보안 인식 개발자: AppSec은 당신을 필요로!
소프트웨어 개발 외부에서 일하는 모든 사람에게 는 직관적이지 않은 것처럼 보일 수 있지만, 수년에 걸쳐 응용 프로그램 보안에 고용된 많은 전문가들이 프로그래밍 경험이 거의 또는 전혀 없는 중요한 역할을 수행했습니다. 이러한 AppSec 전문가는 많은 산업 및 조직의 생명선이 된 응용 프로그램에 취약점이 들어가지 않도록 하는 팀의 일원이지만 실제로 코드 자체를 직접 평가하거나 수정할 수 있는 사람은 거의 없습니다.
많은 보안 전문가는 코딩 배경에서 오는 대신 공격 벡터, 위협, 악용 및 비즈니스 위험에 대한 핵심 지식의 관점에서 자신의 역할에 접근합니다. 코드의 제한된 보기가 있습니다. 모든 AppSec 전문가가 동일한 기술을 가지고 있는 것은 아니지만, 많은 사람들이 조직 표준또는 관련 산업 및 정부 프레임워크에 따라 프로그램 및 시스템을 보호할 수 있도록 코드 검토자 및 스캔 도구와 협력하는 일반적인 날입니다. 그런 다음 결과에 대한 보고서를 작성하고 코드를 위반할 수 있는 공격 벡터에 대한 정보를 다시 보냅니다. 그런 다음 개발자가 현재 작업에 얼마나 파괴적이더라도 필요한 수정을 해야 합니다.
이러한 상황이 이런 식으로 발전한 이유는 지난 몇 년 동안 지배적인 논리가 네트워크와 응용 프로그램을 보호하는 작업이 너무 광범위했기 때문에 사이버 보안 분야에서 일하는 모든 사람들이 모든 역할을 수행할 것으로 기대하는 것은 의미가 없었기 때문입니다. 딥 코딩 기술은 개발자에게 맡졌으며 개발 파이프라인 아래로 코드를 더 멀리 쓰거나 편집할 수 있는 능력에는 거의 가치가 없습니다.
이러한 사고 방식은 빠르게 변화하고 있으며, 이는 개발자가 AppSec로 수익성 있는 점프와 커리어 전환을 할 수 있는 특별한 기회를 제공합니다. 모든 개발자가 소위 어두운 면을 포용하기를 원하지 는 않으며 많은 개발자가 AppSec 팀에 대한 의견에 특별히 긍정적이지 않습니다. 그러나 그렇게하는 사람들을 위해, 점점 더 유혹 황동 반지를 잡을 수있는 더 나은 시간이 없었다.
DevSecOps는 거의 모든 산업을 구동
모든 조직에서 보안 인식 프로그래머와 개발자의 가치를 높이는 가장 큰 요인 중 하나는 DevSecOps와 같은보다 민첩한 개발 관행을 수용하려는 거의 보편적인 움직임입니다. 개발, 보안 및 운영이 결합되면 사이버 보안은 처음부터 끝까지 새로운 소프트웨어 개발에 통합된 공동 책임이 됩니다. 이러한 환경에서 코딩 기능은 전반적으로 점점 더 귀중한 자산으로 여겨지고 있으며, 이는 보안을 본질적으로 이해하는 엔지니어에게 특히 그렇습니다.
높은 수준에서 사이버 보안을 이해할 뿐만 아니라 모든 것을 작동하게 하는 코드도 이론적으로 지식이 집중된 사람보다 모든 조직에 본질적으로 더 가치가 있는 AppSec 전문가가 말합니다. 코드 내에서 발견된 취약점을 신속하게 검색및 평가한 다음 이러한 문제를 완화할 수 있는 것이 DevSecOps가 이러한 인기를 보는 이유의 핵심입니다.
AppSec에서 일하는 개발자는 또한 그들을 고용하는 모든 조직에 또 다른 큰 이점을 가져다. 집의 개발 측면에서 오는 그들은 쉽게 보안 및 취약점에 대해 개발자와 이야기 할 수 있습니다. 또한 개발 팀의 코치가 되는 것이 훨씬 쉬워서 더 나은 코더가 될 수 있도록 도와줍니다. 시간이 지남에 따라 AppSec에서 "어두운 면"낙인을 제거하고 조직 전체의 소프트웨어 개발 내에서 팀을 통합하는 데 도움이 될 수도 있습니다.
사이버 보안 기술 부족이 악화되고 있습니다.
셰익스피어는 아무도 좋은 불지 않는 아픈 바람이라고 말했습니다. 그가 의미하는 바는 가장 어두운 상황조차도 누군가에게 유익을 가져다 주는 것이었다. 사이버 보안 기술 부족은 이것의 좋은 예입니다.
인력 부족은 거의 모든 곳에서 심각하게 느껴지고 있습니다. 전략 국제학 센터가 최근 실시한 설문조사에서 IT 의사 결정자의 82%는 조직이 사이버 보안 기술 부족으로 어려움을 겪고 있다고 답했으며, 71%는 부족으로 인해 조직에 직접적이고 측정 가능한 손상을 입었다고 답했습니다. 보고서는 이 위기를 더 나은 시각으로 제시하기 위해 미국에서만 2020년에 는 약 94만 개의 사이버 보안 일자리가 고용된 분야에 대해 52만 개 이상의 미충전 사이버 보안 일자리가 있었다고 지적했다.
