규정 준수 그 이상: 넷스코프( Secure Code Warrior )가 대규모 클라우드 솔루션을 코딩할 수 있도록 개발자의 역량을 강화한 방법
규정 준수 그 이상: 넷스코프( Secure Code Warrior )가 대규모 클라우드 솔루션을 코딩할 수 있도록 개발자의 역량을 강화한 방법
.png)
배경
글로벌 SASE 리더인 Netskope는 조직이 제로 트러스트 원칙과 AI/ML 혁신을 적용하여 데이터를 보호하고 사이버 위협을 방어할 수 있도록 지원합니다. 빠르고 사용하기 쉬운 Netskope 플랫폼은 어디서나 사람, 디바이스, 데이터에 최적화된 액세스와 실시간 보안을 제공합니다. Netskope는 고객이 위험을 줄이고 성능을 가속화하며 모든 클라우드, 웹 및 비공개 애플리케이션 활동에 대한 탁월한 가시성을 확보할 수 있도록 지원합니다. 수천 명의 고객이 진화하는 위협, 새로운 위험, 기술 변화, 조직 및 네트워크 변화, 새로운 규제 요건을 해결하기 위해 Netskope와 강력한 NewEdge 네트워크를 신뢰하고 있습니다.
상황
클라우드 컴퓨팅과 인공지능의 혁신 속도로 인해 소프트웨어 개발 라이프사이클이 크게 빨라졌습니다. Netskope의 CISO인 제임스 로빈슨은 소수의 언어로만 제공되는 보안 개발에 관한 동영상으로 규정 준수 목표를 달성하여 개발자를 교육하는 방식이 오늘날의 시장에서 지속 가능하지 않다는 것을 인식했습니다. 조직에 새로운 언어가 빠르게 도입되고 빠르게 변화하는 상황에서 넷스코프 개발자들이 새로운 언어와 기술을 빠르게 습득하는 동시에 보안에 대한 숙련도를 유지하는 데 어려움을 겪게 되었습니다.
넷스코프는 개발자가 받을 수 있는 언어와 범위를 넓히기 위해 더 많은 사용자 지정 연결을 만들려고 시도했지만 여전히 참여도가 매우 낮았고 곧 교육이 생산성에 문제를 일으키기 시작했습니다. 제임스는 보다 실습적인 학습 접근 방식을 통해 개발자들이 이 주제에 흥미를 가질 수 있도록 접근 방식을 바꾸고 싶었습니다.
액션
매년 실시되거나 임시로 제공되는 교육은 코드 스캐너와 같은 다양한 SAST 도구와 인프라를 전체적으로 다루지 못했으며, Netskope의 CI 및 CD 보안 단계에 통합할 수 없었습니다. 넷스코프는 보안에 대한 개발자의 참여를 분석 및 테스트 프로세스에 통합할 수 있어야 했습니다. 이를 통해 규정 준수 요구 사항을 보완하는 보안 개발 교육을 위한 기준을 마련할 수 있었습니다.
왼쪽 시프트
넷스코프는 '왼쪽 이동'에 대해 논의하기 시작하면서 왼쪽 이동이 실제로 무엇을 의미할까라는 질문을 던졌습니다. 얼마나 멀리 이동해야 할까요? 경영진은 내부적으로 "셀프 서비스 도입"으로 명칭을 변경하기로 결정했습니다. 이를 통해 원칙적으로 개발자가 보안 코드 교육에 대해 능동적으로 대처할 수 있는 역량을 강화할 수 있었습니다. 와 협력하여 Secure Code Warrior와 협력하여 개발자가 보안 콘텐츠를 보고 액세스할 수 있는 프로그램을 구축하여 개발자가 검증되지 않은 솔루션으로 방황하지 않도록 했습니다.
실행 가능성 및 가치
의 맞춤형 콘텐츠와 무수히 많은 실습 학습 활동은 Secure Code Warrior 의 맞춤형 콘텐츠와 수많은 실습 활동은 보안 팀과 개발자 팀 간에 더욱 개방적이고 생산적인 대화의 장을 열었습니다. 개발자들이 규정 준수를 넘어 가치를 실현하기 시작하자 보안에 대한 참여와 흥미가 높아졌습니다. 또한 프로그램을 보완하기 위해 더 많은 교육 콘텐츠를 제작하기 위해 중요하고 반복적인 취약점을 살펴볼 수 있는 기회가 열렸습니다.
