BSIMM 8이 꺼지다! 환상적. 대규모 조직이 안전한 소프트웨어를 생산하기 위해 어떤 보안 관행을 시행하는지에 대한 대규모 연구입니다.

이 연구는 Gary McGraw의 감독 하에 응용 프로그램 보안 전문가에 의해 수행되므로 수집된 데이터가 일관되고 정확하며 300,000명의 개발자가 매일 수행하는 일에 대한 통찰력을 제공합니다. 내 최신 프리젠 테이션에서, 나는 평균적으로, 100 개발자 당 2 응용 프로그램 보안 전문가가 있음을 언급 BSIMM 번호를 참조.

그러나 BSIMM4 이후로는 그렇지 않았습니다. BSIMM8은 이 숫자가 100명의 개발자당 1.6명으로 훨씬 적다고 보고합니다. 인재가 부족하기 때문에 더 많은 응용 프로그램 보안 전문가를 고용하는 것은 단순히 작동하지 않습니다. 그 어느 때보다도 개발자에게 조직에 대해 실습하고 쉽게 사용할 수 있고 확장 가능한 보안 코드를 작성할 수 있는 도구와 교육을 제공해야 합니다.

보고서는 또한 교육 관행에서 가장 일반적인 활동은 67 %의 모든 직원에게 인식 교육을 제공하는 것으로 나타났습니다. 우리가 하는 일을 매핑하기 시작했습니다. Secure Code Warrior (SCW) 교육 실습에서 우리의 솔루션은 레벨 1 (대부분의 회사가 그것을 할)에서 레벨 3 (극소수의 회사)에 이르기까지 교육 연습의 모든 12 활동을 체크 할 수 있다는 것을 깨달았다.

전체 연습을 커버하는 데 사용할 수있는 하나의 솔루션! 12 가지 교육 관행 중 가장 흥미로운 관행은 Secure Code Warrior 해결책은 다음과 같습니다.

• 레벨 1: 인식 교육 제공
• 레벨 1: 주문형 개별 교육 제공
• 레벨 2: 교육을 통해 위성 을 강화 (SCW 메트릭)
• 레벨 3: 커리큘럼을 통한 보상 진행(SCW 배지)
• 레벨 3: 공급업체 또는 아웃소싱 근로자에 대한 교육 제공(SCW 평가)
• 레벨 3: SCW 외부 소프트웨어 보안 이벤트 호스트 Tournament 모드)
• 레벨 3: 교육을 통해 위성 식별(SCW 메트릭)

현재 솔루션이 이러한 관행을 해결한다고 확신하십니까?