?
- 내부 개발 프로세스에서 보안이 앞당기고 있습니까?
다양한 사이버 보안 위험 요소가 밤에 평균 CISO를 유지하는 것일 수 있지만, 현실과 관련된 현실은 많은 기업들이 보안을 최우선 으로 만들고 있는 반면, 내부 접근 방식은 잠재적인 재해를 완화하기에 충분하지 않을 수 있습니다(또는 적어도 AppSec 팀에 대한 엄청난 골칫거리 및 소프트웨어 발송 지연).
DevSecOps는 현재 보안 열반 상태일 수 있지만 이 방법론을 다루는 회사는 거의 없습니다. 여전히 애자일(Agile) 또는 폭포에 있는 경우 보안은 프로세스에서 멀리 떨어져 SDLC에서 늦게 활성화된 전문가의 영역으로 간주되어 코드에 대한 핫픽스로 개발자의 하루를 망칠 수 있습니다. 이와 같은 환경에서 개발자는 기능 구축을 사랑하고 우선 순위를 정하는 DevSec 문화를 추진하는 것이 어려울 것이며, 단순히 보안에 대한 충분한 실무 경험을 가지고 있지 않습니다. 사실, 그것으로 그들의 접점은 좌절과 부정성의 사람이 될 수 있습니다. 소프트웨어 개발 프로세스에 관련된 모든 사람에게 미리 생각한 접근 방식을 심어주려면 신속하게 해결해야 합니다.
- 위협 모델링과 관련하여 조직이 여전히 따라잡기 를 하고 있습니까?
중소기업의 60%가 성공적인 사이버 공격 후 6개월 이내에 사업을 나가는것은 냉정한 통계이며, 다른 재해와 마찬가지로 적절한 계획 없이는 그 영향이 훨씬 큽합니다.
위협 모델링은 보안 모범 사례의 중요한 요소로 AppSec 전문가가 공격 표면의 전체 범위를 평가하고 적절한 방어, 대책 및 계획을 구성할 수 있습니다. DevSecOps를 완전히 수용한 회사에서는 CI/CD 파이프라인 초기에 보안을 사용할 수 있으므로 과거만큼 생산을 늦추지 않도록 합니다. 보안, 보안 코딩 및 연속 배송은 모두 프로세스의 일부이며 개발 팀에는 엔진의 주요 구성 요소가 필요한 리소스와 노출이 제공되어 기밀 코드가 밀폐된 코드를 제거합니다.
- 개발 관리자는 보안 모범 사례의 우선 순위를 지정합니까?
개발 관리자는 마음에 들든 그렇지 않든 팀의 역할 모델입니다. 그리고 사무실에 플립 플롭을 착용하거나 그들이 "위쪽으로 관리"하는 방법과 같은 문화와 분위기에 대한 것이 아닙니다. 그들의 업무 우선 순위는 필연적으로 팀원들에 의해 흡수될 것이며, 보안이 주요 목표의 일부가 아니거나 교육 및 지원 측면에서 계획되지 않는다면, 그 아래에 있는 엔지니어들은 누락될 것이며, 비즈니스는 예상보다 더 위험할 것입니다.
- 개발자에게 보안에 관심을 가지는 이유가 있습니까?
내 경험에 따르면, 누군가를 오프사이드로 만드는 가장 빠른 방법은 이유를 말하지 않고 현재의 접근 방식에 낯선무언가를 해야 한다고 말하는 것입니다.
"변경"을 말한다는 것은 이전의 접근 방식이 잘못되었다는 것을 의미하며, 많은 경우에 나중에 더 쉽고 효율적으로 만들 수있는 향상일 뿐입니다. DevSec 운동을 진정으로 수용하려면 개발자는 처음부터 보안에 관심을 가지어야 합니다 - 결국 대부분의 조직에서는 여전히 "다른 사람의 문제"입니다 (즉, AppSec 마법사가 다른 방에 잠겨 있습니다.
