더 안전한 코딩 결과를 위해 보안 코드 교육을 구성하는 방법

게시됨 Apr 22, 2021
으로 Secure Code Warrior
사례 연구

더 안전한 코딩 결과를 위해 보안 코드 교육을 구성하는 방법

게시됨 Apr 22, 2021
으로 Secure Code Warrior
리소스 보기
리소스 보기

개발자를 위한 코드 교육을 확보하는 데 있어 교육 적 결과가 많이 필요합니다. 많은 기업들이 실제로 최소한의 수익을 보기 위해 큰 비용을 지출합니다. 그리고 작은 경이로움. 현재 연구*는 개발자가 보안 코드를 학습하는 것이 지루하고 보안 코드를 구현하는 방법을 배우는 것이 어렵다고 믿고 있음을 보여줍니다. 코딩 교육을 확보하기 위한 새로운 접근 방식이 필요하므로 2020년에는 Secure Code Warrior Evans Data Corp.와 협력하여 보안 코딩, 보안 코드 관행 및 보안 운영에 대한 개발자의 태도에 대한 기본 연구를 수행합니다(여기에서 백서 다운로드).


제안에 대한 교육을 비판 할 수있는 기회를 제공했을 때 개발자는 현재보안 코드 교육이 다음과 같은 것이라고 주장하면서 아끼지 않았습니다.  

  • 진공 상태에서 가르치다 - 40% 
  • 너무 이론적, 자신의 작품과 관련이 없는, 그리고 충분히 '실습'하지 - 40% 
  • 종종 드물게, 자신의 작품이나 참여와 관련이 없습니다 - 30 %.

이러한 통계는 심각합니다. 그들은 현재의 보안 코드 교육이 개발자가 매일 하는 일과 의미 있는 관계가 없는 상황에 맞는 관련이 없다고 말합니다. 

종종 작업 환경에서 배운 내용을 다시 적용할 수 없습니다. 따라서 많은 보안 교육이 시간과 비용을 낭비하게 됩니다. 

개발자가 원하는 교육을 구축하는 다섯 가지 방법

개발자가 원하는 교육의 종류에 관해서, 다섯 가지는 풍부하게 분명했다. 

  1. 개발자의 75%는 구조화된 실무 교육을 선호하여가장 효과적이고 만족스러운 학습 방법을 찾았습니다.

    그리고 그 교육이 포함되어야하는 것에 관해서, 개발자는 몇 가지 매우 명확하고 구체적인 질문을 가지고 : 
  2. 65%는 언어별 취약점에 대한 교육이 필요하다고 말합니다.
  3. 65%는 OWASP 탑 10에서 더 많은 교육을 원합니다.
  4. 많은 사람들이 NIST(58%)를 포함한 규정 준수 보안 프레임워크에초점을 맞추기를 원합니다. CIS (52%) 및 PCI DSS (50 %).
  5. 78%는 그 훈련의 일환으로 비공식 동료 코칭과 지도를 원합니다.

그러나 무엇보다도 개발자는 실용적이고 일상 업무의 맥락에 뿌리를 둔 안전한 코드 교육을 원합니다. 개발자는 강사의 말을 듣고 앉아서 보고 싶지 않습니다 - 그들은 물건에 손을 얻고 스스로 시도하고 싶어. 그들은 실용적인 응용 프로그램에 초점을 원한다 – 현재 교육 프로그램이 심하게 부족한 무언가. 우리가 조사 한 개발자에 따르면, 좋은 교육의 상위 5 가지 특성은 다음과 같습니다. 

  • 실제 작업 시나리오(30%)를 보여주는 보다 실용적인 교육. 
  • 특정 코드 또는 취약점(24%)에 초점을 맞춘 안내 활동.
  • Inclusion of more examples or use cases (24%) Provides some concrete advantage to taking the training (<20%) Incorporates more team-building exercises (<20%). 
  • 교육을 받는 데 몇 가지 실질적인 이점을 제공합니다. 
  • 더 많은 팀 빌딩 연습을 통합합니다.

개발자는 기본적인 기술을 전수하는 보안 코딩 교육과 진정한 인정을 원합니다. 고용주들이 보안 코딩 기술을 매우 선호하고 인정하기 때문에 개발자들은 특히 새로운 직장에 지원할 때 다른 동료들과 차별화하려는 열정을 보여 왔습니다. 기술 숙련도나 전문 기술을 입증하고자 하는 개발자는 오랫동안 공식 인증 프로그램을 사용해 왔습니다. 인증을 위한 체계적인 교육 프로그램을 찾고 있느냐는 질문에 70%가 이러한 프로그램을 찾고 있다고 답했습니다. 중요한 동기는 습득한 기술을 공식적으로 인정받고, 업무 효율을 높이고, 회사에 귀중한 존재가 되기 위해서였습니다.

