보안 코딩의 미래에 인간의 요소는 어떤 역할을 합니까?
.png)
.png)
사이버 위협의 수가 계속 증가함에 따라 조직은 보안, 실용성 및 속도 간의 일상적인 절충을 통해 그 과정에서 위험에 노출되고 있습니다. 코딩 을 확보하기 위한 새로운 접근 방식이 필요하므로 보안 코드 전사는 보안 코딩, 보안 코드 관행 및 보안 작업에 대한 개발자의 태도에 대한 기본 연구를 수행하기 위해 Evans Data Corp.와 협력했습니다(여기에서 백서 다운로드).
이 보고서에서 밝힌 것은 '구식' 반응적 사고가 여전히 지배하고 있지만, 보다 적극적인 솔루션의 필요성에 대한 인식이 높아짐에 따라 개발자들이 스스로를 첫 번째 방어선으로 전환한다는 것입니다.
보안 코딩 관행의 채택에 대한 탐구는 구현에 관여하는 인간의 이해, 그것에 대한 인식 및 구현 능력으로 시작해야합니다. 그러면 퍼즐의 가장 중요한 조각으로 이어지며, 어떻게 처음부터 더 안전하게 코딩할 수 있고 품질 코드를 더 빠르게 배송할 수 있을까요?
보안 코딩 – 현재 어디에 있으며 무엇을 변경해야 합니까? 지금 인포그래픽 '인간 요소'를 다운로드하세요.
현재의 관점 - 반응성 대 사전 대응
개발자와 개발 관리자가 보안 코딩과 연관된 활동에 대해 물었을 때 상위 3가지 응답은 다음과 같은 것입니다.
- 배포된 응용 프로그램에서 검색 도구를 사용합니다.
- 취약점에 대한 코드를 수동으로 검토합니다.
- 취약점으로부터 보호되는 소프트웨어를 작성하는 활성 및 지속적인 관행입니다.
우리가 볼 수 있듯이, 상위 세 응답 중 두 가지는 여전히 반응적 접근 방식에 초점을 맞추고 있습니다 - 툴링 (스캐너)에 대한 첫 번째 의존, 그리고 수동 검사를 수행하는 개발자 (즉, 인간)에 두 번째.
동시에, 지명 된 세 가지 활동 중 두 가지는 인간의 요소에 의존한다. 이는 안보에 대한 인식이 인간의 문제로 커지고 있음을 가리킨다. 그러나 후보에 오른 모든 활동 중 가장 많은 것은 3번으로, 애초에 취약점으로부터 보호되는 소프트웨어를 작성하는인적 요소를 식별합니다. 이는 SDLC가 시작될 때부터 보안을 소프트웨어로 전환하는 사전 예방적 및 예방 적 접근 법인 왼쪽 으로의 전환을 강조합니다.
보안은 SDLC에 어디에 적합합니까?
개발자와 개발 관리자가 SDLC에 통합되는 보안 코드 관행을 어디에서 볼 수 있는지 묻는 메시지가 표시되면 의견이 다릅니다. 관리자의 55%는 보안 코딩이 전체 개발 프로세스에 통합되어 있다고 생각하며, 개발자의 43%에 불과합니다. 차이점은 SDLC 내에서 이 두 그룹의 다른 역할을 반영할 수 있습니다. 관리는 일반적으로 코딩의 실제 작업에 덜 관여하고 개발자가 너트와 볼트에 더 관심이있을 수 있습니다 반면, 높은 수준의 보기를 하는 경향이있다.
그러나 전반적인 보안 및 코드 품질 관점에서 볼 때, 놀라운 것은 개발자의 13%와 관리자의 10%만이 SDLC가 시작될 때 보안 코드 관행을 설계 단계 내에 통합해야 한다고 말합니다. 이것은 거대하고 실현되지 않은 기회입니다. IBM 연구에 따르면, 출시 후 코드의 취약점을 발견하고 초기에 수정하는 것보다 30배 더 비싸다.1 이는 개발자가 처음부터 보다 안전하게 코딩할 수 있도록 하는 소프트웨어 보안에 대한 새로운 사전 예방적이고 인간 주도적인 방어를 위한 강력한 인센티브입니다. 소프트웨어 보안은 툴링에만 의존하여 해결할 수 없으며 인간의 요소를 고려해야 합니다.
인간의 요소는 준비되어 있습니까?