DevSecOps는 보안이 공동 책임이 아닌 경우 작동하지 않습니다. 개발자는 자신의 역할을 할 수있는 올바른 도구, 지원 및 교육이 필요합니다 ... 이를 위해서는 전체 보안 프로그램의 일환으로 출시하고 완벽한 시간을 필요로 합니다. 최악의 방법은 개발자가 너무 많은 경쟁 우선 순위를 가지고 자신을 미치게하지 않고 그들을 관리하는 데 도움이없는 경우 일 수있는 압도와 소외 하나입니다. 이것은 문화적 변화이며 하룻밤이 아닙니다.
- 당신은 많은 의 작업에 걸릴 마법의 보안 유니콘의 소수에 의존하고 있습니까?
보안 전문가는 공급이 매우 부족하며현재 사용할 수있는 것보다 훨씬 더 많은 것이 필요합니다. 이는 주어진 것이지만 보안 중심의 역할로 이동하는 개발자의 수가 증가하고 있습니다. 일반적으로 그들은 "보안 엔지니어"또는 "DevOps 엔지니어"와 같은 제목 아래에있을 수 있습니다 (천천히, 우리는이 제목이 데브세옵스 엔지니어로변신 볼 수 있습니다, 어떤 행운과!). Gun DevOps 엔지니어는 진정한 CI/CD 파이프라인을 사용하여 배포하는 동안 거의 모든 응용 프로그램에 대한 기능을 개발할 수 있습니다. 그들은 모든 것을 끝까지 하고, 일반적으로 보안 인식의 건강한 복용량으로 제공됩니다. 그런 의미에서, 그들은 일종의 마법, 그리고 결과적으로 드문.
그러나 일부 회사는 이러한 전문 엔지니어를 고용하고 팀으로 전환하고 개발 프로세스의 모든 단계에서 모든 보안 문제에 걸쳐 있을 것으로 기대하는 실수를 저지르고 이 것만으로도 모든 것이 치료법입니다. DevSecOps 마술사에게 과부하가 걸리면 처음부터 수행하기 위해 고용된 검사, 균형 및 보안 정밀도 없이 안전하지 않은 코드를 배송하는 등 시작시로 끝날 것입니다. 개발팀이 전반적으로 숙련되고 긍정적인 보안 환경에서 육성되어 의미 있는 방식으로 부하를 공유할 수 있도록 하는 것이 가장 중요합니다.
조직에서 표시하려는 변경 내용을 찾습니다.
보안 프로그램의 일부로 강력한 교육을 구현하는 경우 개발 코호트에 숨겨진 보석을 발견할 수 있습니다. 이들은 일상적인 업무에서 겪었을 수도 있는 부정적인 경험에도 불구하고 안전한 코딩 및 보안 모범 사례에 대한 열정을 가지고 있는 사람들입니다. 이 사람들은 팀 내에서 보안 챔피언을위한 주요 후보입니다; 다른 사람들에게 훌륭한 모범을 보이고, 인식을 높이 유지하며, 참여 이니셔티브에 도움이 되는 보안 과 엔지니어링 간의 접촉 지점입니다. 그들의 대인 관계 기술은 보안 의 기쁨을 광범위하고 개발자가 관리 및 보안 팀에 필요한 것을 옹호하는 데 매우 중요합니다.
"내게 무슨 일이 야?" 대화는 긍정적인 발걸음입니다.
인간의 가장 고귀한 사람조차도 발가락을 낯선 영토에 담그기 위해 "당근"이 필요하거나 학습 곡선이 가장 즐겁지 않을 수도 있는 활동이 필요합니다.
"개발"에서 "DevSec"로 도약하는 것은 개발자의 경력에 대한 멋진 부스트입니다. 보안 인식 개발자는 보안을 이해하고, 제어할 수 있는 영역에서 보안을 책임지며, 유일한 품질 코드가 보안 코드라는 것을 이해하여 작동하기 위해 열심히 노력했습니다. 일반적으로 개발자는 개선하고 새로운 문제를 해결하며 동료들 사이에서 눈에 띄는 데 도움이 되는 부러운 기능을 만들고자 합니다. 그들에게 더 높은 수준의 소프트웨어 개발에 도달할 수 있는 길을 제공하며, 이는 윈-윈 상황입니다.
DevSec 드림 팀을 구축하기에는 너무 늦은 일이 없습니다.
