보안 코딩의 미래에 인간의 요소는 어떤 역할을 합니까?
사이버 위협의 수가 계속 증가함에 따라 조직은 보안, 실용성 및 속도 간의 일상적인 절충을 통해 그 과정에서 위험에 노출되고 있습니다. 코딩 을 확보하기 위한 새로운 접근 방식이 필요하므로 보안 코드 전사는 보안 코딩, 보안 코드 관행 및 보안 작업에 대한 개발자의 태도에 대한 기본 연구를 수행하기 위해 Evans Data Corp.와 협력했습니다(여기에서 백서 다운로드).
이 보고서에서 밝힌 것은 '구식' 반응적 사고가 여전히 지배하고 있지만, 보다 적극적인 솔루션의 필요성에 대한 인식이 높아짐에 따라 개발자들이 스스로를 첫 번째 방어선으로 전환한다는 것입니다.
보안 코딩 관행의 채택에 대한 탐구는 구현에 관여하는 인간의 이해, 그것에 대한 인식 및 구현 능력으로 시작해야합니다. 그러면 퍼즐의 가장 중요한 조각으로 이어지며, 어떻게 처음부터 더 안전하게 코딩할 수 있고 품질 코드를 더 빠르게 배송할 수 있을까요?
보안 코딩 – 현재 어디에 있으며 무엇을 변경해야 합니까? 지금 인포그래픽 '인간 요소'를 다운로드하세요.
현재의 관점 - 반응성 대 사전 대응
개발자와 개발 관리자가 보안 코딩과 연관된 활동에 대해 물었을 때 상위 3가지 응답은 다음과 같은 것입니다.
- 배포된 응용 프로그램에서 검색 도구를 사용합니다.
- 취약점에 대한 코드를 수동으로 검토합니다.
- 취약점으로부터 보호되는 소프트웨어를 작성하는 활성 및 지속적인 관행입니다.
우리가 볼 수 있듯이, 상위 세 응답 중 두 가지는 여전히 반응적 접근 방식에 초점을 맞추고 있습니다 - 툴링 (스캐너)에 대한 첫 번째 의존, 그리고 수동 검사를 수행하는 개발자 (즉, 인간)에 두 번째.
동시에, 지명 된 세 가지 활동 중 두 가지는 인간의 요소에 의존한다. 이는 안보에 대한 인식이 인간의 문제로 커지고 있음을 가리킨다. 그러나 후보에 오른 모든 활동 중 가장 많은 것은 3번으로, 애초에 취약점으로부터 보호되는 소프트웨어를 작성하는인적 요소를 식별합니다. 이는 SDLC가 시작될 때부터 보안을 소프트웨어로 전환하는 사전 예방적 및 예방 적 접근 법인 왼쪽 으로의 전환을 강조합니다.
보안은 SDLC에 어디에 적합합니까?
개발자와 개발 관리자가 SDLC에 통합되는 보안 코드 관행을 어디에서 볼 수 있는지 묻는 메시지가 표시되면 의견이 다릅니다. 관리자의 55%는 보안 코딩이 전체 개발 프로세스에 통합되어 있다고 생각하며, 개발자의 43%에 불과합니다. 차이점은 SDLC 내에서 이 두 그룹의 다른 역할을 반영할 수 있습니다. 관리는 일반적으로 코딩의 실제 작업에 덜 관여하고 개발자가 너트와 볼트에 더 관심이있을 수 있습니다 반면, 높은 수준의 보기를 하는 경향이있다.
그러나 전반적인 보안 및 코드 품질 관점에서 볼 때, 놀라운 것은 개발자의 13%와 관리자의 10%만이 SDLC가 시작될 때 보안 코드 관행을 설계 단계 내에 통합해야 한다고 말합니다. 이것은 거대하고 실현되지 않은 기회입니다. IBM 연구에 따르면, 출시 후 코드의 취약점을 발견하고 초기에 수정하는 것보다 30배 더 비싸다.1 이는 개발자가 처음부터 보다 안전하게 코딩할 수 있도록 하는 소프트웨어 보안에 대한 새로운 사전 예방적이고 인간 주도적인 방어를 위한 강력한 인센티브입니다. 소프트웨어 보안은 툴링에만 의존하여 해결할 수 없으며 인간의 요소를 고려해야 합니다.
인간의 요소는 준비되어 있습니까?
