반복 가능한 보안 코딩 기술로 왼쪽으로 이동(및 규정 준수 달성)
오늘날 거의 모든 개발자 팀은 기업이 업계 프레임워크 또는 정부 규정을 준수하고 있는지 확인하기 위한 초기 인증 프로세스의 일부이거나 연례 요구 사항 또는 검토의 일부로 어떤 형태의 규정 준수 교육을 실시합니다. 조직이 기본적인 규정 준수 요건을 충족하지 못하면 직원들이 현실적으로 업무를 수행할 수 없기 때문에 이는 중요한 단계입니다.
규정 준수 규칙이 존재하는 이유는 해당 규칙이 적용되는 분야에서 일하는 모든 사람이 관련 프로세스 및 절차는 물론 모든 관련 법률을 기본적으로 이해하고 있어야 하기 때문입니다.
규정 준수 교육은 중요하지만, 의무화된 최소 요구 사항을 완료한다고 해서 진정한 애플리케이션 보안이 보장되는 것은 아닙니다. 특히 보안 코딩 기술을 일상적인 워크플로에 통합하려는 개발자의 경우 더욱 그렇습니다. 거의 모든 개발자가 어떤 형태로든 규정 준수 교육을 받지만, 설문조사 결과 67%는 코드에 취약점을 방치하는 경우가 많다고 인정했습니다.
왜 그럴까요?
Secure Code Warrior 는 2021년 12월에 Evans Data Corp와 협력하여 2년째 "2022년 개발자 주도 보안 현황 설문조사"를 실시했습니다. 전 세계 1,200명의 개발자를 대상으로 보안 코딩 관행에 관한 기술, 인식, 행동, 소프트웨어 개발 수명주기(SDLC)에 미치는 영향과 관련성을 파악하기 위해 설문조사를 실시했습니다.
규정 준수 교육이 소프트웨어 보안을 개선하지 못하는 이유에 관해서는 오랫동안 논의되어 온 문제입니다. 최근 설문조사는 이 문제를 집중 조명합니다.
한편으로 개발자는 애플리케이션과 프로그램의 코드를 처음 작성할 때를 포함하여 소프트웨어 개발 프로세스 전반에 걸쳐 사이버 보안을 포함시켜 새로운 역할을 수행해야 하는 과제를 안고 있습니다. 하지만 안전한 코드를 작성하는 것, 심지어 코드에 영향을 미칠 수 있는 사이버 보안 문제와 취약점을 모두 파악하는 것조차 쉬운 일이 아니며, 설문조사에서 63%의 개발자가 안전한 코드를 작성하는 것이 어려운 작업이라고 답했습니다.
보안 코드 작성의 어려움은 놀랄 일이 아닙니다. 전 세계적으로 350만 개가 넘는 고임금 사이버 보안 일자리가 미충원되는 데에는 그만한 이유가 있습니다. 쉬운 일이라면 누구나 그 분야에 뛰어들 것입니다. 위협에 대처하고 코드 내 취약점을 제거하는 방법을 배우는 것은 어렵고 위협 환경은 끊임없이 변화하고 있습니다. 정적인 규정 준수 교육이나 일회성 강의로는 개발자가 필요로 하는 교육을 따라잡거나 제공할 수 없습니다. 규정 준수 측면에서 확인란을 체크할 수는 있지만 조직에 실질적인 애플리케이션 보안을 보장하거나 개발자가 안전한 코드를 작성하거나 코드 취약점을 찾아 수정할 수 있는 기술을 제공할 수는 없습니다.
규정 준수 및 보안 교육은 중요하지만 다른 교육과 다릅니다.
조직은 규정 준수 교육을 통해 할 수 있는 일과 할 수 없는 일을 인식하고 인정해야 합니다. 특히 법적으로 규정 준수 교육이 의무화되어 있는 경우에는 규정 준수 교육을 포기하지 마세요. 설문조사 응답자의 92%가 규정 준수 관련 문제나 보안 프레임워크에 대해 최소한의 교육이 필요하다고 답했으며, 50%는 상당한 수준의 규정 준수 교육이 필요하다고 강조했습니다.