결과
프로그램을 출시한 후 넷스코프는 개발자들이 플랫폼에서 최대한의 가치를 얻을 수 있도록 부지런히 피드백을 수집했습니다. 그 결과는 압도적으로 긍정적이었습니다.
넷스코프의 부 CISO인 제임스 로빈슨은 다음과 같이 말합니다:
저희 개발자 팀은 Secure Code Warrior의 플랫폼 덕분에 개발자에게 학습 경로를 더 빨리 제공하는 보다 매력적인 셀프 서비스 학습 접근 방식을 수용하여 성공적으로 좌측으로 전환했습니다. 더 중요한 것은, 우리가 더 나은 투자 수익률 더 높은 참여도와 이러한 노력이 더 이상 규정 준수를 위한 의무적인 활동으로 느껴지지 않기 때문입니다. 이 모든 것의 부산물은 개발자가 보안 챔피언이 될 수 있도록 지원하고 있다는 것입니다."
주요 내용
- 강력한 애플리케이션 보안 팀에 투자하지 않는 조직은코드를 통해 더 많은 위험이 유입되도록 허용합니다 . 이는 궁극적으로 취약점을 수정하고 보안 문제를 해결하는 데 시간과 비용을 낭비하게 됩니다.↪CF_200D↩
- 한 시간 동안 진행되는 규정 준수 중심의 연례 교육 대신 매달 관련 콘텐츠를 통해 몇 가지 핵심 내용만 학습하면 시간을 절약할 수 있는 프로그램을 활용하세요. 개발자 교육을 통해 절약한 시간은 애초에 도입되지 말았어야 할 취약점을 수정하는 데 필요한 재작업의 감소로 나타납니다.↪CF_200D↩
- 대규모 클라우드 솔루션을 코딩해야 하는 새로운 의무가 생겼습니다. 몇 년 전만 해도 개발자는 하나의 프로그래밍 언어를 통해 코드 보안에 전적으로 투자해야 한다는 기대가 있었습니다. 하지만 오늘날의 하이테크 시장에서는 더 이상 그렇지 않습니다. 기업이 구축하고자 하는 클라우드 인프라와 애플리케이션에 가장 적합한 여러 언어를 선택해야 합니다.
더 자세히 알고 싶으신가요?
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
규정 준수 그 이상: 넷스코프( Secure Code Warrior )가 대규모 클라우드 솔루션을 코딩할 수 있도록 개발자의 역량을 강화한 방법
배경
글로벌 SASE 리더인 Netskope는 조직이 제로 트러스트 원칙과 AI/ML 혁신을 적용하여 데이터를 보호하고 사이버 위협을 방어할 수 있도록 지원합니다. 빠르고 사용하기 쉬운 Netskope 플랫폼은 어디서나 사람, 디바이스, 데이터에 최적화된 액세스와 실시간 보안을 제공합니다. Netskope는 고객이 위험을 줄이고 성능을 가속화하며 모든 클라우드, 웹 및 비공개 애플리케이션 활동에 대한 탁월한 가시성을 확보할 수 있도록 지원합니다. 수천 명의 고객이 진화하는 위협, 새로운 위험, 기술 변화, 조직 및 네트워크 변화, 새로운 규제 요건을 해결하기 위해 Netskope와 강력한 NewEdge 네트워크를 신뢰하고 있습니다.
상황
클라우드 컴퓨팅과 인공지능의 혁신 속도로 인해 소프트웨어 개발 라이프사이클이 크게 빨라졌습니다. Netskope의 CISO인 제임스 로빈슨은 소수의 언어로만 제공되는 보안 개발에 관한 동영상으로 규정 준수 목표를 달성하여 개발자를 교육하는 방식이 오늘날의 시장에서 지속 가능하지 않다는 것을 인식했습니다. 조직에 새로운 언어가 빠르게 도입되고 빠르게 변화하는 상황에서 넷스코프 개발자들이 새로운 언어와 기술을 빠르게 습득하는 동시에 보안에 대한 숙련도를 유지하는 데 어려움을 겪게 되었습니다.
넷스코프는 개발자가 받을 수 있는 언어와 범위를 넓히기 위해 더 많은 사용자 지정 연결을 만들려고 시도했지만 여전히 참여도가 매우 낮았고 곧 교육이 생산성에 문제를 일으키기 시작했습니다. 제임스는 보다 실습적인 학습 접근 방식을 통해 개발자들이 이 주제에 흥미를 가질 수 있도록 접근 방식을 바꾸고 싶었습니다.