설문조사에 참여한 개발자의 97%는 보안 코딩에 대한 충분한 교육을 받았으며, 95%는 보안 코딩 교육이 경력에 귀중하다는 데 동의했습니다. 그러나 이러한 클레임을 액면가로 수락하기 전에 코드 취약점이 여전히 널리 퍼진 이유는 무엇입니까? 개발자의 안전한 코드 전문 지식 주장은 인간의 자아의 경우일 뿐입니까? 증거는 확실히이 방향을 가리킵니다. 보다 겸손한 입장에서 조사된 개발자의 88% 이상이 안전한 코딩을 배우기 어렵다는 것을 인정하며, 개발 관리자의 91%는 보안 코딩 관행을 구현하기가 어렵다는 것을 인정합니다. 보안 코드 구현과 관련된 주요 개인 문제를 파악하라는 요청을 받았을 때 개발자의 28%는 학습 프로세스가 까다롭고 24%는 학습 프로세스가 지루하다고 합니다. 이는 개발자 교육이 개선되어야 한다는 사실을 가리킵니다.
인간의 요소는 무엇을 필요로 합니까?
'도전' 요인을 극복하기 위해서는가치있는 보안 교육은 개발자가 한 단계씩 안전한 코딩 기술을 구축할 수 있도록 지원하는 '스캐폴딩' 프로세스가 필요합니다. 관련성과 즉각적인 적용가능성을 극대화하기 위해, 그 훈련은 매일 사용하는 특정 언어:프레임워크에서 진행되어야 합니다.
'지루함' 요인을 극복하기 위해서는보안 코드 교육을 실습 방식으로 제공해야 하며, 이는 오래된 교실이나 '이 비디오 보기' 모델보다 개발자에게 훨씬 더 매력적인 것으로 입증되었습니다. 여기에는 개발자가 안전한 환경에서 때로는 위험한 보안 문제를 해결할 수 있는 라이브 시뮬레이션이 포함되어야 합니다. 목표는 개발자가 작동하면서 코드의 취약점을 찾고 수정하는 방법을 가르치고 일상적인 흐름의 안전한 코딩 부분을 만드는 것입니다. 또 다른 주요 인내 활성화 요소는 내부-IDE linting 및 코칭으로, 개발자가 코딩할 때 지속적으로 배우고 업 스킬을 사용할 수 있도록 하여 취약점을 방지하고 제거하는 것입니다.
개발자에게 개발자 중심의 도구와 교육의 새로운 수준을 제공하는 방법을 찾으려면 지금 데모를 예약하세요.
반응에서 예방으로 이동하는 백서의 사본을 다운로드 할 수 있습니다 : 응용 프로그램 보안의 변화하는 얼굴.
Secure Code Warrior
Secure Code Warrior 는 개발자에게 안전하게 코딩할 수 있는 기술을 제공하여 보안 중심의 개발자 문화를 구축합니다. Atlassian의 대표적인 애자일( Learning Platform )은 관련 기술 기반 경로, 실습( missions) 및 상황에 맞는 도구를 제공하여 개발자가 빠르게 기술을 배우고, 구축하고, 적용하여 보안 코드를 빠르게 작성할 수 있도록 지원합니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
보안 코딩의 미래에 인간의 요소는 어떤 역할을 합니까?
사이버 위협의 수가 계속 증가함에 따라 조직은 보안, 실용성 및 속도 간의 일상적인 절충을 통해 그 과정에서 위험에 노출되고 있습니다. 코딩 을 확보하기 위한 새로운 접근 방식이 필요하므로 보안 코드 전사는 보안 코딩, 보안 코드 관행 및 보안 작업에 대한 개발자의 태도에 대한 기본 연구를 수행하기 위해 Evans Data Corp.와 협력했습니다(여기에서 백서 다운로드).
이 보고서에서 밝힌 것은 '구식' 반응적 사고가 여전히 지배하고 있지만, 보다 적극적인 솔루션의 필요성에 대한 인식이 높아짐에 따라 개발자들이 스스로를 첫 번째 방어선으로 전환한다는 것입니다.
보안 코딩 관행의 채택에 대한 탐구는 구현에 관여하는 인간의 이해, 그것에 대한 인식 및 구현 능력으로 시작해야합니다. 그러면 퍼즐의 가장 중요한 조각으로 이어지며, 어떻게 처음부터 더 안전하게 코딩할 수 있고 품질 코드를 더 빠르게 배송할 수 있을까요?
보안 코딩 – 현재 어디에 있으며 무엇을 변경해야 합니까? 지금 인포그래픽 '인간 요소'를 다운로드하세요.
현재의 관점 - 반응성 대 사전 대응
개발자와 개발 관리자가 보안 코딩과 연관된 활동에 대해 물었을 때 상위 3가지 응답은 다음과 같은 것입니다.
- 배포된 응용 프로그램에서 검색 도구를 사용합니다.
- 취약점에 대한 코드를 수동으로 검토합니다.
- 취약점으로부터 보호되는 소프트웨어를 작성하는 활성 및 지속적인 관행입니다.
우리가 볼 수 있듯이, 상위 세 응답 중 두 가지는 여전히 반응적 접근 방식에 초점을 맞추고 있습니다 - 툴링 (스캐너)에 대한 첫 번째 의존, 그리고 수동 검사를 수행하는 개발자 (즉, 인간)에 두 번째.