교육에 가장 관심이 있는 규정 준수 프레임워크에는 다양한 산업에 특화된 프레임워크가 포함되었지만, 일반적인 사이버 보안 프레임워크도 몇 가지 목록에 포함되었습니다. 여기에는 CIS 보안 프레임워크, PCI DSS, OWASP Top 10, MISRA C, ISO/IEC, 의료보험 이동성 및 책임에 관한 법률(HIPAA) 등이 포함되었습니다.
따라서 이러한 프레임워크에서 교육을 받되, 규정 준수 교육에 대한 확인란을 체크하는 것이 보안 코드의 지속적인 생성을 위한 토대를 제공하는 것과 같지 않다는 점을 이해해야 합니다.
대신 규정 준수 교육을 규정 준수 주기 외에도 반복할 수 있는 개발자의 보안 코딩 기술을 확장할 수 있는 지속적인 기회의 일부로 간주하여 개발자가 매일 안전한 소프트웨어를 만들고 릴리스할 수 있도록 하세요. 규정 준수 달성에서 지속적인 학습을 통해 개발팀이 안전하게 코딩할 수 있도록 지원하는 것으로 우선순위를 전환하세요. 개발자의 역량 강화에 시간과 리소스를 투자하면 매년 반복되는 규정 준수 연습이나 시험을 직원들이 쉽게 통과하고 완료할 수 있을 뿐만 아니라 전반적인 생산성 향상이라는 이점을 누릴 수 있습니다.
개발자 중심 보안으로 전환하려면 어떻게 해야 할까요?
개발자들은 압도적으로 교육이 유용하다고 답했지만, 지난 몇 년간 보안 코딩과 관련하여 받은 교육 유형에 대해서는 문제를 제기했습니다. 개발자들은 자신의 업무와 관련된 실제 사례를 사용한 실습 교육에 더 중점을 두었으면 좋겠다고 답했습니다(30%). 또한 응답자의 26%는 더 많은 상호작용이 중요하다고 생각했으며, 특히 이러한 실습의 일부로 보안 코드 작성을 실제로 연습할 수 있다면 더욱 좋겠다고 답했습니다.
설문조사에 참여한 개발자의 23%는 업계 또는 부문에서 가장 많이 접할 수 있는 특정 취약점에 초점을 맞춘 가이드 교육을 더 많이 받기를 원했고, 22%는 교육에서 실제 취약점 사례를 더 많이 보고 싶다고 응답했습니다 courses.
단순히 정적이고 비대화식 교육을 제공하는 것(일반적으로 규정 준수 교육에 사용되는 경험)은 반복 가능한 개발자 보안 기술 측면에서 가치가 거의 없다는 것은 분명합니다. 대신, 조직은 개발자가 작업하면서 보안에 대해 배울 수 있는 적시 교육과 같은 것에 집중해야 합니다. 계층화된 학습 프로그램을 구현하는 것도 고려할 수 있습니다.
계층적 접근 방식에서는 일반적으로 큰 주제가 개별 학습 경험 또는 개념으로 세분화됩니다. 개발자가 발전함에 따라 건물의 높이가 높아질수록 물리적 비계가 구축되는 것처럼, 이미 습득한 개념 위에 더 고급 개념이 겹쳐집니다. 이는 사이버 보안과 같이 어렵고 지속적으로 진화하는 주제를 먼저 더 작고 덜 복잡한 덩어리로 세분화한 다음 그 토대 위에 더 복잡한 주제를 구축하는 입증된 방법입니다.
개발자 보안 기술 프로그램에 어떤 방식으로 접근하든 규정 준수 연습과 분리하여 진행하는 것이 중요합니다. 규정 준수와 보안 교육은 모두 중요하며, 성공을 위해서는 서로 다른 접근 방식이 필요합니다.
자세한 내용 보기
백서: 소프트웨어 보안을 개선하기 위한 과제(및 기회)를 살펴보세요.
백서: 소프트웨어 보안에 대한 예방적 개발자 접근 방식.
보고서: 보고서: 개발자 주도 보안 현황.
오늘날 거의 모든 개발자 팀은 기업이 업계 프레임워크 또는 정부 규정을 준수하고 있는지 확인하기 위한 초기 인증 프로세스의 일부이거나 연간 요구 사항 또는 검토의 일부로 어떤 형태의 규정 준수 교육을 실시합니다. 조직이 기본적인 규정 준수 요건을 충족하지 못하면 직원들이 현실적으로 업무를 수행할 수 없기 때문에 이는 매우 중요한 단계입니다.