사이버 보안 인력 부족은 점점 더 위험한 위협 환경에서 인프라, 비즈니스 및 데이터를 보호하려는 조직에 나쁜 소식입니다. 그러나 AppSec 및 보안에 들어가려는 개발자에게 좋은 기회를 만듭니다. 사이버 보안 및 AppSec 위치는 거의 모든 곳에서 사용할 수 있습니다. 그리고 사이버 보안 포지션이 요즘 평균 21% 더 많은 시간을 보내고 있는 가운데, 급여는 전반적으로 증가하고 있습니다.
AppSec로 점프하기
개발자가 삶의 햇볕이 잘 드는 보안 측면으로 수익성 있는 점프를 할 수 있는 더 좋은 시기는 없을 것입니다. 보안 인식 개발자는 더 이상 스톱갭 보안 방법의 일부로 간주되지 않고 사이버 보안 수비수로서 완전하고 존경받는 역할을 작성하고 있습니다. DevSecOps 및 기타 민첩한 개발 방법론을 수용한 조직에 특히 그렇습니다. 그리고 사이버 보안 인재 부족은 거의 모든 회사, 정부 기관 또는 조직에서 직책을 사용할 수 있음을 의미합니다. 올바른 기술을 가진 사람들은 일하고 싶은 곳을 선택하고 선택할 수 있습니다.
AppSec로 이동하는 것은 모든 사람을위한 것이 아닐 수도 있으며, 물론 대부분의 개발자는 놀라운 기능을 구축하는 데 집중할 것입니다. 그러나 점프를 고려하는 사람들을 위해, 기존의 코딩 기술을 강화하기 위해 보안 교육에 투자하면 많은 문을 열 수 있습니다. 최고의 AppSec 사람들은 기술을 깊이 이해하고 동료 개발자의 곤경에 대한 공감을 가지고 있기 때문에 엔지니어링에서 나옵니다. DevSecOps는 모든 사람이 어쨌든 보안에 대한 책임이 있다는 것을 의미하므로 현재의 중요한 기술 부족을 활용하여 응용 프로그램 보안으로 경력을 발전시키지 않겠습니까? 자신과 가족, 그리고 경력을 위해 긍정적인 행동을 할 수 있는 더 좋은 시기는 없었습니다.
마티아스 마두, Ph.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
보안 인식 개발자: AppSec은 당신을 필요로!
소프트웨어 개발 외부에서 일하는 모든 사람에게 는 직관적이지 않은 것처럼 보일 수 있지만, 수년에 걸쳐 응용 프로그램 보안에 고용된 많은 전문가들이 프로그래밍 경험이 거의 또는 전혀 없는 중요한 역할을 수행했습니다. 이러한 AppSec 전문가는 많은 산업 및 조직의 생명선이 된 응용 프로그램에 취약점이 들어가지 않도록 하는 팀의 일원이지만 실제로 코드 자체를 직접 평가하거나 수정할 수 있는 사람은 거의 없습니다.
많은 보안 전문가는 코딩 배경에서 오는 대신 공격 벡터, 위협, 악용 및 비즈니스 위험에 대한 핵심 지식의 관점에서 자신의 역할에 접근합니다. 코드의 제한된 보기가 있습니다. 모든 AppSec 전문가가 동일한 기술을 가지고 있는 것은 아니지만, 많은 사람들이 조직 표준또는 관련 산업 및 정부 프레임워크에 따라 프로그램 및 시스템을 보호할 수 있도록 코드 검토자 및 스캔 도구와 협력하는 일반적인 날입니다. 그런 다음 결과에 대한 보고서를 작성하고 코드를 위반할 수 있는 공격 벡터에 대한 정보를 다시 보냅니다. 그런 다음 개발자가 현재 작업에 얼마나 파괴적이더라도 필요한 수정을 해야 합니다.
이러한 상황이 이런 식으로 발전한 이유는 지난 몇 년 동안 지배적인 논리가 네트워크와 응용 프로그램을 보호하는 작업이 너무 광범위했기 때문에 사이버 보안 분야에서 일하는 모든 사람들이 모든 역할을 수행할 것으로 기대하는 것은 의미가 없었기 때문입니다. 딥 코딩 기술은 개발자에게 맡졌으며 개발 파이프라인 아래로 코드를 더 멀리 쓰거나 편집할 수 있는 능력에는 거의 가치가 없습니다.
이러한 사고 방식은 빠르게 변화하고 있으며, 이는 개발자가 AppSec로 수익성 있는 점프와 커리어 전환을 할 수 있는 특별한 기회를 제공합니다. 모든 개발자가 소위 어두운 면을 포용하기를 원하지 는 않으며 많은 개발자가 AppSec 팀에 대한 의견에 특별히 긍정적이지 않습니다. 그러나 그렇게하는 사람들을 위해, 점점 더 유혹 황동 반지를 잡을 수있는 더 나은 시간이 없었다.