설문조사에 참여한 개발자의 97%는 보안 코딩에 대한 충분한 교육을 받았으며, 95%는 보안 코딩 교육이 경력에 귀중하다는 데 동의했습니다. 그러나 이러한 클레임을 액면가로 수락하기 전에 코드 취약점이 여전히 널리 퍼진 이유는 무엇입니까? 개발자의 안전한 코드 전문 지식 주장은 인간의 자아의 경우일 뿐입니까? 증거는 확실히이 방향을 가리킵니다. 보다 겸손한 입장에서 조사된 개발자의 88% 이상이 안전한 코딩을 배우기 어렵다는 것을 인정하며, 개발 관리자의 91%는 보안 코딩 관행을 구현하기가 어렵다는 것을 인정합니다. 보안 코드 구현과 관련된 주요 개인 문제를 파악하라는 요청을 받았을 때 개발자의 28%는 학습 프로세스가 까다롭고 24%는 학습 프로세스가 지루하다고 합니다. 이는 개발자 교육이 개선되어야 한다는 사실을 가리킵니다.
인간의 요소는 무엇을 필요로 합니까?
'도전' 요인을 극복하기 위해서는가치있는 보안 교육은 개발자가 한 단계씩 안전한 코딩 기술을 구축할 수 있도록 지원하는 '스캐폴딩' 프로세스가 필요합니다. 관련성과 즉각적인 적용가능성을 극대화하기 위해, 그 훈련은 매일 사용하는 특정 언어:프레임워크에서 진행되어야 합니다.
'지루함' 요인을 극복하기 위해서는보안 코드 교육을 실습 방식으로 제공해야 하며, 이는 오래된 교실이나 '이 비디오 보기' 모델보다 개발자에게 훨씬 더 매력적인 것으로 입증되었습니다. 여기에는 개발자가 안전한 환경에서 때로는 위험한 보안 문제를 해결할 수 있는 라이브 시뮬레이션이 포함되어야 합니다. 목표는 개발자가 작동하면서 코드의 취약점을 찾고 수정하는 방법을 가르치고 일상적인 흐름의 안전한 코딩 부분을 만드는 것입니다. 또 다른 주요 인내 활성화 요소는 내부-IDE linting 및 코칭으로, 개발자가 코딩할 때 지속적으로 배우고 업 스킬을 사용할 수 있도록 하여 취약점을 방지하고 제거하는 것입니다.
개발자에게 개발자 중심의 도구와 교육의 새로운 수준을 제공하는 방법을 찾으려면 지금 데모를 예약하세요.
반응에서 예방으로 이동하는 백서의 사본을 다운로드 할 수 있습니다 : 응용 프로그램 보안의 변화하는 얼굴.
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
이 기사는 다음에 의해 작성되었습니다. Secure Code Warrior 업계 전문가로 구성된 팀은 개발자에게 처음부터 안전한 소프트웨어를 구축할 수 있는 지식과 기술을 제공하기 위해 최선을 다하고 있습니다. 안전한 코딩 관행, 업계 동향 및 실제 통찰력에 대한 심층적인 전문 지식을 활용합니다.
.avif)
.avif)
사이버 위협의 수가 계속 증가함에 따라 조직은 보안, 실용성 및 속도 간의 일상적인 절충을 통해 그 과정에서 위험에 노출되고 있습니다. 코딩 을 확보하기 위한 새로운 접근 방식이 필요하므로 보안 코드 전사는 보안 코딩, 보안 코드 관행 및 보안 작업에 대한 개발자의 태도에 대한 기본 연구를 수행하기 위해 Evans Data Corp.와 협력했습니다(여기에서 백서 다운로드).
이 보고서에서 밝힌 것은 '구식' 반응적 사고가 여전히 지배하고 있지만, 보다 적극적인 솔루션의 필요성에 대한 인식이 높아짐에 따라 개발자들이 스스로를 첫 번째 방어선으로 전환한다는 것입니다.
보안 코딩 관행의 채택에 대한 탐구는 구현에 관여하는 인간의 이해, 그것에 대한 인식 및 구현 능력으로 시작해야합니다. 그러면 퍼즐의 가장 중요한 조각으로 이어지며, 어떻게 처음부터 더 안전하게 코딩할 수 있고 품질 코드를 더 빠르게 배송할 수 있을까요?
보안 코딩 – 현재 어디에 있으며 무엇을 변경해야 합니까? 지금 인포그래픽 '인간 요소'를 다운로드하세요.