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
Secure Code Warrior 는 개발자에게 안전하게 코딩할 수 있는 기술을 제공하여 보안 중심의 개발자 문화를 구축합니다. Atlassian의 대표적인 애자일( Learning Platform )은 관련 기술 기반 경로, 실습( missions) 및 상황에 맞는 도구를 제공하여 개발자가 빠르게 기술을 배우고, 구축하고, 적용하여 보안 코드를 빠르게 작성할 수 있도록 지원합니다.
오늘날 거의 모든 개발자 팀은 기업이 업계 프레임워크 또는 정부 규정을 준수하고 있는지 확인하기 위한 초기 인증 프로세스의 일부이거나 연례 요구 사항 또는 검토의 일부로 어떤 형태의 규정 준수 교육을 실시합니다. 조직이 기본적인 규정 준수 요건을 충족하지 못하면 직원들이 현실적으로 업무를 수행할 수 없기 때문에 이는 중요한 단계입니다.
규정 준수 규칙이 존재하는 이유는 해당 규칙이 적용되는 분야에서 일하는 모든 사람이 관련 프로세스 및 절차는 물론 모든 관련 법률을 기본적으로 이해하고 있어야 하기 때문입니다.
규정 준수 교육은 중요하지만, 의무화된 최소 요구 사항을 완료한다고 해서 진정한 애플리케이션 보안이 보장되는 것은 아닙니다. 특히 보안 코딩 기술을 일상적인 워크플로에 통합하려는 개발자의 경우 더욱 그렇습니다. 거의 모든 개발자가 어떤 형태로든 규정 준수 교육을 받지만, 설문조사 결과 67%는 코드에 취약점을 방치하는 경우가 많다고 인정했습니다.
왜 그럴까요?
Secure Code Warrior 는 2021년 12월에 Evans Data Corp와 협력하여 2년째 "2022년 개발자 주도 보안 현황 설문조사"를 실시했습니다. 전 세계 1,200명의 개발자를 대상으로 보안 코딩 관행에 관한 기술, 인식, 행동, 소프트웨어 개발 수명주기(SDLC)에 미치는 영향과 관련성을 파악하기 위해 설문조사를 실시했습니다.
규정 준수 교육이 소프트웨어 보안을 개선하지 못하는 이유에 관해서는 오랫동안 논의되어 온 문제입니다. 최근 설문조사는 이 문제를 집중 조명합니다.
한편으로 개발자는 애플리케이션과 프로그램의 코드를 처음 작성할 때를 포함하여 소프트웨어 개발 프로세스 전반에 걸쳐 사이버 보안을 포함시켜 새로운 역할을 수행해야 하는 과제를 안고 있습니다. 하지만 안전한 코드를 작성하는 것, 심지어 코드에 영향을 미칠 수 있는 사이버 보안 문제와 취약점을 모두 파악하는 것조차 쉬운 일이 아니며, 설문조사에서 63%의 개발자가 안전한 코드를 작성하는 것이 어려운 작업이라고 답했습니다.
보안 코드 작성의 어려움은 놀랄 일이 아닙니다. 전 세계적으로 350만 개가 넘는 고임금 사이버 보안 일자리가 미충원되는 데에는 그만한 이유가 있습니다. 쉬운 일이라면 누구나 그 분야에 뛰어들 것입니다. 위협에 대처하고 코드 내 취약점을 제거하는 방법을 배우는 것은 어렵고 위협 환경은 끊임없이 변화하고 있습니다. 정적인 규정 준수 교육이나 일회성 강의로는 개발자가 필요로 하는 교육을 따라잡거나 제공할 수 없습니다. 규정 준수 측면에서 확인란을 체크할 수는 있지만 조직에 실질적인 애플리케이션 보안을 보장하거나 개발자가 안전한 코드를 작성하거나 코드 취약점을 찾아 수정할 수 있는 기술을 제공할 수는 없습니다.
규정 준수 및 보안 교육은 중요하지만 다른 교육과 다릅니다.