개발자를 관리하거나 AppSec 인식 팀을 이끌거나 보안 프로그램 전략을 고안하는 데 많은 마인드 중 하나인 경우 이제는 "이동"하는 것보다 더 나은 프로그램을 진행할 때입니다. 올바른 교육, 도구 및 환경을 통해 모든 당사자에게 큰 배당금을 지급하는 개발자를 위한 보안 인큐베이터를 만들 수 있습니다. 이 체크리스트가 개선을 위한 몇 가지 영역을 강조표시한 경우 SDLC 처음부터 위험을 줄일 수 있는 DevSec 주도 엔지니어링 부서에 대한 조직을 준비할 수 있는 좋은 기회가 있습니다.
우리는 2020년까지 거의 절반에 불과하지만, 2019년 상반기에 비해 도난당한 데이터가 273% 증가하는 등 냉혹한 데이터 유출 기록을 세우기 위해 이미 궤도에 있습니다. 요즘은 아직 도난당한 데이터의 양을 묻는 것이 더 정확합니다. COVID-19 전염병과 같은 세계 적인 사건으로, 이러한 공격은 점점 더 취약한 목표와 주파수와 힘에 증가했습니다.
이것은 우리 모두가 한동안 알고 있는 것입니다: 보안은 더 이상 선택 사항이 아니고, 우리의 초점은 선제 공격이어야 합니다. 이를 위해 SDLC의 모든 사람들은 보안을 인식해야 하며, 특히 개발자여야 합니다. 이것은 데브세옵스의 "DevSec"부분이며, 기후에 이상적인 소프트웨어 개발 방법론이지만 많은 조직에서 이를 효과적으로 실행할 준비가 되어 있지 않습니다.
조직을 염두에 두고 역할의 맥락에서 이러한 질문에 대해 생각해 보십시오. DevSec 테스트에 넣을 때 요금은 어떻게 되나요?
데브섹 셀프- Assessment : SDLC 정원이 보안 인식 엔지니어를 개화할 준비가 되어 있습니까?
- 내부 개발 프로세스에서 보안이 앞당기고 있습니까?
다양한 사이버 보안 위험 요소가 밤에 평균 CISO를 유지하는 것일 수 있지만, 현실과 관련된 현실은 많은 기업들이 보안을 최우선 으로 만들고 있는 반면, 내부 접근 방식은 잠재적인 재해를 완화하기에 충분하지 않을 수 있습니다(또는 적어도 AppSec 팀에 대한 엄청난 골칫거리 및 소프트웨어 발송 지연).
DevSecOps는 현재 보안 열반 상태일 수 있지만 이 방법론을 다루는 회사는 거의 없습니다. 여전히 애자일(Agile) 또는 폭포에 있는 경우 보안은 프로세스에서 멀리 떨어져 SDLC에서 늦게 활성화된 전문가의 영역으로 간주되어 코드에 대한 핫픽스로 개발자의 하루를 망칠 수 있습니다. 이와 같은 환경에서 개발자는 기능 구축을 사랑하고 우선 순위를 정하는 DevSec 문화를 추진하는 것이 어려울 것이며, 단순히 보안에 대한 충분한 실무 경험을 가지고 있지 않습니다. 사실, 그것으로 그들의 접점은 좌절과 부정성의 사람이 될 수 있습니다. 소프트웨어 개발 프로세스에 관련된 모든 사람에게 미리 생각한 접근 방식을 심어주려면 신속하게 해결해야 합니다.
- 위협 모델링과 관련하여 조직이 여전히 따라잡기 를 하고 있습니까?
중소기업의 60%가 성공적인 사이버 공격 후 6개월 이내에 사업을 나가는것은 냉정한 통계이며, 다른 재해와 마찬가지로 적절한 계획 없이는 그 영향이 훨씬 큽합니다.
위협 모델링은 보안 모범 사례의 중요한 요소로 AppSec 전문가가 공격 표면의 전체 범위를 평가하고 적절한 방어, 대책 및 계획을 구성할 수 있습니다. DevSecOps를 완전히 수용한 회사에서는 CI/CD 파이프라인 초기에 보안을 사용할 수 있으므로 과거만큼 생산을 늦추지 않도록 합니다. 보안, 보안 코딩 및 연속 배송은 모두 프로세스의 일부이며 개발 팀에는 엔진의 주요 구성 요소가 필요한 리소스와 노출이 제공되어 기밀 코드가 밀폐된 코드를 제거합니다.