현재의 관점 - 반응성 대 사전 대응
개발자와 개발 관리자가 보안 코딩과 연관된 활동에 대해 물었을 때 상위 3가지 응답은 다음과 같은 것입니다.
- 배포된 응용 프로그램에서 검색 도구를 사용합니다.
- 취약점에 대한 코드를 수동으로 검토합니다.
- 취약점으로부터 보호되는 소프트웨어를 작성하는 활성 및 지속적인 관행입니다.
우리가 볼 수 있듯이, 상위 세 응답 중 두 가지는 여전히 반응적 접근 방식에 초점을 맞추고 있습니다 - 툴링 (스캐너)에 대한 첫 번째 의존, 그리고 수동 검사를 수행하는 개발자 (즉, 인간)에 두 번째.
동시에, 지명 된 세 가지 활동 중 두 가지는 인간의 요소에 의존한다. 이는 안보에 대한 인식이 인간의 문제로 커지고 있음을 가리킨다. 그러나 후보에 오른 모든 활동 중 가장 많은 것은 3번으로, 애초에 취약점으로부터 보호되는 소프트웨어를 작성하는인적 요소를 식별합니다. 이는 SDLC가 시작될 때부터 보안을 소프트웨어로 전환하는 사전 예방적 및 예방 적 접근 법인 왼쪽 으로의 전환을 강조합니다.
보안은 SDLC에 어디에 적합합니까?
개발자와 개발 관리자가 SDLC에 통합되는 보안 코드 관행을 어디에서 볼 수 있는지 묻는 메시지가 표시되면 의견이 다릅니다. 관리자의 55%는 보안 코딩이 전체 개발 프로세스에 통합되어 있다고 생각하며, 개발자의 43%에 불과합니다. 차이점은 SDLC 내에서 이 두 그룹의 다른 역할을 반영할 수 있습니다. 관리는 일반적으로 코딩의 실제 작업에 덜 관여하고 개발자가 너트와 볼트에 더 관심이있을 수 있습니다 반면, 높은 수준의 보기를 하는 경향이있다.
그러나 전반적인 보안 및 코드 품질 관점에서 볼 때, 놀라운 것은 개발자의 13%와 관리자의 10%만이 SDLC가 시작될 때 보안 코드 관행을 설계 단계 내에 통합해야 한다고 말합니다. 이것은 거대하고 실현되지 않은 기회입니다. IBM 연구에 따르면, 출시 후 코드의 취약점을 발견하고 초기에 수정하는 것보다 30배 더 비싸다.1 이는 개발자가 처음부터 보다 안전하게 코딩할 수 있도록 하는 소프트웨어 보안에 대한 새로운 사전 예방적이고 인간 주도적인 방어를 위한 강력한 인센티브입니다. 소프트웨어 보안은 툴링에만 의존하여 해결할 수 없으며 인간의 요소를 고려해야 합니다.
인간의 요소는 준비되어 있습니까?
설문조사에 참여한 개발자의 97%는 보안 코딩에 대한 충분한 교육을 받았으며, 95%는 보안 코딩 교육이 경력에 귀중하다는 데 동의했습니다. 그러나 이러한 클레임을 액면가로 수락하기 전에 코드 취약점이 여전히 널리 퍼진 이유는 무엇입니까? 개발자의 안전한 코드 전문 지식 주장은 인간의 자아의 경우일 뿐입니까? 증거는 확실히이 방향을 가리킵니다. 보다 겸손한 입장에서 조사된 개발자의 88% 이상이 안전한 코딩을 배우기 어렵다는 것을 인정하며, 개발 관리자의 91%는 보안 코딩 관행을 구현하기가 어렵다는 것을 인정합니다. 보안 코드 구현과 관련된 주요 개인 문제를 파악하라는 요청을 받았을 때 개발자의 28%는 학습 프로세스가 까다롭고 24%는 학습 프로세스가 지루하다고 합니다. 이는 개발자 교육이 개선되어야 한다는 사실을 가리킵니다.
인간의 요소는 무엇을 필요로 합니까?
'도전' 요인을 극복하기 위해서는가치있는 보안 교육은 개발자가 한 단계씩 안전한 코딩 기술을 구축할 수 있도록 지원하는 '스캐폴딩' 프로세스가 필요합니다. 관련성과 즉각적인 적용가능성을 극대화하기 위해, 그 훈련은 매일 사용하는 특정 언어:프레임워크에서 진행되어야 합니다.