조직은 규정 준수 교육을 통해 할 수 있는 일과 할 수 없는 일을 인식하고 인정해야 합니다. 특히 법적으로 규정 준수 교육이 의무화되어 있는 경우에는 규정 준수 교육을 포기하지 마세요. 설문조사 응답자의 92%가 규정 준수 관련 문제나 보안 프레임워크에 대해 최소한의 교육이 필요하다고 답했으며, 50%는 상당한 수준의 규정 준수 교육이 필요하다고 강조했습니다.
교육에 가장 관심이 있는 규정 준수 프레임워크에는 다양한 산업에 특화된 프레임워크가 포함되었지만, 일반적인 사이버 보안 프레임워크도 몇 가지 목록에 포함되었습니다. 여기에는 CIS 보안 프레임워크, PCI DSS, OWASP Top 10, MISRA C, ISO/IEC, 의료보험 이동성 및 책임에 관한 법률(HIPAA) 등이 포함되었습니다.
따라서 이러한 프레임워크에서 교육을 받되, 규정 준수 교육에 대한 확인란을 체크하는 것이 보안 코드의 지속적인 생성을 위한 토대를 제공하는 것과 같지 않다는 점을 이해해야 합니다.
대신 규정 준수 교육을 규정 준수 주기 외에도 반복할 수 있는 개발자의 보안 코딩 기술을 확장할 수 있는 지속적인 기회의 일부로 간주하여 개발자가 매일 안전한 소프트웨어를 만들고 릴리스할 수 있도록 하세요. 규정 준수 달성에서 지속적인 학습을 통해 개발팀이 안전하게 코딩할 수 있도록 지원하는 것으로 우선순위를 전환하세요. 개발자의 역량 강화에 시간과 리소스를 투자하면 매년 반복되는 규정 준수 연습이나 시험을 직원들이 쉽게 통과하고 완료할 수 있을 뿐만 아니라 전반적인 생산성 향상이라는 이점을 누릴 수 있습니다.
개발자 중심 보안으로 전환하려면 어떻게 해야 할까요?
개발자들은 압도적으로 교육이 유용하다고 답했지만, 지난 몇 년간 보안 코딩과 관련하여 받은 교육 유형에 대해서는 문제를 제기했습니다. 개발자들은 자신의 업무와 관련된 실제 사례를 사용한 실습 교육에 더 중점을 두었으면 좋겠다고 답했습니다(30%). 또한 응답자의 26%는 더 많은 상호작용이 중요하다고 생각했으며, 특히 이러한 실습의 일부로 보안 코드 작성을 실제로 연습할 수 있다면 더욱 좋겠다고 답했습니다.
설문조사에 참여한 개발자의 23%는 업계 또는 부문에서 가장 많이 접할 수 있는 특정 취약점에 초점을 맞춘 가이드 교육을 더 많이 받기를 원했고, 22%는 교육에서 실제 취약점 사례를 더 많이 보고 싶다고 응답했습니다 courses.
단순히 정적이고 비대화식 교육을 제공하는 것(일반적으로 규정 준수 교육에 사용되는 경험)은 반복 가능한 개발자 보안 기술 측면에서 가치가 거의 없다는 것은 분명합니다. 대신, 조직은 개발자가 작업하면서 보안에 대해 배울 수 있는 적시 교육과 같은 것에 집중해야 합니다. 계층화된 학습 프로그램을 구현하는 것도 고려할 수 있습니다.
계층적 접근 방식에서는 일반적으로 큰 주제가 개별 학습 경험 또는 개념으로 세분화됩니다. 개발자가 발전함에 따라 건물의 높이가 높아질수록 물리적 비계가 구축되는 것처럼, 이미 습득한 개념 위에 더 고급 개념이 겹쳐집니다. 이는 사이버 보안과 같이 어렵고 지속적으로 진화하는 주제를 먼저 더 작고 덜 복잡한 덩어리로 세분화한 다음 그 토대 위에 더 복잡한 주제를 구축하는 입증된 방법입니다.
개발자 보안 기술 프로그램에 어떤 방식으로 접근하든 규정 준수 연습과 분리하여 진행하는 것이 중요합니다. 규정 준수와 보안 교육은 모두 중요하며, 성공을 위해서는 서로 다른 접근 방식이 필요합니다.