- 개발 관리자는 보안 모범 사례의 우선 순위를 지정합니까?
개발 관리자는 마음에 들든 그렇지 않든 팀의 역할 모델입니다. 그리고 사무실에 플립 플롭을 착용하거나 그들이 "위쪽으로 관리"하는 방법과 같은 문화와 분위기에 대한 것이 아닙니다. 그들의 업무 우선 순위는 필연적으로 팀원들에 의해 흡수될 것이며, 보안이 주요 목표의 일부가 아니거나 교육 및 지원 측면에서 계획되지 않는다면, 그 아래에 있는 엔지니어들은 누락될 것이며, 비즈니스는 예상보다 더 위험할 것입니다.
- 개발자에게 보안에 관심을 가지는 이유가 있습니까?
내 경험에 따르면, 누군가를 오프사이드로 만드는 가장 빠른 방법은 이유를 말하지 않고 현재의 접근 방식에 낯선무언가를 해야 한다고 말하는 것입니다.
"변경"을 말한다는 것은 이전의 접근 방식이 잘못되었다는 것을 의미하며, 많은 경우에 나중에 더 쉽고 효율적으로 만들 수있는 향상일 뿐입니다. DevSec 운동을 진정으로 수용하려면 개발자는 처음부터 보안에 관심을 가지어야 합니다 - 결국 대부분의 조직에서는 여전히 "다른 사람의 문제"입니다 (즉, AppSec 마법사가 다른 방에 잠겨 있습니다.
DevSecOps는 보안이 공동 책임이 아닌 경우 작동하지 않습니다. 개발자는 자신의 역할을 할 수있는 올바른 도구, 지원 및 교육이 필요합니다 ... 이를 위해서는 전체 보안 프로그램의 일환으로 출시하고 완벽한 시간을 필요로 합니다. 최악의 방법은 개발자가 너무 많은 경쟁 우선 순위를 가지고 자신을 미치게하지 않고 그들을 관리하는 데 도움이없는 경우 일 수있는 압도와 소외 하나입니다. 이것은 문화적 변화이며 하룻밤이 아닙니다.
- 당신은 많은 의 작업에 걸릴 마법의 보안 유니콘의 소수에 의존하고 있습니까?
보안 전문가는 공급이 매우 부족하며현재 사용할 수있는 것보다 훨씬 더 많은 것이 필요합니다. 이는 주어진 것이지만 보안 중심의 역할로 이동하는 개발자의 수가 증가하고 있습니다. 일반적으로 그들은 "보안 엔지니어"또는 "DevOps 엔지니어"와 같은 제목 아래에있을 수 있습니다 (천천히, 우리는이 제목이 데브세옵스 엔지니어로변신 볼 수 있습니다, 어떤 행운과!). Gun DevOps 엔지니어는 진정한 CI/CD 파이프라인을 사용하여 배포하는 동안 거의 모든 응용 프로그램에 대한 기능을 개발할 수 있습니다. 그들은 모든 것을 끝까지 하고, 일반적으로 보안 인식의 건강한 복용량으로 제공됩니다. 그런 의미에서, 그들은 일종의 마법, 그리고 결과적으로 드문.
그러나 일부 회사는 이러한 전문 엔지니어를 고용하고 팀으로 전환하고 개발 프로세스의 모든 단계에서 모든 보안 문제에 걸쳐 있을 것으로 기대하는 실수를 저지르고 이 것만으로도 모든 것이 치료법입니다. DevSecOps 마술사에게 과부하가 걸리면 처음부터 수행하기 위해 고용된 검사, 균형 및 보안 정밀도 없이 안전하지 않은 코드를 배송하는 등 시작시로 끝날 것입니다. 개발팀이 전반적으로 숙련되고 긍정적인 보안 환경에서 육성되어 의미 있는 방식으로 부하를 공유할 수 있도록 하는 것이 가장 중요합니다.
조직에서 표시하려는 변경 내용을 찾습니다.
