개발자가 보안 인식으로 코딩하기를 원하십니까? 그들에게 훈련을 가져.

게시일: 2020년 7월 15일
작성자: 마티아스 마두, Ph.
사례 연구

개발자가 보안 인식으로 코딩하기를 원하십니까? 그들에게 훈련을 가져.

게시일: 2020년 7월 15일
작성자: 마티아스 마두, Ph.
리소스 보기
리소스 보기

소프트웨어 개발 수명 주기(SDLC)는 충분히 무해한 것처럼 보입니다. 그것은 과정이며, 우리 소프트웨어 사람들은 모두 마법이 일어날 수 있도록 함께 와서 모든 디지털 선인들이 없이는 살 수 없는 모든 디지털 행운을 제공합니다.

제외한... 소프트웨어 개발 프로젝트의 일원이 셨다면, 정복하기 위한 퀘스트가 많고 드래곤들이 처치할 수 있는 건틀릿이라는 것을 알 수 있습니다. 그것은 잠시 동안 재미, 하지만 소진진짜, 그리고 소프트웨어에 대 한 수요우리 모두가 시간의 최고에 빛의 속도로 작업, 특히 개발 팀.

이제 그들이 또 다른 해야 할 일을 던져 버린다고 상상해보십시오... 그들이 만지는 프로젝트 요소의 보안에 대한 책임. 이것은 최악의 경우 일부 개인에게 카드 집이 무너질 수 있지만 더 현실적인 시나리오는 단순히 우선 순위가 아니며 라인을 넘기 위해 더 시급한 것으로 간주되는 문제가 우선한다는 것입니다. 그리고 대부분의 개발자가 안전하게 코딩하도록 훈련받지 않은 경우 (특히 관리자가 보안의 우선 순위를 지정하지 않는 경우), 버그 코드의 눈사태로 인해 중단점에 도달하는 보안 전문가 들 사이에서 빈번한 데이터 유출, 결함이있는 앱 릴리스 및 심각한 이탈을 볼 수 있습니다.

개발자는 AppSec 옹호자가 필요합니다.

위의 시나리오를 사용할 때 코딩 프로세스 중에 보안이 "너무 단단한" 바구니에 넣고 보안 팀에 남아 있는 이유를 이해할 수 있습니다. 너무 많은 경쟁 기한, 충분 하지 않은 훈련, 그리고 다른 모든 일이 보안에 대 한 관심 진짜 이유. 그러나 이 현상 유지에 대한 코드에 대한 요구가 너무 많습니다. 그리고 슈퍼 엘리트 개발자가 동료와 차별화하고 새로운 기술을 배우고 가장 중요한 것은 더 안전한 코드를 구축 할 수있는 곳입니다.

그러나 소프트웨어 보안을 관리하는 것이 개발자의 어깨에 있는 것은 아니라는 것을 기억하는 것이 중요합니다 - 그것은 여전히 AppSec 팀의 도메인입니다 (보안 인식 개발자와 함께 작업 할 때 반복에 일반적인 버그를 수정하는 대신 더 많은 호흡 공간을 갖게됩니다). 작동하는 DevSecOps 프로세스는 팀의 모든 구성원이 보안에 대한 책임을 공유하는 데 필요한 지원과 도구를 갖도록 요구하며 올바른 종류의 교육이 가장 중요합니다. 적절한 도구 와 교육 제품군의 균형을 맞추려면 개발자와 긴밀히 협력하여 영감을 주고 긍정적인 변화를 이끌어내고자 하는 AppSec 전문가의 통찰력이 필요합니다.

파괴적인 교육은 효과적인 것보다 더 짜증나며 개발자에게 기피하는 것은 작동하지 않을 것입니다. 한입 크기의 지식에 초점을 맞춘 IDE 또는 발급 추적기 통합 솔루션은 하나의 대안이며, 필요한 순간에 올바른 정보를 제공합니다.

작동 방식은 다음과 같습니다.

"만일의 경우"가 아니라 적시에.