자세한 내용 보기
백서: 소프트웨어 보안을 개선하기 위한 과제(및 기회)를 살펴보세요.
백서: 소프트웨어 보안에 대한 예방적 개발자 접근 방식.
보고서: 보고서: 개발자 주도 보안 현황.
오늘날 거의 모든 개발자 팀은 기업이 업계 프레임워크 또는 정부 규정을 준수하고 있는지 확인하기 위한 초기 인증 프로세스의 일부이거나 연례 요구 사항 또는 검토의 일부로 어떤 형태의 규정 준수 교육을 실시합니다. 조직이 기본적인 규정 준수 요건을 충족하지 못하면 직원들이 현실적으로 업무를 수행할 수 없기 때문에 이는 중요한 단계입니다.
규정 준수 규칙이 존재하는 이유는 해당 규칙이 적용되는 분야에서 일하는 모든 사람이 관련 프로세스 및 절차는 물론 모든 관련 법률을 기본적으로 이해하고 있어야 하기 때문입니다.
규정 준수 교육은 중요하지만, 의무화된 최소 요구 사항을 완료한다고 해서 진정한 애플리케이션 보안이 보장되는 것은 아닙니다. 특히 보안 코딩 기술을 일상적인 워크플로에 통합하려는 개발자의 경우 더욱 그렇습니다. 거의 모든 개발자가 어떤 형태로든 규정 준수 교육을 받지만, 설문조사 결과 67%는 코드에 취약점을 방치하는 경우가 많다고 인정했습니다.
왜 그럴까요?
Secure Code Warrior 는 2021년 12월에 Evans Data Corp와 협력하여 2년째 "2022년 개발자 주도 보안 현황 설문조사"를 실시했습니다. 전 세계 1,200명의 개발자를 대상으로 보안 코딩 관행에 관한 기술, 인식, 행동, 소프트웨어 개발 수명주기(SDLC)에 미치는 영향과 관련성을 파악하기 위해 설문조사를 실시했습니다.
규정 준수 교육이 소프트웨어 보안을 개선하지 못하는 이유에 관해서는 오랫동안 논의되어 온 문제입니다. 최근 설문조사는 이 문제를 집중 조명합니다.
한편으로 개발자는 애플리케이션과 프로그램의 코드를 처음 작성할 때를 포함하여 소프트웨어 개발 프로세스 전반에 걸쳐 사이버 보안을 포함시켜 새로운 역할을 수행해야 하는 과제를 안고 있습니다. 하지만 안전한 코드를 작성하는 것, 심지어 코드에 영향을 미칠 수 있는 사이버 보안 문제와 취약점을 모두 파악하는 것조차 쉬운 일이 아니며, 설문조사에서 63%의 개발자가 안전한 코드를 작성하는 것이 어려운 작업이라고 답했습니다.
보안 코드 작성의 어려움은 놀랄 일이 아닙니다. 전 세계적으로 350만 개가 넘는 고임금 사이버 보안 일자리가 미충원되는 데에는 그만한 이유가 있습니다. 쉬운 일이라면 누구나 그 분야에 뛰어들 것입니다. 위협에 대처하고 코드 내 취약점을 제거하는 방법을 배우는 것은 어렵고 위협 환경은 끊임없이 변화하고 있습니다. 정적인 규정 준수 교육이나 일회성 강의로는 개발자가 필요로 하는 교육을 따라잡거나 제공할 수 없습니다. 규정 준수 측면에서 확인란을 체크할 수는 있지만 조직에 실질적인 애플리케이션 보안을 보장하거나 개발자가 안전한 코드를 작성하거나 코드 취약점을 찾아 수정할 수 있는 기술을 제공할 수는 없습니다.
규정 준수 및 보안 교육은 중요하지만 다른 교육과 다릅니다.
조직은 규정 준수 교육을 통해 할 수 있는 일과 할 수 없는 일을 인식하고 인정해야 합니다. 특히 법적으로 규정 준수 교육이 의무화되어 있는 경우에는 규정 준수 교육을 포기하지 마세요. 설문조사 응답자의 92%가 규정 준수 관련 문제나 보안 프레임워크에 대해 최소한의 교육이 필요하다고 답했으며, 50%는 상당한 수준의 규정 준수 교육이 필요하다고 강조했습니다.