보안 프로그램의 일부로 강력한 교육을 구현하는 경우 개발 코호트에 숨겨진 보석을 발견할 수 있습니다. 이들은 일상적인 업무에서 겪었을 수도 있는 부정적인 경험에도 불구하고 안전한 코딩 및 보안 모범 사례에 대한 열정을 가지고 있는 사람들입니다. 이 사람들은 팀 내에서 보안 챔피언을위한 주요 후보입니다; 다른 사람들에게 훌륭한 모범을 보이고, 인식을 높이 유지하며, 참여 이니셔티브에 도움이 되는 보안 과 엔지니어링 간의 접촉 지점입니다. 그들의 대인 관계 기술은 보안 의 기쁨을 광범위하고 개발자가 관리 및 보안 팀에 필요한 것을 옹호하는 데 매우 중요합니다.
"내게 무슨 일이 야?" 대화는 긍정적인 발걸음입니다.
인간의 가장 고귀한 사람조차도 발가락을 낯선 영토에 담그기 위해 "당근"이 필요하거나 학습 곡선이 가장 즐겁지 않을 수도 있는 활동이 필요합니다.
"개발"에서 "DevSec"로 도약하는 것은 개발자의 경력에 대한 멋진 부스트입니다. 보안 인식 개발자는 보안을 이해하고, 제어할 수 있는 영역에서 보안을 책임지며, 유일한 품질 코드가 보안 코드라는 것을 이해하여 작동하기 위해 열심히 노력했습니다. 일반적으로 개발자는 개선하고 새로운 문제를 해결하며 동료들 사이에서 눈에 띄는 데 도움이 되는 부러운 기능을 만들고자 합니다. 그들에게 더 높은 수준의 소프트웨어 개발에 도달할 수 있는 길을 제공하며, 이는 윈-윈 상황입니다.
DevSec 드림 팀을 구축하기에는 너무 늦은 일이 없습니다.
개발자를 관리하거나 AppSec 인식 팀을 이끌거나 보안 프로그램 전략을 고안하는 데 많은 마인드 중 하나인 경우 이제는 "이동"하는 것보다 더 나은 프로그램을 진행할 때입니다. 올바른 교육, 도구 및 환경을 통해 모든 당사자에게 큰 배당금을 지급하는 개발자를 위한 보안 인큐베이터를 만들 수 있습니다. 이 체크리스트가 개선을 위한 몇 가지 영역을 강조표시한 경우 SDLC 처음부터 위험을 줄일 수 있는 DevSec 주도 엔지니어링 부서에 대한 조직을 준비할 수 있는 좋은 기회가 있습니다.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
우리는 2020년까지 거의 절반에 불과하지만, 2019년 상반기에 비해 도난당한 데이터가 273% 증가하는 등 냉혹한 데이터 유출 기록을 세우기 위해 이미 궤도에 있습니다. 요즘은 아직 도난당한 데이터의 양을 묻는 것이 더 정확합니다. COVID-19 전염병과 같은 세계 적인 사건으로, 이러한 공격은 점점 더 취약한 목표와 주파수와 힘에 증가했습니다.
이것은 우리 모두가 한동안 알고 있는 것입니다: 보안은 더 이상 선택 사항이 아니고, 우리의 초점은 선제 공격이어야 합니다. 이를 위해 SDLC의 모든 사람들은 보안을 인식해야 하며, 특히 개발자여야 합니다. 이것은 데브세옵스의 "DevSec"부분이며, 기후에 이상적인 소프트웨어 개발 방법론이지만 많은 조직에서 이를 효과적으로 실행할 준비가 되어 있지 않습니다.
조직을 염두에 두고 역할의 맥락에서 이러한 질문에 대해 생각해 보십시오. DevSec 테스트에 넣을 때 요금은 어떻게 되나요?
데브섹 셀프- Assessment : SDLC 정원이 보안 인식 엔지니어를 개화할 준비가 되어 있습니까?
- 내부 개발 프로세스에서 보안이 앞당기고 있습니까?
다양한 사이버 보안 위험 요소가 밤에 평균 CISO를 유지하는 것일 수 있지만, 현실과 관련된 현실은 많은 기업들이 보안을 최우선 으로 만들고 있는 반면, 내부 접근 방식은 잠재적인 재해를 완화하기에 충분하지 않을 수 있습니다(또는 적어도 AppSec 팀에 대한 엄청난 골칫거리 및 소프트웨어 발송 지연).
