보안은 더러운 단어가 아닙니다: 긍정적인 접근 방식이 보안 프로그램을 어떻게 변화시킬 것인가
원래 DevSecCon 블로그에게시.
울타리 의 양쪽에 있었던, 나는 보안 모범 사례를 유지하기에 올 때 개발 팀과 AppSec 전문가 사이에 발생할 수있는 긴장을 너무 잘 알고있다.
그것은 힘든; 하루가 끝나면 개발자의 최우선 순위는 소프트웨어 기능을 제공하는 것입니다. 그들은 아름답고 기능적이며 응용 프로그램의 힘을 선보일 수 있어야합니다. 민첩한 개발 관행은 일반적으로 요즘 에서 재생, 이러한 기능은 엄격한 마감일까지 완료해야합니다 ... 그리고 보안은 다른 많은 위험에 처한 우려 목록에서 거의 높지 않습니다.
보안은 AppSec 팀의 도메인으로 볼 수 있으며, 코드 검색(또는 더 나쁜: 수동으로 검토, 줄별) 코드가 안전하지 않거나 실제로 완전히 사용할 수 없다는 것을 개발 팀에 보고하는 부러운 작업입니다. 그들은 그들의 좋은 일을 따로 따로 따로 진흙에 막대기, 혁신을 중단 하 고 일반적으로 개발자에 대 한 두통을 만들. 하루의 끝에서, 많은 보안 문제는 매우 간단한 수정 " 아마도 하나의 코드 라인은 몇 분 안에 취약 한 백도어를 강화 할 수 있습니다.
하지만, 여기에 문제가 있습니다. "보안은 부정적인 경험과 동의어로, 개발자는 단순히 그들이해야만큼 밀접하게 그것에 종사하지 않습니다. 이러한 한 줄 수정은 일어나지 않습니다 : 결국 AppSec 사람들은 지속적으로 동일한 문제를 우연히 만날 수 있습니다. 우리가 처음 발견한 지 20년이 넘도록 SQL 주입 결함을 여전히 지적하는 것은 매우 매우 매심이 어야합니다(그리고 후속 수정 사항).
지금까지 우리가 한 일은 우리가 기대했던 만큼 효과적으로 작동하지 않습니다. 개발자와 AppSec 전문가 간의 교량 수리에 집중해야 하며, 개발자가 공간에 실질적인 영향을 미치기 위한 도구와 교육을 받는 긍정적인 보안 문화를 위해 노력해야 합니다.
누가 알아? 그들은 심지어 내가 그랬던 것처럼 그것에 사랑에 빠질 수 있습니다!
긍정적인 보안은 응용 프로그램 보안을 개선하는 가장 빠르고 쉬운 방법입니다.
"아니, 무형의 결과에 대해 우우가 아니에요. 그것은 성공의 안전한 코딩 조리법에 절대적으로 중요한 성분입니다.
개발자는 처음에 보안 코드를 작성하여 생산 초기부터 보안을 개선하는 열쇠를 쥐고 있습니다. 긍정적인 보안 문화를 만들고 개발자가 응용 프로그램 보안에 대해 흥분하도록 함으로써 AppSec land의 스캔 또는 수동 코드 검토에 앞서 일반적인 취약점을 전멸할 수 있습니다.
이미 커밋된 코드의 취약점을 해결하는 데 30배 더 비용이 많이 들기때문에 개발자의 강점에 맞는 교육을 찾고 관심을 유지하며 실제로 작동하는 교육을 찾는 것은 반복되는 취약점을 식별하고 해결하기 위한 향후 비용 절감의 큰 단계입니다.
긍정적이고 개발자중심적인 이니셔티브는 올바른 보안 문화를 조성합니다.
모든 사람이 보안 모범 사례를 가진 동일한 페이지에 있을 때, 긍정적인 보안 문화는 행복하고 중요한 부산물입니다.