동시에, 지명 된 세 가지 활동 중 두 가지는 인간의 요소에 의존한다. 이는 안보에 대한 인식이 인간의 문제로 커지고 있음을 가리킨다. 그러나 후보에 오른 모든 활동 중 가장 많은 것은 3번으로, 애초에 취약점으로부터 보호되는 소프트웨어를 작성하는인적 요소를 식별합니다. 이는 SDLC가 시작될 때부터 보안을 소프트웨어로 전환하는 사전 예방적 및 예방 적 접근 법인 왼쪽 으로의 전환을 강조합니다.
보안은 SDLC에 어디에 적합합니까?
개발자와 개발 관리자가 SDLC에 통합되는 보안 코드 관행을 어디에서 볼 수 있는지 묻는 메시지가 표시되면 의견이 다릅니다. 관리자의 55%는 보안 코딩이 전체 개발 프로세스에 통합되어 있다고 생각하며, 개발자의 43%에 불과합니다. 차이점은 SDLC 내에서 이 두 그룹의 다른 역할을 반영할 수 있습니다. 관리는 일반적으로 코딩의 실제 작업에 덜 관여하고 개발자가 너트와 볼트에 더 관심이있을 수 있습니다 반면, 높은 수준의 보기를 하는 경향이있다.
그러나 전반적인 보안 및 코드 품질 관점에서 볼 때, 놀라운 것은 개발자의 13%와 관리자의 10%만이 SDLC가 시작될 때 보안 코드 관행을 설계 단계 내에 통합해야 한다고 말합니다. 이것은 거대하고 실현되지 않은 기회입니다. IBM 연구에 따르면, 출시 후 코드의 취약점을 발견하고 초기에 수정하는 것보다 30배 더 비싸다.1 이는 개발자가 처음부터 보다 안전하게 코딩할 수 있도록 하는 소프트웨어 보안에 대한 새로운 사전 예방적이고 인간 주도적인 방어를 위한 강력한 인센티브입니다. 소프트웨어 보안은 툴링에만 의존하여 해결할 수 없으며 인간의 요소를 고려해야 합니다.
인간의 요소는 준비되어 있습니까?
설문조사에 참여한 개발자의 97%는 보안 코딩에 대한 충분한 교육을 받았으며, 95%는 보안 코딩 교육이 경력에 귀중하다는 데 동의했습니다. 그러나 이러한 클레임을 액면가로 수락하기 전에 코드 취약점이 여전히 널리 퍼진 이유는 무엇입니까? 개발자의 안전한 코드 전문 지식 주장은 인간의 자아의 경우일 뿐입니까? 증거는 확실히이 방향을 가리킵니다. 보다 겸손한 입장에서 조사된 개발자의 88% 이상이 안전한 코딩을 배우기 어렵다는 것을 인정하며, 개발 관리자의 91%는 보안 코딩 관행을 구현하기가 어렵다는 것을 인정합니다. 보안 코드 구현과 관련된 주요 개인 문제를 파악하라는 요청을 받았을 때 개발자의 28%는 학습 프로세스가 까다롭고 24%는 학습 프로세스가 지루하다고 합니다. 이는 개발자 교육이 개선되어야 한다는 사실을 가리킵니다.
인간의 요소는 무엇을 필요로 합니까?
'도전' 요인을 극복하기 위해서는가치있는 보안 교육은 개발자가 한 단계씩 안전한 코딩 기술을 구축할 수 있도록 지원하는 '스캐폴딩' 프로세스가 필요합니다. 관련성과 즉각적인 적용가능성을 극대화하기 위해, 그 훈련은 매일 사용하는 특정 언어:프레임워크에서 진행되어야 합니다.
'지루함' 요인을 극복하기 위해서는보안 코드 교육을 실습 방식으로 제공해야 하며, 이는 오래된 교실이나 '이 비디오 보기' 모델보다 개발자에게 훨씬 더 매력적인 것으로 입증되었습니다. 여기에는 개발자가 안전한 환경에서 때로는 위험한 보안 문제를 해결할 수 있는 라이브 시뮬레이션이 포함되어야 합니다. 목표는 개발자가 작동하면서 코드의 취약점을 찾고 수정하는 방법을 가르치고 일상적인 흐름의 안전한 코딩 부분을 만드는 것입니다. 또 다른 주요 인내 활성화 요소는 내부-IDE linting 및 코칭으로, 개발자가 코딩할 때 지속적으로 배우고 업 스킬을 사용할 수 있도록 하여 취약점을 방지하고 제거하는 것입니다.
개발자에게 개발자 중심의 도구와 교육의 새로운 수준을 제공하는 방법을 찾으려면 지금 데모를 예약하세요.
반응에서 예방으로 이동하는 백서의 사본을 다운로드 할 수 있습니다 : 응용 프로그램 보안의 변화하는 얼굴.