'지루함' 요인을 극복하기 위해서는보안 코드 교육을 실습 방식으로 제공해야 하며, 이는 오래된 교실이나 '이 비디오 보기' 모델보다 개발자에게 훨씬 더 매력적인 것으로 입증되었습니다. 여기에는 개발자가 안전한 환경에서 때로는 위험한 보안 문제를 해결할 수 있는 라이브 시뮬레이션이 포함되어야 합니다. 목표는 개발자가 작동하면서 코드의 취약점을 찾고 수정하는 방법을 가르치고 일상적인 흐름의 안전한 코딩 부분을 만드는 것입니다. 또 다른 주요 인내 활성화 요소는 내부-IDE linting 및 코칭으로, 개발자가 코딩할 때 지속적으로 배우고 업 스킬을 사용할 수 있도록 하여 취약점을 방지하고 제거하는 것입니다.
개발자에게 개발자 중심의 도구와 교육의 새로운 수준을 제공하는 방법을 찾으려면 지금 데모를 예약하세요.
반응에서 예방으로 이동하는 백서의 사본을 다운로드 할 수 있습니다 : 응용 프로그램 보안의 변화하는 얼굴.
사이버 위협의 수가 계속 증가함에 따라 조직은 보안, 실용성 및 속도 간의 일상적인 절충을 통해 그 과정에서 위험에 노출되고 있습니다. 코딩 을 확보하기 위한 새로운 접근 방식이 필요하므로 보안 코드 전사는 보안 코딩, 보안 코드 관행 및 보안 작업에 대한 개발자의 태도에 대한 기본 연구를 수행하기 위해 Evans Data Corp.와 협력했습니다(여기에서 백서 다운로드).
이 보고서에서 밝힌 것은 '구식' 반응적 사고가 여전히 지배하고 있지만, 보다 적극적인 솔루션의 필요성에 대한 인식이 높아짐에 따라 개발자들이 스스로를 첫 번째 방어선으로 전환한다는 것입니다.
보안 코딩 관행의 채택에 대한 탐구는 구현에 관여하는 인간의 이해, 그것에 대한 인식 및 구현 능력으로 시작해야합니다. 그러면 퍼즐의 가장 중요한 조각으로 이어지며, 어떻게 처음부터 더 안전하게 코딩할 수 있고 품질 코드를 더 빠르게 배송할 수 있을까요?
보안 코딩 – 현재 어디에 있으며 무엇을 변경해야 합니까? 지금 인포그래픽 '인간 요소'를 다운로드하세요.
현재의 관점 - 반응성 대 사전 대응
개발자와 개발 관리자가 보안 코딩과 연관된 활동에 대해 물었을 때 상위 3가지 응답은 다음과 같은 것입니다.
- 배포된 응용 프로그램에서 검색 도구를 사용합니다.
- 취약점에 대한 코드를 수동으로 검토합니다.
- 취약점으로부터 보호되는 소프트웨어를 작성하는 활성 및 지속적인 관행입니다.
우리가 볼 수 있듯이, 상위 세 응답 중 두 가지는 여전히 반응적 접근 방식에 초점을 맞추고 있습니다 - 툴링 (스캐너)에 대한 첫 번째 의존, 그리고 수동 검사를 수행하는 개발자 (즉, 인간)에 두 번째.
동시에, 지명 된 세 가지 활동 중 두 가지는 인간의 요소에 의존한다. 이는 안보에 대한 인식이 인간의 문제로 커지고 있음을 가리킨다. 그러나 후보에 오른 모든 활동 중 가장 많은 것은 3번으로, 애초에 취약점으로부터 보호되는 소프트웨어를 작성하는인적 요소를 식별합니다. 이는 SDLC가 시작될 때부터 보안을 소프트웨어로 전환하는 사전 예방적 및 예방 적 접근 법인 왼쪽 으로의 전환을 강조합니다.
보안은 SDLC에 어디에 적합합니까?