교육에 가장 관심이 있는 규정 준수 프레임워크에는 다양한 산업에 특화된 프레임워크가 포함되었지만, 일반적인 사이버 보안 프레임워크도 몇 가지 목록에 포함되었습니다. 여기에는 CIS 보안 프레임워크, PCI DSS, OWASP Top 10, MISRA C, ISO/IEC, 의료보험 이동성 및 책임에 관한 법률(HIPAA) 등이 포함되었습니다.
따라서 이러한 프레임워크에서 교육을 받되, 규정 준수 교육에 대한 확인란을 체크하는 것이 보안 코드의 지속적인 생성을 위한 토대를 제공하는 것과 같지 않다는 점을 이해해야 합니다.
대신 규정 준수 교육을 규정 준수 주기 외에도 반복할 수 있는 개발자의 보안 코딩 기술을 확장할 수 있는 지속적인 기회의 일부로 간주하여 개발자가 매일 안전한 소프트웨어를 만들고 릴리스할 수 있도록 하세요. 규정 준수 달성에서 지속적인 학습을 통해 개발팀이 안전하게 코딩할 수 있도록 지원하는 것으로 우선순위를 전환하세요. 개발자의 역량 강화에 시간과 리소스를 투자하면 매년 반복되는 규정 준수 연습이나 시험을 직원들이 쉽게 통과하고 완료할 수 있을 뿐만 아니라 전반적인 생산성 향상이라는 이점을 누릴 수 있습니다.
개발자 중심 보안으로 전환하려면 어떻게 해야 할까요?
개발자들은 압도적으로 교육이 유용하다고 답했지만, 지난 몇 년간 보안 코딩과 관련하여 받은 교육 유형에 대해서는 문제를 제기했습니다. 개발자들은 자신의 업무와 관련된 실제 사례를 사용한 실습 교육에 더 중점을 두었으면 좋겠다고 답했습니다(30%). 또한 응답자의 26%는 더 많은 상호작용이 중요하다고 생각했으며, 특히 이러한 실습의 일부로 보안 코드 작성을 실제로 연습할 수 있다면 더욱 좋겠다고 답했습니다.
설문조사에 참여한 개발자의 23%는 업계 또는 부문에서 가장 많이 접할 수 있는 특정 취약점에 초점을 맞춘 가이드 교육을 더 많이 받기를 원했고, 22%는 교육에서 실제 취약점 사례를 더 많이 보고 싶다고 응답했습니다 courses.
단순히 정적이고 비대화식 교육을 제공하는 것(일반적으로 규정 준수 교육에 사용되는 경험)은 반복 가능한 개발자 보안 기술 측면에서 가치가 거의 없다는 것은 분명합니다. 대신, 조직은 개발자가 작업하면서 보안에 대해 배울 수 있는 적시 교육과 같은 것에 집중해야 합니다. 계층화된 학습 프로그램을 구현하는 것도 고려할 수 있습니다.
계층적 접근 방식에서는 일반적으로 큰 주제가 개별 학습 경험 또는 개념으로 세분화됩니다. 개발자가 발전함에 따라 건물의 높이가 높아질수록 물리적 비계가 구축되는 것처럼, 이미 습득한 개념 위에 더 고급 개념이 겹쳐집니다. 이는 사이버 보안과 같이 어렵고 지속적으로 진화하는 주제를 먼저 더 작고 덜 복잡한 덩어리로 세분화한 다음 그 토대 위에 더 복잡한 주제를 구축하는 입증된 방법입니다.
개발자 보안 기술 프로그램에 어떤 방식으로 접근하든 규정 준수 연습과 분리하여 진행하는 것이 중요합니다. 규정 준수와 보안 교육은 모두 중요하며, 성공을 위해서는 서로 다른 접근 방식이 필요합니다.
자세한 내용 보기
백서: 소프트웨어 보안을 개선하기 위한 과제(및 기회)를 살펴보세요.
백서: 소프트웨어 보안에 대한 예방적 개발자 접근 방식.