긍정적이고 확장 가능한 개발자 중심이니셔티브는 올바른 보안 문화를 조성합니다. 개발자의 문제 해결, 창의적인 마음을 결합하는 것은 개발자를 이기는 데 필수적이며, 새로운 신병이 팀의 보안 기대치에 따라 신속하게 속도를 낼 수 있도록 하는 데 필수적입니다. 개발자 보안 관계가 어떻게 발전했는지에 대한 개요와 자체 조직에서 성공적인 보안 인식 프로그램을 출시하는 방법에 대한 아이디어를 확인하세요.


울타리 의 양쪽에 있었던, 나는 보안 모범 사례를 유지하기에 올 때 개발 팀과 AppSec 전문가 사이에 발생할 수있는 긴장을 너무 잘 알고있다. 그러나 더 나은 접근 방식이 있습니다.
야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .


원래 DevSecCon 블로그에게시.
울타리 의 양쪽에 있었던, 나는 보안 모범 사례를 유지하기에 올 때 개발 팀과 AppSec 전문가 사이에 발생할 수있는 긴장을 너무 잘 알고있다.
그것은 힘든; 하루가 끝나면 개발자의 최우선 순위는 소프트웨어 기능을 제공하는 것입니다. 그들은 아름답고 기능적이며 응용 프로그램의 힘을 선보일 수 있어야합니다. 민첩한 개발 관행은 일반적으로 요즘 에서 재생, 이러한 기능은 엄격한 마감일까지 완료해야합니다 ... 그리고 보안은 다른 많은 위험에 처한 우려 목록에서 거의 높지 않습니다.
보안은 AppSec 팀의 도메인으로 볼 수 있으며, 코드 검색(또는 더 나쁜: 수동으로 검토, 줄별) 코드가 안전하지 않거나 실제로 완전히 사용할 수 없다는 것을 개발 팀에 보고하는 부러운 작업입니다. 그들은 그들의 좋은 일을 따로 따로 따로 진흙에 막대기, 혁신을 중단 하 고 일반적으로 개발자에 대 한 두통을 만들. 하루의 끝에서, 많은 보안 문제는 매우 간단한 수정 " 아마도 하나의 코드 라인은 몇 분 안에 취약 한 백도어를 강화 할 수 있습니다.
하지만, 여기에 문제가 있습니다. "보안은 부정적인 경험과 동의어로, 개발자는 단순히 그들이해야만큼 밀접하게 그것에 종사하지 않습니다. 이러한 한 줄 수정은 일어나지 않습니다 : 결국 AppSec 사람들은 지속적으로 동일한 문제를 우연히 만날 수 있습니다. 우리가 처음 발견한 지 20년이 넘도록 SQL 주입 결함을 여전히 지적하는 것은 매우 매우 매심이 어야합니다(그리고 후속 수정 사항).
지금까지 우리가 한 일은 우리가 기대했던 만큼 효과적으로 작동하지 않습니다. 개발자와 AppSec 전문가 간의 교량 수리에 집중해야 하며, 개발자가 공간에 실질적인 영향을 미치기 위한 도구와 교육을 받는 긍정적인 보안 문화를 위해 노력해야 합니다.
누가 알아? 그들은 심지어 내가 그랬던 것처럼 그것에 사랑에 빠질 수 있습니다!
긍정적인 보안은 응용 프로그램 보안을 개선하는 가장 빠르고 쉬운 방법입니다.
"아니, 무형의 결과에 대해 우우가 아니에요. 그것은 성공의 안전한 코딩 조리법에 절대적으로 중요한 성분입니다.
개발자는 처음에 보안 코드를 작성하여 생산 초기부터 보안을 개선하는 열쇠를 쥐고 있습니다. 긍정적인 보안 문화를 만들고 개발자가 응용 프로그램 보안에 대해 흥분하도록 함으로써 AppSec land의 스캔 또는 수동 코드 검토에 앞서 일반적인 취약점을 전멸할 수 있습니다.