개발자와 개발 관리자가 SDLC에 통합되는 보안 코드 관행을 어디에서 볼 수 있는지 묻는 메시지가 표시되면 의견이 다릅니다. 관리자의 55%는 보안 코딩이 전체 개발 프로세스에 통합되어 있다고 생각하며, 개발자의 43%에 불과합니다. 차이점은 SDLC 내에서 이 두 그룹의 다른 역할을 반영할 수 있습니다. 관리는 일반적으로 코딩의 실제 작업에 덜 관여하고 개발자가 너트와 볼트에 더 관심이있을 수 있습니다 반면, 높은 수준의 보기를 하는 경향이있다.
그러나 전반적인 보안 및 코드 품질 관점에서 볼 때, 놀라운 것은 개발자의 13%와 관리자의 10%만이 SDLC가 시작될 때 보안 코드 관행을 설계 단계 내에 통합해야 한다고 말합니다. 이것은 거대하고 실현되지 않은 기회입니다. IBM 연구에 따르면, 출시 후 코드의 취약점을 발견하고 초기에 수정하는 것보다 30배 더 비싸다.1 이는 개발자가 처음부터 보다 안전하게 코딩할 수 있도록 하는 소프트웨어 보안에 대한 새로운 사전 예방적이고 인간 주도적인 방어를 위한 강력한 인센티브입니다. 소프트웨어 보안은 툴링에만 의존하여 해결할 수 없으며 인간의 요소를 고려해야 합니다.
인간의 요소는 준비되어 있습니까?
설문조사에 참여한 개발자의 97%는 보안 코딩에 대한 충분한 교육을 받았으며, 95%는 보안 코딩 교육이 경력에 귀중하다는 데 동의했습니다. 그러나 이러한 클레임을 액면가로 수락하기 전에 코드 취약점이 여전히 널리 퍼진 이유는 무엇입니까? 개발자의 안전한 코드 전문 지식 주장은 인간의 자아의 경우일 뿐입니까? 증거는 확실히이 방향을 가리킵니다. 보다 겸손한 입장에서 조사된 개발자의 88% 이상이 안전한 코딩을 배우기 어렵다는 것을 인정하며, 개발 관리자의 91%는 보안 코딩 관행을 구현하기가 어렵다는 것을 인정합니다. 보안 코드 구현과 관련된 주요 개인 문제를 파악하라는 요청을 받았을 때 개발자의 28%는 학습 프로세스가 까다롭고 24%는 학습 프로세스가 지루하다고 합니다. 이는 개발자 교육이 개선되어야 한다는 사실을 가리킵니다.
인간의 요소는 무엇을 필요로 합니까?
'도전' 요인을 극복하기 위해서는가치있는 보안 교육은 개발자가 한 단계씩 안전한 코딩 기술을 구축할 수 있도록 지원하는 '스캐폴딩' 프로세스가 필요합니다. 관련성과 즉각적인 적용가능성을 극대화하기 위해, 그 훈련은 매일 사용하는 특정 언어:프레임워크에서 진행되어야 합니다.
'지루함' 요인을 극복하기 위해서는보안 코드 교육을 실습 방식으로 제공해야 하며, 이는 오래된 교실이나 '이 비디오 보기' 모델보다 개발자에게 훨씬 더 매력적인 것으로 입증되었습니다. 여기에는 개발자가 안전한 환경에서 때로는 위험한 보안 문제를 해결할 수 있는 라이브 시뮬레이션이 포함되어야 합니다. 목표는 개발자가 작동하면서 코드의 취약점을 찾고 수정하는 방법을 가르치고 일상적인 흐름의 안전한 코딩 부분을 만드는 것입니다. 또 다른 주요 인내 활성화 요소는 내부-IDE linting 및 코칭으로, 개발자가 코딩할 때 지속적으로 배우고 업 스킬을 사용할 수 있도록 하여 취약점을 방지하고 제거하는 것입니다.
개발자에게 개발자 중심의 도구와 교육의 새로운 수준을 제공하는 방법을 찾으려면 지금 데모를 예약하세요.
반응에서 예방으로 이동하는 백서의 사본을 다운로드 할 수 있습니다 : 응용 프로그램 보안의 변화하는 얼굴.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
이 기사는 다음에 의해 작성되었습니다. Secure Code Warrior 업계 전문가로 구성된 팀은 개발자에게 처음부터 안전한 소프트웨어를 구축할 수 있는 지식과 기술을 제공하기 위해 최선을 다하고 있습니다. 안전한 코딩 관행, 업계 동향 및 실제 통찰력에 대한 심층적인 전문 지식을 활용합니다.