보고서: 보고서: 개발자 주도 보안 현황.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
Secure Code Warrior 는 개발자에게 안전하게 코딩할 수 있는 기술을 제공하여 보안 중심의 개발자 문화를 구축합니다. Atlassian의 대표적인 애자일( Learning Platform )은 관련 기술 기반 경로, 실습( missions) 및 상황에 맞는 도구를 제공하여 개발자가 빠르게 기술을 배우고, 구축하고, 적용하여 보안 코드를 빠르게 작성할 수 있도록 지원합니다.
오늘날 거의 모든 개발자 팀은 기업이 업계 프레임워크 또는 정부 규정을 준수하고 있는지 확인하기 위한 초기 인증 프로세스의 일부이거나 연례 요구 사항 또는 검토의 일부로 어떤 형태의 규정 준수 교육을 실시합니다. 조직이 기본적인 규정 준수 요건을 충족하지 못하면 직원들이 현실적으로 업무를 수행할 수 없기 때문에 이는 중요한 단계입니다.
규정 준수 규칙이 존재하는 이유는 해당 규칙이 적용되는 분야에서 일하는 모든 사람이 관련 프로세스 및 절차는 물론 모든 관련 법률을 기본적으로 이해하고 있어야 하기 때문입니다.
규정 준수 교육은 중요하지만, 의무화된 최소 요구 사항을 완료한다고 해서 진정한 애플리케이션 보안이 보장되는 것은 아닙니다. 특히 보안 코딩 기술을 일상적인 워크플로에 통합하려는 개발자의 경우 더욱 그렇습니다. 거의 모든 개발자가 어떤 형태로든 규정 준수 교육을 받지만, 설문조사 결과 67%는 코드에 취약점을 방치하는 경우가 많다고 인정했습니다.
왜 그럴까요?
Secure Code Warrior 는 2021년 12월에 Evans Data Corp와 협력하여 2년째 "2022년 개발자 주도 보안 현황 설문조사"를 실시했습니다. 전 세계 1,200명의 개발자를 대상으로 보안 코딩 관행에 관한 기술, 인식, 행동, 소프트웨어 개발 수명주기(SDLC)에 미치는 영향과 관련성을 파악하기 위해 설문조사를 실시했습니다.
규정 준수 교육이 소프트웨어 보안을 개선하지 못하는 이유에 관해서는 오랫동안 논의되어 온 문제입니다. 최근 설문조사는 이 문제를 집중 조명합니다.
한편으로 개발자는 애플리케이션과 프로그램의 코드를 처음 작성할 때를 포함하여 소프트웨어 개발 프로세스 전반에 걸쳐 사이버 보안을 포함시켜 새로운 역할을 수행해야 하는 과제를 안고 있습니다. 하지만 안전한 코드를 작성하는 것, 심지어 코드에 영향을 미칠 수 있는 사이버 보안 문제와 취약점을 모두 파악하는 것조차 쉬운 일이 아니며, 설문조사에서 63%의 개발자가 안전한 코드를 작성하는 것이 어려운 작업이라고 답했습니다.
보안 코드 작성의 어려움은 놀랄 일이 아닙니다. 전 세계적으로 350만 개가 넘는 고임금 사이버 보안 일자리가 미충원되는 데에는 그만한 이유가 있습니다. 쉬운 일이라면 누구나 그 분야에 뛰어들 것입니다. 위협에 대처하고 코드 내 취약점을 제거하는 방법을 배우는 것은 어렵고 위협 환경은 끊임없이 변화하고 있습니다. 정적인 규정 준수 교육이나 일회성 강의로는 개발자가 필요로 하는 교육을 따라잡거나 제공할 수 없습니다. 규정 준수 측면에서 확인란을 체크할 수는 있지만 조직에 실질적인 애플리케이션 보안을 보장하거나 개발자가 안전한 코드를 작성하거나 코드 취약점을 찾아 수정할 수 있는 기술을 제공할 수는 없습니다.
규정 준수 및 보안 교육은 중요하지만 다른 교육과 다릅니다.
조직은 규정 준수 교육을 통해 할 수 있는 일과 할 수 없는 일을 인식하고 인정해야 합니다. 특히 법적으로 규정 준수 교육이 의무화되어 있는 경우에는 규정 준수 교육을 포기하지 마세요. 설문조사 응답자의 92%가 규정 준수 관련 문제나 보안 프레임워크에 대해 최소한의 교육이 필요하다고 답했으며, 50%는 상당한 수준의 규정 준수 교육이 필요하다고 강조했습니다.