이미 커밋된 코드의 취약점을 해결하는 데 30배 더 비용이 많이 들기때문에 개발자의 강점에 맞는 교육을 찾고 관심을 유지하며 실제로 작동하는 교육을 찾는 것은 반복되는 취약점을 식별하고 해결하기 위한 향후 비용 절감의 큰 단계입니다.
긍정적이고 개발자중심적인 이니셔티브는 올바른 보안 문화를 조성합니다.
모든 사람이 보안 모범 사례를 가진 동일한 페이지에 있을 때, 긍정적인 보안 문화는 행복하고 중요한 부산물입니다.
긍정적이고 확장 가능한 개발자 중심이니셔티브는 올바른 보안 문화를 조성합니다. 개발자의 문제 해결, 창의적인 마음을 결합하는 것은 개발자를 이기는 데 필수적이며, 새로운 신병이 팀의 보안 기대치에 따라 신속하게 속도를 낼 수 있도록 하는 데 필수적입니다. 개발자 보안 관계가 어떻게 발전했는지에 대한 개요와 자체 조직에서 성공적인 보안 인식 프로그램을 출시하는 방법에 대한 아이디어를 확인하세요.

원래 DevSecCon 블로그에게시.
울타리 의 양쪽에 있었던, 나는 보안 모범 사례를 유지하기에 올 때 개발 팀과 AppSec 전문가 사이에 발생할 수있는 긴장을 너무 잘 알고있다.
그것은 힘든; 하루가 끝나면 개발자의 최우선 순위는 소프트웨어 기능을 제공하는 것입니다. 그들은 아름답고 기능적이며 응용 프로그램의 힘을 선보일 수 있어야합니다. 민첩한 개발 관행은 일반적으로 요즘 에서 재생, 이러한 기능은 엄격한 마감일까지 완료해야합니다 ... 그리고 보안은 다른 많은 위험에 처한 우려 목록에서 거의 높지 않습니다.
보안은 AppSec 팀의 도메인으로 볼 수 있으며, 코드 검색(또는 더 나쁜: 수동으로 검토, 줄별) 코드가 안전하지 않거나 실제로 완전히 사용할 수 없다는 것을 개발 팀에 보고하는 부러운 작업입니다. 그들은 그들의 좋은 일을 따로 따로 따로 진흙에 막대기, 혁신을 중단 하 고 일반적으로 개발자에 대 한 두통을 만들. 하루의 끝에서, 많은 보안 문제는 매우 간단한 수정 " 아마도 하나의 코드 라인은 몇 분 안에 취약 한 백도어를 강화 할 수 있습니다.
하지만, 여기에 문제가 있습니다. "보안은 부정적인 경험과 동의어로, 개발자는 단순히 그들이해야만큼 밀접하게 그것에 종사하지 않습니다. 이러한 한 줄 수정은 일어나지 않습니다 : 결국 AppSec 사람들은 지속적으로 동일한 문제를 우연히 만날 수 있습니다. 우리가 처음 발견한 지 20년이 넘도록 SQL 주입 결함을 여전히 지적하는 것은 매우 매우 매심이 어야합니다(그리고 후속 수정 사항).
지금까지 우리가 한 일은 우리가 기대했던 만큼 효과적으로 작동하지 않습니다. 개발자와 AppSec 전문가 간의 교량 수리에 집중해야 하며, 개발자가 공간에 실질적인 영향을 미치기 위한 도구와 교육을 받는 긍정적인 보안 문화를 위해 노력해야 합니다.
누가 알아? 그들은 심지어 내가 그랬던 것처럼 그것에 사랑에 빠질 수 있습니다!
긍정적인 보안은 응용 프로그램 보안을 개선하는 가장 빠르고 쉬운 방법입니다.