문맥, 실습 학습은 한입 크기의 덩어리가 가장 합리적일 때 바로 전달되는 가장 효과적인 훈련 방법입니다. 이것은 때때로 "저스트 인 타임"(JiT) 교육이라고도 하며 개발자가 안전한 코딩을 배우는 데 매우 강력합니다.

도요타의 린 제조 원칙의기원으로, JiT 교육은 가장 중요한 경우, 맥락에서, 알아야 할 기초에 활성화하도록 설계되었습니다. 개발자가 부적절한 권한을 가진 것으로 보이는 것을 작성했습니까? 공격자가 코드를 원격으로 실행할 수 있는 작은 뒷문이 열리면 어떻게 해야 합니까? 개발자가 필요에 따라 지식에 액세스하거나 컨플루엔스의 문서를 다시 트롤링하거나 교육에서 터치한 것을 검색하는 것이 아니라 필요한 지식에 액세스 할 수 있다면 훨씬 더 기억에 남을 것입니다.

저시정은 "만일의 경우" 학습의 정반대입니다. 후자는 지식을 부여하는 더 일반적인 방법이지만, 단순히 효율적이지 않습니다. 우리는 개발자가 안전한 코딩 모범 사례에 더 쉽게 참여할 수 있도록 하고, 현재 작업중인 주요 목표에 초점을 유지하면서 경력을 향상시키는 이점을 확인해야 합니다.

개발자가 교육을 쫓아가는 것을 중단하십시오.

우리는 이미 근무일에 너무 많은 일이 일어나고 있다는 것을 알고 있으므로 개발자는 정적 이론 기반 교육에 액세스하기 위해 5 단계를 거치려면 어떤 인센티브를 교실로 옮기거나 컨텍스트 스위치를 수행해야합니까?

데이터 유출을 유발하는 취약점의 양이 라면 대부분의 조직이 하는 일이 매우 효과적이지 않다는 것이 일반적인 합의입니다. Verizon의 2020 년 데이터 유출 조사 보고서는 데이터 유출의 43 %가 웹 취약점에 기인 할 수 있다고 명시했습니다. 개발자는 효과적인 교육을 받지 못하고 있습니다. 고등 교육이나 직장 업스킬링 조치의 일부가 아닙니다. SQL 주입 및 구식 경로 통과와 같은 일반적인 취약점은 상당한 데이터 페이더트에 악용되지 않으며 사이버 보안 기술 부족은 통제불능상태가 되지 않을 것입니다.

그래서, 이것이 개발자가 교육을 받고 보안에 익숙해지는 현재의 기후라는 것을 알고, 왜 우리는 가난한 결과에 놀랐습니까? 개발자와 조직 모두 Jira, GitHub 및 IDE와 같이 실제로 작업하는 공간에서 더 부드럽고 통합적이며 덜 어지러우는 교육 경험을 보장하는 데 긍정적인 영향을 미칠 수 있습니다. 업계는 더 이상 사치가 없는 환경에서 앞으로 나아가 보안을 훨씬 쉽게 인식할 필요가 있습니다.

개발 워크플로우를 보호할 준비가 되셨습니까?

보안 인식 개발자는 자신의 기술과 코드 구축 단계에서 바로 조직을 제공할 수 있는 보호에 대해 존경받습니다. 보안은 더 이상 선택 사항이 아닙니다, 특히 GDPR 벌금, PCI-DSS 규정,NIST 거버넌스 ... 그리고 큰 오래된 수백만 달러의 집단 소송에서 소송을 제기 할 가능성, a'la Equifax.

통합된 접근 방식은 덜 파괴적인 학습을 통해 개발자를 이기고 보다 심층적인 길을 만드는 촉매제가 될 수 있습니다. courses 보안 챔피언을 교육하고 일반적으로 전 세계의 데이터를 안전하고 건전한 상태로 유지해야 하는 책임을 공유하도록 영감을 줍니다.

지금 Jira와 GitHub에 대한 통합 도구를 다운로드하고, 당신이 어떻게 생각하는지 알려주세요.

리소스 보기
리소스 보기

저자

마티아스 마두, Ph.

Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.

마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.

리소스 허브

시작할 수 있는 리소스

더 많은 게시물
리소스 허브

시작할 수 있는 리소스

더 많은 게시물

개발자가 보안 인식으로 코딩하기를 원하십니까? 그들에게 훈련을 가져.

게시일: 2020년 7월 15일
마티아스 마두, Ph.

소프트웨어 개발 수명 주기(SDLC)는 충분히 무해한 것처럼 보입니다. 그것은 과정이며, 우리 소프트웨어 사람들은 모두 마법이 일어날 수 있도록 함께 와서 모든 디지털 선인들이 없이는 살 수 없는 모든 디지털 행운을 제공합니다.

제외한... 소프트웨어 개발 프로젝트의 일원이 셨다면, 정복하기 위한 퀘스트가 많고 드래곤들이 처치할 수 있는 건틀릿이라는 것을 알 수 있습니다. 그것은 잠시 동안 재미, 하지만 소진진짜, 그리고 소프트웨어에 대 한 수요우리 모두가 시간의 최고에 빛의 속도로 작업, 특히 개발 팀.

이제 그들이 또 다른 해야 할 일을 던져 버린다고 상상해보십시오... 그들이 만지는 프로젝트 요소의 보안에 대한 책임. 이것은 최악의 경우 일부 개인에게 카드 집이 무너질 수 있지만 더 현실적인 시나리오는 단순히 우선 순위가 아니며 라인을 넘기 위해 더 시급한 것으로 간주되는 문제가 우선한다는 것입니다. 그리고 대부분의 개발자가 안전하게 코딩하도록 훈련받지 않은 경우 (특히 관리자가 보안의 우선 순위를 지정하지 않는 경우), 버그 코드의 눈사태로 인해 중단점에 도달하는 보안 전문가 들 사이에서 빈번한 데이터 유출, 결함이있는 앱 릴리스 및 심각한 이탈을 볼 수 있습니다.

개발자는 AppSec 옹호자가 필요합니다.

위의 시나리오를 사용할 때 코딩 프로세스 중에 보안이 "너무 단단한" 바구니에 넣고 보안 팀에 남아 있는 이유를 이해할 수 있습니다. 너무 많은 경쟁 기한, 충분 하지 않은 훈련, 그리고 다른 모든 일이 보안에 대 한 관심 진짜 이유. 그러나 이 현상 유지에 대한 코드에 대한 요구가 너무 많습니다. 그리고 슈퍼 엘리트 개발자가 동료와 차별화하고 새로운 기술을 배우고 가장 중요한 것은 더 안전한 코드를 구축 할 수있는 곳입니다.

그러나 소프트웨어 보안을 관리하는 것이 개발자의 어깨에 있는 것은 아니라는 것을 기억하는 것이 중요합니다 - 그것은 여전히 AppSec 팀의 도메인입니다 (보안 인식 개발자와 함께 작업 할 때 반복에 일반적인 버그를 수정하는 대신 더 많은 호흡 공간을 갖게됩니다). 작동하는 DevSecOps 프로세스는 팀의 모든 구성원이 보안에 대한 책임을 공유하는 데 필요한 지원과 도구를 갖도록 요구하며 올바른 종류의 교육이 가장 중요합니다. 적절한 도구 와 교육 제품군의 균형을 맞추려면 개발자와 긴밀히 협력하여 영감을 주고 긍정적인 변화를 이끌어내고자 하는 AppSec 전문가의 통찰력이 필요합니다.

파괴적인 교육은 효과적인 것보다 더 짜증나며 개발자에게 기피하는 것은 작동하지 않을 것입니다. 한입 크기의 지식에 초점을 맞춘 IDE 또는 발급 추적기 통합 솔루션은 하나의 대안이며, 필요한 순간에 올바른 정보를 제공합니다.

작동 방식은 다음과 같습니다.

"만일의 경우"가 아니라 적시에.