액션
매년 실시되거나 임시로 제공되는 교육은 코드 스캐너와 같은 다양한 SAST 도구와 인프라를 전체적으로 다루지 못했으며, Netskope의 CI 및 CD 보안 단계에 통합할 수 없었습니다. 넷스코프는 보안에 대한 개발자의 참여를 분석 및 테스트 프로세스에 통합할 수 있어야 했습니다. 이를 통해 규정 준수 요구 사항을 보완하는 보안 개발 교육을 위한 기준을 마련할 수 있었습니다.
왼쪽 시프트
넷스코프는 '왼쪽 이동'에 대해 논의하기 시작하면서 왼쪽 이동이 실제로 무엇을 의미할까라는 질문을 던졌습니다. 얼마나 멀리 이동해야 할까요? 경영진은 내부적으로 "셀프 서비스 도입"으로 명칭을 변경하기로 결정했습니다. 이를 통해 원칙적으로 개발자가 보안 코드 교육에 대해 능동적으로 대처할 수 있는 역량을 강화할 수 있었습니다. 와 협력하여 Secure Code Warrior와 협력하여 개발자가 보안 콘텐츠를 보고 액세스할 수 있는 프로그램을 구축하여 개발자가 검증되지 않은 솔루션으로 방황하지 않도록 했습니다.
실행 가능성 및 가치
의 맞춤형 콘텐츠와 무수히 많은 실습 학습 활동은 Secure Code Warrior 의 맞춤형 콘텐츠와 수많은 실습 활동은 보안 팀과 개발자 팀 간에 더욱 개방적이고 생산적인 대화의 장을 열었습니다. 개발자들이 규정 준수를 넘어 가치를 실현하기 시작하자 보안에 대한 참여와 흥미가 높아졌습니다. 또한 프로그램을 보완하기 위해 더 많은 교육 콘텐츠를 제작하기 위해 중요하고 반복적인 취약점을 살펴볼 수 있는 기회가 열렸습니다.
결과
프로그램을 출시한 후 넷스코프는 개발자들이 플랫폼에서 최대한의 가치를 얻을 수 있도록 부지런히 피드백을 수집했습니다. 그 결과는 압도적으로 긍정적이었습니다.
넷스코프의 부 CISO인 제임스 로빈슨은 다음과 같이 말합니다:
저희 개발자 팀은 Secure Code Warrior의 플랫폼 덕분에 개발자에게 학습 경로를 더 빨리 제공하는 보다 매력적인 셀프 서비스 학습 접근 방식을 수용하여 성공적으로 좌측으로 전환했습니다. 더 중요한 것은, 우리가 더 나은 투자 수익률 더 높은 참여도와 이러한 노력이 더 이상 규정 준수를 위한 의무적인 활동으로 느껴지지 않기 때문입니다. 이 모든 것의 부산물은 개발자가 보안 챔피언이 될 수 있도록 지원하고 있다는 것입니다."
주요 내용
- 강력한 애플리케이션 보안 팀에 투자하지 않는 조직은코드를 통해 더 많은 위험이 유입되도록 허용합니다 . 이는 궁극적으로 취약점을 수정하고 보안 문제를 해결하는 데 시간과 비용을 낭비하게 됩니다.↪CF_200D↩
- 한 시간 동안 진행되는 규정 준수 중심의 연례 교육 대신 매달 관련 콘텐츠를 통해 몇 가지 핵심 내용만 학습하면 시간을 절약할 수 있는 프로그램을 활용하세요. 개발자 교육을 통해 절약한 시간은 애초에 도입되지 말았어야 할 취약점을 수정하는 데 필요한 재작업의 감소로 나타납니다.↪CF_200D↩
- 대규모 클라우드 솔루션을 코딩해야 하는 새로운 의무가 생겼습니다. 몇 년 전만 해도 개발자는 하나의 프로그래밍 언어를 통해 코드 보안에 전적으로 투자해야 한다는 기대가 있었습니다. 하지만 오늘날의 하이테크 시장에서는 더 이상 그렇지 않습니다. 기업이 구축하고자 하는 클라우드 인프라와 애플리케이션에 가장 적합한 여러 언어를 선택해야 합니다.