"아니, 무형의 결과에 대해 우우가 아니에요. 그것은 성공의 안전한 코딩 조리법에 절대적으로 중요한 성분입니다.
개발자는 처음에 보안 코드를 작성하여 생산 초기부터 보안을 개선하는 열쇠를 쥐고 있습니다. 긍정적인 보안 문화를 만들고 개발자가 응용 프로그램 보안에 대해 흥분하도록 함으로써 AppSec land의 스캔 또는 수동 코드 검토에 앞서 일반적인 취약점을 전멸할 수 있습니다.
이미 커밋된 코드의 취약점을 해결하는 데 30배 더 비용이 많이 들기때문에 개발자의 강점에 맞는 교육을 찾고 관심을 유지하며 실제로 작동하는 교육을 찾는 것은 반복되는 취약점을 식별하고 해결하기 위한 향후 비용 절감의 큰 단계입니다.
긍정적이고 개발자중심적인 이니셔티브는 올바른 보안 문화를 조성합니다.
모든 사람이 보안 모범 사례를 가진 동일한 페이지에 있을 때, 긍정적인 보안 문화는 행복하고 중요한 부산물입니다.
긍정적이고 확장 가능한 개발자 중심이니셔티브는 올바른 보안 문화를 조성합니다. 개발자의 문제 해결, 창의적인 마음을 결합하는 것은 개발자를 이기는 데 필수적이며, 새로운 신병이 팀의 보안 기대치에 따라 신속하게 속도를 낼 수 있도록 하는 데 필수적입니다. 개발자 보안 관계가 어떻게 발전했는지에 대한 개요와 자체 조직에서 성공적인 보안 인식 프로그램을 출시하는 방법에 대한 아이디어를 확인하세요.
원래 DevSecCon 블로그에게시.
울타리 의 양쪽에 있었던, 나는 보안 모범 사례를 유지하기에 올 때 개발 팀과 AppSec 전문가 사이에 발생할 수있는 긴장을 너무 잘 알고있다.
그것은 힘든; 하루가 끝나면 개발자의 최우선 순위는 소프트웨어 기능을 제공하는 것입니다. 그들은 아름답고 기능적이며 응용 프로그램의 힘을 선보일 수 있어야합니다. 민첩한 개발 관행은 일반적으로 요즘 에서 재생, 이러한 기능은 엄격한 마감일까지 완료해야합니다 ... 그리고 보안은 다른 많은 위험에 처한 우려 목록에서 거의 높지 않습니다.
보안은 AppSec 팀의 도메인으로 볼 수 있으며, 코드 검색(또는 더 나쁜: 수동으로 검토, 줄별) 코드가 안전하지 않거나 실제로 완전히 사용할 수 없다는 것을 개발 팀에 보고하는 부러운 작업입니다. 그들은 그들의 좋은 일을 따로 따로 따로 진흙에 막대기, 혁신을 중단 하 고 일반적으로 개발자에 대 한 두통을 만들. 하루의 끝에서, 많은 보안 문제는 매우 간단한 수정 " 아마도 하나의 코드 라인은 몇 분 안에 취약 한 백도어를 강화 할 수 있습니다.
하지만, 여기에 문제가 있습니다. "보안은 부정적인 경험과 동의어로, 개발자는 단순히 그들이해야만큼 밀접하게 그것에 종사하지 않습니다. 이러한 한 줄 수정은 일어나지 않습니다 : 결국 AppSec 사람들은 지속적으로 동일한 문제를 우연히 만날 수 있습니다. 우리가 처음 발견한 지 20년이 넘도록 SQL 주입 결함을 여전히 지적하는 것은 매우 매우 매심이 어야합니다(그리고 후속 수정 사항).
지금까지 우리가 한 일은 우리가 기대했던 만큼 효과적으로 작동하지 않습니다. 개발자와 AppSec 전문가 간의 교량 수리에 집중해야 하며, 개발자가 공간에 실질적인 영향을 미치기 위한 도구와 교육을 받는 긍정적인 보안 문화를 위해 노력해야 합니다.