사이버 위협의 수가 계속 증가함에 따라 조직은 보안, 실용성 및 속도 간의 일상적인 절충을 통해 그 과정에서 위험에 노출되고 있습니다. 코딩 을 확보하기 위한 새로운 접근 방식이 필요하므로 보안 코드 전사는 보안 코딩, 보안 코드 관행 및 보안 작업에 대한 개발자의 태도에 대한 기본 연구를 수행하기 위해 Evans Data Corp.와 협력했습니다(여기에서 백서 다운로드).
이 보고서에서 밝힌 것은 '구식' 반응적 사고가 여전히 지배하고 있지만, 보다 적극적인 솔루션의 필요성에 대한 인식이 높아짐에 따라 개발자들이 스스로를 첫 번째 방어선으로 전환한다는 것입니다.
보안 코딩 관행의 채택에 대한 탐구는 구현에 관여하는 인간의 이해, 그것에 대한 인식 및 구현 능력으로 시작해야합니다. 그러면 퍼즐의 가장 중요한 조각으로 이어지며, 어떻게 처음부터 더 안전하게 코딩할 수 있고 품질 코드를 더 빠르게 배송할 수 있을까요?
보안 코딩 – 현재 어디에 있으며 무엇을 변경해야 합니까? 지금 인포그래픽 '인간 요소'를 다운로드하세요.
현재의 관점 - 반응성 대 사전 대응
개발자와 개발 관리자가 보안 코딩과 연관된 활동에 대해 물었을 때 상위 3가지 응답은 다음과 같은 것입니다.
- 배포된 응용 프로그램에서 검색 도구를 사용합니다.
- 취약점에 대한 코드를 수동으로 검토합니다.
- 취약점으로부터 보호되는 소프트웨어를 작성하는 활성 및 지속적인 관행입니다.
우리가 볼 수 있듯이, 상위 세 응답 중 두 가지는 여전히 반응적 접근 방식에 초점을 맞추고 있습니다 - 툴링 (스캐너)에 대한 첫 번째 의존, 그리고 수동 검사를 수행하는 개발자 (즉, 인간)에 두 번째.
동시에, 지명 된 세 가지 활동 중 두 가지는 인간의 요소에 의존한다. 이는 안보에 대한 인식이 인간의 문제로 커지고 있음을 가리킨다. 그러나 후보에 오른 모든 활동 중 가장 많은 것은 3번으로, 애초에 취약점으로부터 보호되는 소프트웨어를 작성하는인적 요소를 식별합니다. 이는 SDLC가 시작될 때부터 보안을 소프트웨어로 전환하는 사전 예방적 및 예방 적 접근 법인 왼쪽 으로의 전환을 강조합니다.
보안은 SDLC에 어디에 적합합니까?
개발자와 개발 관리자가 SDLC에 통합되는 보안 코드 관행을 어디에서 볼 수 있는지 묻는 메시지가 표시되면 의견이 다릅니다. 관리자의 55%는 보안 코딩이 전체 개발 프로세스에 통합되어 있다고 생각하며, 개발자의 43%에 불과합니다. 차이점은 SDLC 내에서 이 두 그룹의 다른 역할을 반영할 수 있습니다. 관리는 일반적으로 코딩의 실제 작업에 덜 관여하고 개발자가 너트와 볼트에 더 관심이있을 수 있습니다 반면, 높은 수준의 보기를 하는 경향이있다.
그러나 전반적인 보안 및 코드 품질 관점에서 볼 때, 놀라운 것은 개발자의 13%와 관리자의 10%만이 SDLC가 시작될 때 보안 코드 관행을 설계 단계 내에 통합해야 한다고 말합니다. 이것은 거대하고 실현되지 않은 기회입니다. IBM 연구에 따르면, 출시 후 코드의 취약점을 발견하고 초기에 수정하는 것보다 30배 더 비싸다.1 이는 개발자가 처음부터 보다 안전하게 코딩할 수 있도록 하는 소프트웨어 보안에 대한 새로운 사전 예방적이고 인간 주도적인 방어를 위한 강력한 인센티브입니다. 소프트웨어 보안은 툴링에만 의존하여 해결할 수 없으며 인간의 요소를 고려해야 합니다.
인간의 요소는 준비되어 있습니까?