교육에 가장 관심이 있는 규정 준수 프레임워크에는 다양한 산업에 특화된 프레임워크가 포함되었지만, 일반적인 사이버 보안 프레임워크도 몇 가지 목록에 포함되었습니다. 여기에는 CIS 보안 프레임워크, PCI DSS, OWASP Top 10, MISRA C, ISO/IEC, 의료보험 이동성 및 책임에 관한 법률(HIPAA) 등이 포함되었습니다.
따라서 이러한 프레임워크에서 교육을 받되, 규정 준수 교육에 대한 확인란을 체크하는 것이 보안 코드의 지속적인 생성을 위한 토대를 제공하는 것과 같지 않다는 점을 이해해야 합니다.
대신 규정 준수 교육을 규정 준수 주기 외에도 반복할 수 있는 개발자의 보안 코딩 기술을 확장할 수 있는 지속적인 기회의 일부로 간주하여 개발자가 매일 안전한 소프트웨어를 만들고 릴리스할 수 있도록 하세요. 규정 준수 달성에서 지속적인 학습을 통해 개발팀이 안전하게 코딩할 수 있도록 지원하는 것으로 우선순위를 전환하세요. 개발자의 역량 강화에 시간과 리소스를 투자하면 매년 반복되는 규정 준수 연습이나 시험을 직원들이 쉽게 통과하고 완료할 수 있을 뿐만 아니라 전반적인 생산성 향상이라는 이점을 누릴 수 있습니다.
개발자 중심 보안으로 전환하려면 어떻게 해야 할까요?
개발자들은 압도적으로 교육이 유용하다고 답했지만, 지난 몇 년간 보안 코딩과 관련하여 받은 교육 유형에 대해서는 문제를 제기했습니다. 개발자들은 자신의 업무와 관련된 실제 사례를 사용한 실습 교육에 더 중점을 두었으면 좋겠다고 답했습니다(30%). 또한 응답자의 26%는 더 많은 상호작용이 중요하다고 생각했으며, 특히 이러한 실습의 일부로 보안 코드 작성을 실제로 연습할 수 있다면 더욱 좋겠다고 답했습니다.
설문조사에 참여한 개발자의 23%는 업계 또는 부문에서 가장 많이 접할 수 있는 특정 취약점에 초점을 맞춘 가이드 교육을 더 많이 받기를 원했고, 22%는 교육에서 실제 취약점 사례를 더 많이 보고 싶다고 응답했습니다 courses.
단순히 정적이고 비대화식 교육을 제공하는 것(일반적으로 규정 준수 교육에 사용되는 경험)은 반복 가능한 개발자 보안 기술 측면에서 가치가 거의 없다는 것은 분명합니다. 대신, 조직은 개발자가 작업하면서 보안에 대해 배울 수 있는 적시 교육과 같은 것에 집중해야 합니다. 계층화된 학습 프로그램을 구현하는 것도 고려할 수 있습니다.
계층적 접근 방식에서는 일반적으로 큰 주제가 개별 학습 경험 또는 개념으로 세분화됩니다. 개발자가 발전함에 따라 건물의 높이가 높아질수록 물리적 비계가 구축되는 것처럼, 이미 습득한 개념 위에 더 고급 개념이 겹쳐집니다. 이는 사이버 보안과 같이 어렵고 지속적으로 진화하는 주제를 먼저 더 작고 덜 복잡한 덩어리로 세분화한 다음 그 토대 위에 더 복잡한 주제를 구축하는 입증된 방법입니다.
개발자 보안 기술 프로그램에 어떤 방식으로 접근하든 규정 준수 연습과 분리하여 진행하는 것이 중요합니다. 규정 준수와 보안 교육은 모두 중요하며, 성공을 위해서는 서로 다른 접근 방식이 필요합니다.
자세한 내용 보기
백서: 소프트웨어 보안을 개선하기 위한 과제(및 기회)를 살펴보세요.
백서: 소프트웨어 보안에 대한 예방적 개발자 접근 방식.
보고서: 보고서: 개발자 주도 보안 현황.
목차
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약다운로드
.png)