누가 알아? 그들은 심지어 내가 그랬던 것처럼 그것에 사랑에 빠질 수 있습니다!
긍정적인 보안은 응용 프로그램 보안을 개선하는 가장 빠르고 쉬운 방법입니다.
"아니, 무형의 결과에 대해 우우가 아니에요. 그것은 성공의 안전한 코딩 조리법에 절대적으로 중요한 성분입니다.
개발자는 처음에 보안 코드를 작성하여 생산 초기부터 보안을 개선하는 열쇠를 쥐고 있습니다. 긍정적인 보안 문화를 만들고 개발자가 응용 프로그램 보안에 대해 흥분하도록 함으로써 AppSec land의 스캔 또는 수동 코드 검토에 앞서 일반적인 취약점을 전멸할 수 있습니다.
이미 커밋된 코드의 취약점을 해결하는 데 30배 더 비용이 많이 들기때문에 개발자의 강점에 맞는 교육을 찾고 관심을 유지하며 실제로 작동하는 교육을 찾는 것은 반복되는 취약점을 식별하고 해결하기 위한 향후 비용 절감의 큰 단계입니다.
긍정적이고 개발자중심적인 이니셔티브는 올바른 보안 문화를 조성합니다.
모든 사람이 보안 모범 사례를 가진 동일한 페이지에 있을 때, 긍정적인 보안 문화는 행복하고 중요한 부산물입니다.
긍정적이고 확장 가능한 개발자 중심이니셔티브는 올바른 보안 문화를 조성합니다. 개발자의 문제 해결, 창의적인 마음을 결합하는 것은 개발자를 이기는 데 필수적이며, 새로운 신병이 팀의 보안 기대치에 따라 신속하게 속도를 낼 수 있도록 하는 데 필수적입니다. 개발자 보안 관계가 어떻게 발전했는지에 대한 개요와 자체 조직에서 성공적인 보안 인식 프로그램을 출시하는 방법에 대한 아이디어를 확인하세요.
시작할 수 있는 리소스
보안 기술 벤치마킹: 기업에서 보안 설계 간소화
보안 설계 이니셔티브의 성공에 대한 의미 있는 데이터를 찾는 것은 매우 어렵기로 악명이 높습니다. CISO는 직원과 회사 차원에서 보안 프로그램 활동의 투자 수익률(ROI)과 비즈니스 가치를 입증하는 데 어려움을 겪는 경우가 많습니다. 특히 기업이 현재 업계 표준과 비교하여 조직이 어떻게 벤치마킹되고 있는지에 대한 인사이트를 얻는 것은 더욱 어렵습니다. 대통령의 국가 사이버 보안 전략은 이해관계자들에게 "보안과 회복탄력성을 설계에 포함"할 것을 촉구했습니다. 설계에 의한 보안 이니셔티브의 핵심은 개발자에게 안전한 코드를 보장하는 기술을 제공하는 것뿐만 아니라 규제 기관에 이러한 기술이 제대로 갖추어져 있음을 확신시키는 것입니다. 이 프레젠테이션에서는 25만 명 이상의 개발자로부터 수집한 내부 데이터 포인트, 데이터 기반 고객 인사이트, 공개 연구 등 여러 주요 소스에서 파생된 수많은 정성적 및 정량적 데이터를 공유합니다. 이러한 데이터 포인트의 집계를 활용하여 여러 업종에 걸친 보안 설계 이니셔티브의 현재 상태에 대한 비전을 전달하고자 합니다. 이 보고서는 현재 이 분야의 활용도가 낮은 이유, 성공적인 업스킬링 프로그램이 사이버 보안 위험 완화에 미칠 수 있는 중대한 영향, 코드베이스에서 취약성 범주를 제거할 수 있는 잠재력에 대해 자세히 설명합니다.