DevSecOps는 현재 보안 열반 상태일 수 있지만 이 방법론을 다루는 회사는 거의 없습니다. 여전히 애자일(Agile) 또는 폭포에 있는 경우 보안은 프로세스에서 멀리 떨어져 SDLC에서 늦게 활성화된 전문가의 영역으로 간주되어 코드에 대한 핫픽스로 개발자의 하루를 망칠 수 있습니다. 이와 같은 환경에서 개발자는 기능 구축을 사랑하고 우선 순위를 정하는 DevSec 문화를 추진하는 것이 어려울 것이며, 단순히 보안에 대한 충분한 실무 경험을 가지고 있지 않습니다. 사실, 그것으로 그들의 접점은 좌절과 부정성의 사람이 될 수 있습니다. 소프트웨어 개발 프로세스에 관련된 모든 사람에게 미리 생각한 접근 방식을 심어주려면 신속하게 해결해야 합니다.
- 위협 모델링과 관련하여 조직이 여전히 따라잡기 를 하고 있습니까?
중소기업의 60%가 성공적인 사이버 공격 후 6개월 이내에 사업을 나가는것은 냉정한 통계이며, 다른 재해와 마찬가지로 적절한 계획 없이는 그 영향이 훨씬 큽합니다.
위협 모델링은 보안 모범 사례의 중요한 요소로 AppSec 전문가가 공격 표면의 전체 범위를 평가하고 적절한 방어, 대책 및 계획을 구성할 수 있습니다. DevSecOps를 완전히 수용한 회사에서는 CI/CD 파이프라인 초기에 보안을 사용할 수 있으므로 과거만큼 생산을 늦추지 않도록 합니다. 보안, 보안 코딩 및 연속 배송은 모두 프로세스의 일부이며 개발 팀에는 엔진의 주요 구성 요소가 필요한 리소스와 노출이 제공되어 기밀 코드가 밀폐된 코드를 제거합니다.
- 개발 관리자는 보안 모범 사례의 우선 순위를 지정합니까?
개발 관리자는 마음에 들든 그렇지 않든 팀의 역할 모델입니다. 그리고 사무실에 플립 플롭을 착용하거나 그들이 "위쪽으로 관리"하는 방법과 같은 문화와 분위기에 대한 것이 아닙니다. 그들의 업무 우선 순위는 필연적으로 팀원들에 의해 흡수될 것이며, 보안이 주요 목표의 일부가 아니거나 교육 및 지원 측면에서 계획되지 않는다면, 그 아래에 있는 엔지니어들은 누락될 것이며, 비즈니스는 예상보다 더 위험할 것입니다.
- 개발자에게 보안에 관심을 가지는 이유가 있습니까?
내 경험에 따르면, 누군가를 오프사이드로 만드는 가장 빠른 방법은 이유를 말하지 않고 현재의 접근 방식에 낯선무언가를 해야 한다고 말하는 것입니다.
"변경"을 말한다는 것은 이전의 접근 방식이 잘못되었다는 것을 의미하며, 많은 경우에 나중에 더 쉽고 효율적으로 만들 수있는 향상일 뿐입니다. DevSec 운동을 진정으로 수용하려면 개발자는 처음부터 보안에 관심을 가지어야 합니다 - 결국 대부분의 조직에서는 여전히 "다른 사람의 문제"입니다 (즉, AppSec 마법사가 다른 방에 잠겨 있습니다.
DevSecOps는 보안이 공동 책임이 아닌 경우 작동하지 않습니다. 개발자는 자신의 역할을 할 수있는 올바른 도구, 지원 및 교육이 필요합니다 ... 이를 위해서는 전체 보안 프로그램의 일환으로 출시하고 완벽한 시간을 필요로 합니다. 최악의 방법은 개발자가 너무 많은 경쟁 우선 순위를 가지고 자신을 미치게하지 않고 그들을 관리하는 데 도움이없는 경우 일 수있는 압도와 소외 하나입니다. 이것은 문화적 변화이며 하룻밤이 아닙니다.
- 당신은 많은 의 작업에 걸릴 마법의 보안 유니콘의 소수에 의존하고 있습니까?