설문조사에 참여한 개발자의 97%는 보안 코딩에 대한 충분한 교육을 받았으며, 95%는 보안 코딩 교육이 경력에 귀중하다는 데 동의했습니다. 그러나 이러한 클레임을 액면가로 수락하기 전에 코드 취약점이 여전히 널리 퍼진 이유는 무엇입니까? 개발자의 안전한 코드 전문 지식 주장은 인간의 자아의 경우일 뿐입니까? 증거는 확실히이 방향을 가리킵니다. 보다 겸손한 입장에서 조사된 개발자의 88% 이상이 안전한 코딩을 배우기 어렵다는 것을 인정하며, 개발 관리자의 91%는 보안 코딩 관행을 구현하기가 어렵다는 것을 인정합니다. 보안 코드 구현과 관련된 주요 개인 문제를 파악하라는 요청을 받았을 때 개발자의 28%는 학습 프로세스가 까다롭고 24%는 학습 프로세스가 지루하다고 합니다. 이는 개발자 교육이 개선되어야 한다는 사실을 가리킵니다.
인간의 요소는 무엇을 필요로 합니까?
'도전' 요인을 극복하기 위해서는가치있는 보안 교육은 개발자가 한 단계씩 안전한 코딩 기술을 구축할 수 있도록 지원하는 '스캐폴딩' 프로세스가 필요합니다. 관련성과 즉각적인 적용가능성을 극대화하기 위해, 그 훈련은 매일 사용하는 특정 언어:프레임워크에서 진행되어야 합니다.
'지루함' 요인을 극복하기 위해서는보안 코드 교육을 실습 방식으로 제공해야 하며, 이는 오래된 교실이나 '이 비디오 보기' 모델보다 개발자에게 훨씬 더 매력적인 것으로 입증되었습니다. 여기에는 개발자가 안전한 환경에서 때로는 위험한 보안 문제를 해결할 수 있는 라이브 시뮬레이션이 포함되어야 합니다. 목표는 개발자가 작동하면서 코드의 취약점을 찾고 수정하는 방법을 가르치고 일상적인 흐름의 안전한 코딩 부분을 만드는 것입니다. 또 다른 주요 인내 활성화 요소는 내부-IDE linting 및 코칭으로, 개발자가 코딩할 때 지속적으로 배우고 업 스킬을 사용할 수 있도록 하여 취약점을 방지하고 제거하는 것입니다.
개발자에게 개발자 중심의 도구와 교육의 새로운 수준을 제공하는 방법을 찾으려면 지금 데모를 예약하세요.
반응에서 예방으로 이동하는 백서의 사본을 다운로드 할 수 있습니다 : 응용 프로그램 보안의 변화하는 얼굴.
목차
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약다운로드시작할 수 있는 리소스
보안 기술 벤치마킹: 기업에서 보안 설계 간소화
보안 설계 이니셔티브의 성공에 대한 의미 있는 데이터를 찾는 것은 매우 어렵기로 악명이 높습니다. CISO는 직원과 회사 차원에서 보안 프로그램 활동의 투자 수익률(ROI)과 비즈니스 가치를 입증하는 데 어려움을 겪는 경우가 많습니다. 특히 기업이 현재 업계 표준과 비교하여 조직이 어떻게 벤치마킹되고 있는지에 대한 인사이트를 얻는 것은 더욱 어렵습니다. 대통령의 국가 사이버 보안 전략은 이해관계자들에게 "보안과 회복탄력성을 설계에 포함"할 것을 촉구했습니다. 설계에 의한 보안 이니셔티브의 핵심은 개발자에게 안전한 코드를 보장하는 기술을 제공하는 것뿐만 아니라 규제 기관에 이러한 기술이 제대로 갖추어져 있음을 확신시키는 것입니다. 이 프레젠테이션에서는 25만 명 이상의 개발자로부터 수집한 내부 데이터 포인트, 데이터 기반 고객 인사이트, 공개 연구 등 여러 주요 소스에서 파생된 수많은 정성적 및 정량적 데이터를 공유합니다. 이러한 데이터 포인트의 집계를 활용하여 여러 업종에 걸친 보안 설계 이니셔티브의 현재 상태에 대한 비전을 전달하고자 합니다. 이 보고서는 현재 이 분야의 활용도가 낮은 이유, 성공적인 업스킬링 프로그램이 사이버 보안 위험 완화에 미칠 수 있는 중대한 영향, 코드베이스에서 취약성 범주를 제거할 수 있는 잠재력에 대해 자세히 설명합니다.