DevSecOps는 거의 모든 산업을 구동
모든 조직에서 보안 인식 프로그래머와 개발자의 가치를 높이는 가장 큰 요인 중 하나는 DevSecOps와 같은보다 민첩한 개발 관행을 수용하려는 거의 보편적인 움직임입니다. 개발, 보안 및 운영이 결합되면 사이버 보안은 처음부터 끝까지 새로운 소프트웨어 개발에 통합된 공동 책임이 됩니다. 이러한 환경에서 코딩 기능은 전반적으로 점점 더 귀중한 자산으로 여겨지고 있으며, 이는 보안을 본질적으로 이해하는 엔지니어에게 특히 그렇습니다.
높은 수준에서 사이버 보안을 이해할 뿐만 아니라 모든 것을 작동하게 하는 코드도 이론적으로 지식이 집중된 사람보다 모든 조직에 본질적으로 더 가치가 있는 AppSec 전문가가 말합니다. 코드 내에서 발견된 취약점을 신속하게 검색및 평가한 다음 이러한 문제를 완화할 수 있는 것이 DevSecOps가 이러한 인기를 보는 이유의 핵심입니다.
AppSec에서 일하는 개발자는 또한 그들을 고용하는 모든 조직에 또 다른 큰 이점을 가져다. 집의 개발 측면에서 오는 그들은 쉽게 보안 및 취약점에 대해 개발자와 이야기 할 수 있습니다. 또한 개발 팀의 코치가 되는 것이 훨씬 쉬워서 더 나은 코더가 될 수 있도록 도와줍니다. 시간이 지남에 따라 AppSec에서 "어두운 면"낙인을 제거하고 조직 전체의 소프트웨어 개발 내에서 팀을 통합하는 데 도움이 될 수도 있습니다.
사이버 보안 기술 부족이 악화되고 있습니다.
셰익스피어는 아무도 좋은 불지 않는 아픈 바람이라고 말했습니다. 그가 의미하는 바는 가장 어두운 상황조차도 누군가에게 유익을 가져다 주는 것이었다. 사이버 보안 기술 부족은 이것의 좋은 예입니다.
인력 부족은 거의 모든 곳에서 심각하게 느껴지고 있습니다. 전략 국제학 센터가 최근 실시한 설문조사에서 IT 의사 결정자의 82%는 조직이 사이버 보안 기술 부족으로 어려움을 겪고 있다고 답했으며, 71%는 부족으로 인해 조직에 직접적이고 측정 가능한 손상을 입었다고 답했습니다. 보고서는 이 위기를 더 나은 시각으로 제시하기 위해 미국에서만 2020년에 는 약 94만 개의 사이버 보안 일자리가 고용된 분야에 대해 52만 개 이상의 미충전 사이버 보안 일자리가 있었다고 지적했다.
사이버 보안 인력 부족은 점점 더 위험한 위협 환경에서 인프라, 비즈니스 및 데이터를 보호하려는 조직에 나쁜 소식입니다. 그러나 AppSec 및 보안에 들어가려는 개발자에게 좋은 기회를 만듭니다. 사이버 보안 및 AppSec 위치는 거의 모든 곳에서 사용할 수 있습니다. 그리고 사이버 보안 포지션이 요즘 평균 21% 더 많은 시간을 보내고 있는 가운데, 급여는 전반적으로 증가하고 있습니다.
AppSec로 점프하기
개발자가 삶의 햇볕이 잘 드는 보안 측면으로 수익성 있는 점프를 할 수 있는 더 좋은 시기는 없을 것입니다. 보안 인식 개발자는 더 이상 스톱갭 보안 방법의 일부로 간주되지 않고 사이버 보안 수비수로서 완전하고 존경받는 역할을 작성하고 있습니다. DevSecOps 및 기타 민첩한 개발 방법론을 수용한 조직에 특히 그렇습니다. 그리고 사이버 보안 인재 부족은 거의 모든 회사, 정부 기관 또는 조직에서 직책을 사용할 수 있음을 의미합니다. 올바른 기술을 가진 사람들은 일하고 싶은 곳을 선택하고 선택할 수 있습니다.
AppSec로 이동하는 것은 모든 사람을위한 것이 아닐 수도 있으며, 물론 대부분의 개발자는 놀라운 기능을 구축하는 데 집중할 것입니다. 그러나 점프를 고려하는 사람들을 위해, 기존의 코딩 기술을 강화하기 위해 보안 교육에 투자하면 많은 문을 열 수 있습니다. 최고의 AppSec 사람들은 기술을 깊이 이해하고 동료 개발자의 곤경에 대한 공감을 가지고 있기 때문에 엔지니어링에서 나옵니다. DevSecOps는 모든 사람이 어쨌든 보안에 대한 책임이 있다는 것을 의미하므로 현재의 중요한 기술 부족을 활용하여 응용 프로그램 보안으로 경력을 발전시키지 않겠습니까? 자신과 가족, 그리고 경력을 위해 긍정적인 행동을 할 수 있는 더 좋은 시기는 없었습니다.