보안 전문가는 공급이 매우 부족하며현재 사용할 수있는 것보다 훨씬 더 많은 것이 필요합니다. 이는 주어진 것이지만 보안 중심의 역할로 이동하는 개발자의 수가 증가하고 있습니다. 일반적으로 그들은 "보안 엔지니어"또는 "DevOps 엔지니어"와 같은 제목 아래에있을 수 있습니다 (천천히, 우리는이 제목이 데브세옵스 엔지니어로변신 볼 수 있습니다, 어떤 행운과!). Gun DevOps 엔지니어는 진정한 CI/CD 파이프라인을 사용하여 배포하는 동안 거의 모든 응용 프로그램에 대한 기능을 개발할 수 있습니다. 그들은 모든 것을 끝까지 하고, 일반적으로 보안 인식의 건강한 복용량으로 제공됩니다. 그런 의미에서, 그들은 일종의 마법, 그리고 결과적으로 드문.
그러나 일부 회사는 이러한 전문 엔지니어를 고용하고 팀으로 전환하고 개발 프로세스의 모든 단계에서 모든 보안 문제에 걸쳐 있을 것으로 기대하는 실수를 저지르고 이 것만으로도 모든 것이 치료법입니다. DevSecOps 마술사에게 과부하가 걸리면 처음부터 수행하기 위해 고용된 검사, 균형 및 보안 정밀도 없이 안전하지 않은 코드를 배송하는 등 시작시로 끝날 것입니다. 개발팀이 전반적으로 숙련되고 긍정적인 보안 환경에서 육성되어 의미 있는 방식으로 부하를 공유할 수 있도록 하는 것이 가장 중요합니다.
조직에서 표시하려는 변경 내용을 찾습니다.
보안 프로그램의 일부로 강력한 교육을 구현하는 경우 개발 코호트에 숨겨진 보석을 발견할 수 있습니다. 이들은 일상적인 업무에서 겪었을 수도 있는 부정적인 경험에도 불구하고 안전한 코딩 및 보안 모범 사례에 대한 열정을 가지고 있는 사람들입니다. 이 사람들은 팀 내에서 보안 챔피언을위한 주요 후보입니다; 다른 사람들에게 훌륭한 모범을 보이고, 인식을 높이 유지하며, 참여 이니셔티브에 도움이 되는 보안 과 엔지니어링 간의 접촉 지점입니다. 그들의 대인 관계 기술은 보안 의 기쁨을 광범위하고 개발자가 관리 및 보안 팀에 필요한 것을 옹호하는 데 매우 중요합니다.
"내게 무슨 일이 야?" 대화는 긍정적인 발걸음입니다.
인간의 가장 고귀한 사람조차도 발가락을 낯선 영토에 담그기 위해 "당근"이 필요하거나 학습 곡선이 가장 즐겁지 않을 수도 있는 활동이 필요합니다.
"개발"에서 "DevSec"로 도약하는 것은 개발자의 경력에 대한 멋진 부스트입니다. 보안 인식 개발자는 보안을 이해하고, 제어할 수 있는 영역에서 보안을 책임지며, 유일한 품질 코드가 보안 코드라는 것을 이해하여 작동하기 위해 열심히 노력했습니다. 일반적으로 개발자는 개선하고 새로운 문제를 해결하며 동료들 사이에서 눈에 띄는 데 도움이 되는 부러운 기능을 만들고자 합니다. 그들에게 더 높은 수준의 소프트웨어 개발에 도달할 수 있는 길을 제공하며, 이는 윈-윈 상황입니다.
DevSec 드림 팀을 구축하기에는 너무 늦은 일이 없습니다.
개발자를 관리하거나 AppSec 인식 팀을 이끌거나 보안 프로그램 전략을 고안하는 데 많은 마인드 중 하나인 경우 이제는 "이동"하는 것보다 더 나은 프로그램을 진행할 때입니다. 올바른 교육, 도구 및 환경을 통해 모든 당사자에게 큰 배당금을 지급하는 개발자를 위한 보안 인큐베이터를 만들 수 있습니다. 이 체크리스트가 개선을 위한 몇 가지 영역을 강조표시한 경우 SDLC 처음부터 위험을 줄일 수 있는 DevSec 주도 엔지니어링 부서에 대한 조직을 준비할 수 있는 좋은 기회가 있습니다.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약다운로드