문맥, 실습 학습은 한입 크기의 덩어리가 가장 합리적일 때 바로 전달되는 가장 효과적인 훈련 방법입니다. 이것은 때때로 "저스트 인 타임"(JiT) 교육이라고도 하며 개발자가 안전한 코딩을 배우는 데 매우 강력합니다.

도요타의 린 제조 원칙의기원으로, JiT 교육은 가장 중요한 경우, 맥락에서, 알아야 할 기초에 활성화하도록 설계되었습니다. 개발자가 부적절한 권한을 가진 것으로 보이는 것을 작성했습니까? 공격자가 코드를 원격으로 실행할 수 있는 작은 뒷문이 열리면 어떻게 해야 합니까? 개발자가 필요에 따라 지식에 액세스하거나 컨플루엔스의 문서를 다시 트롤링하거나 교육에서 터치한 것을 검색하는 것이 아니라 필요한 지식에 액세스 할 수 있다면 훨씬 더 기억에 남을 것입니다.

저시정은 "만일의 경우" 학습의 정반대입니다. 후자는 지식을 부여하는 더 일반적인 방법이지만, 단순히 효율적이지 않습니다. 우리는 개발자가 안전한 코딩 모범 사례에 더 쉽게 참여할 수 있도록 하고, 현재 작업중인 주요 목표에 초점을 유지하면서 경력을 향상시키는 이점을 확인해야 합니다.

개발자가 교육을 쫓아가는 것을 중단하십시오.

우리는 이미 근무일에 너무 많은 일이 일어나고 있다는 것을 알고 있으므로 개발자는 정적 이론 기반 교육에 액세스하기 위해 5 단계를 거치려면 어떤 인센티브를 교실로 옮기거나 컨텍스트 스위치를 수행해야합니까?

데이터 유출을 유발하는 취약점의 양이 라면 대부분의 조직이 하는 일이 매우 효과적이지 않다는 것이 일반적인 합의입니다. Verizon의 2020 년 데이터 유출 조사 보고서는 데이터 유출의 43 %가 웹 취약점에 기인 할 수 있다고 명시했습니다. 개발자는 효과적인 교육을 받지 못하고 있습니다. 고등 교육이나 직장 업스킬링 조치의 일부가 아닙니다. SQL 주입 및 구식 경로 통과와 같은 일반적인 취약점은 상당한 데이터 페이더트에 악용되지 않으며 사이버 보안 기술 부족은 통제불능상태가 되지 않을 것입니다.

그래서, 이것이 개발자가 교육을 받고 보안에 익숙해지는 현재의 기후라는 것을 알고, 왜 우리는 가난한 결과에 놀랐습니까? 개발자와 조직 모두 Jira, GitHub 및 IDE와 같이 실제로 작업하는 공간에서 더 부드럽고 통합적이며 덜 어지러우는 교육 경험을 보장하는 데 긍정적인 영향을 미칠 수 있습니다. 업계는 더 이상 사치가 없는 환경에서 앞으로 나아가 보안을 훨씬 쉽게 인식할 필요가 있습니다.

개발 워크플로우를 보호할 준비가 되셨습니까?

보안 인식 개발자는 자신의 기술과 코드 구축 단계에서 바로 조직을 제공할 수 있는 보호에 대해 존경받습니다. 보안은 더 이상 선택 사항이 아닙니다, 특히 GDPR 벌금, PCI-DSS 규정,NIST 거버넌스 ... 그리고 큰 오래된 수백만 달러의 집단 소송에서 소송을 제기 할 가능성, a'la Equifax.

통합된 접근 방식은 덜 파괴적인 학습을 통해 개발자를 이기고 보다 심층적인 길을 만드는 촉매제가 될 수 있습니다. courses 보안 챔피언을 교육하고 일반적으로 전 세계의 데이터를 안전하고 건전한 상태로 유지해야 하는 책임을 공유하도록 영감을 줍니다.

지금 Jira와 GitHub에 대한 통합 도구를 다운로드하고, 당신이 어떻게 생각하는지 알려주세요.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

전송
양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.
리소스 허브

시작할 수 있는 리소스

더 많은 게시물