더 나은 교육 결과에 관해서, 개발자 중심의 교육은 열쇠입니다.  구조화 된 보안 코드 교육은 개발자에게 바람직하지만 원하는 것을 제공하는 경우에만 가능합니다. 과제에 도달하고 개발자의 요구에 맞게 보안 코드 교육을 재구성하는 기업은 반복되는 취약점감소, 코드 전송 속도 및 두 가지 모두의 향상된 평판의 이점을 얻을 수 있습니다.

명백한 증거는 개발자가 실제 세계에서 직면하는 사람들을 모방하는 도전과 관련 프로그래밍 언어 및 프레임 워크에서 상황에 맞는 실습 교육을 원한다는 것입니다. 보안 코딩의 변화의 챔피언으로서, Secure Code Warrior 개발자의 요청을 전달하기 위해 인간 주도의 접근 방식을 취합니다. 팀의 보안 코드를 더 빠르게 배송하는 능력에 잠재적 영향을 보고 싶다면 지금 데모를 요청하십시오.


* 반응에서 예방으로 의전환 : 응용 프로그램 보안의 변화하는 얼굴. Secure Code Warrior 및 에반스 데이터 Corp. 2020

리소스 보기
리소스 보기

저자

Secure Code Warrior

Secure Code Warrior 는 개발자에게 안전하게 코딩할 수 있는 기술을 제공하여 보안 중심의 개발자 문화를 구축합니다. Atlassian의 대표적인 애자일( Learning Platform )은 관련 기술 기반 경로, 실습( missions) 및 상황에 맞는 도구를 제공하여 개발자가 빠르게 기술을 배우고, 구축하고, 적용하여 보안 코드를 빠르게 작성할 수 있도록 지원합니다.

더 알고 싶으신가요?

블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.

Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.

블로그 보기
더 알고 싶으신가요?

개발자 중심 보안에 대한 최신 연구 보기

광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.

리소스 허브

더 안전한 코딩 결과를 위해 보안 코드 교육을 구성하는 방법

게시됨 Apr 22, 2021
으로 Secure Code Warrior

개발자를 위한 코드 교육을 확보하는 데 있어 교육 적 결과가 많이 필요합니다. 많은 기업들이 실제로 최소한의 수익을 보기 위해 큰 비용을 지출합니다. 그리고 작은 경이로움. 현재 연구*는 개발자가 보안 코드를 학습하는 것이 지루하고 보안 코드를 구현하는 방법을 배우는 것이 어렵다고 믿고 있음을 보여줍니다. 코딩 교육을 확보하기 위한 새로운 접근 방식이 필요하므로 2020년에는 Secure Code Warrior Evans Data Corp.와 협력하여 보안 코딩, 보안 코드 관행 및 보안 운영에 대한 개발자의 태도에 대한 기본 연구를 수행합니다(여기에서 백서 다운로드).


제안에 대한 교육을 비판 할 수있는 기회를 제공했을 때 개발자는 현재보안 코드 교육이 다음과 같은 것이라고 주장하면서 아끼지 않았습니다.  

  • 진공 상태에서 가르치다 - 40% 
  • 너무 이론적, 자신의 작품과 관련이 없는, 그리고 충분히 '실습'하지 - 40% 
  • 종종 드물게, 자신의 작품이나 참여와 관련이 없습니다 - 30 %.

이러한 통계는 심각합니다. 그들은 현재의 보안 코드 교육이 개발자가 매일 하는 일과 의미 있는 관계가 없는 상황에 맞는 관련이 없다고 말합니다. 

종종 작업 환경에서 배운 내용을 다시 적용할 수 없습니다. 따라서 많은 보안 교육이 시간과 비용을 낭비하게 됩니다. 

개발자가 원하는 교육을 구축하는 다섯 가지 방법

개발자가 원하는 교육의 종류에 관해서, 다섯 가지는 풍부하게 분명했다. 

  1. 개발자의 75%는 구조화된 실무 교육을 선호하여가장 효과적이고 만족스러운 학습 방법을 찾았습니다.

    그리고 그 교육이 포함되어야하는 것에 관해서, 개발자는 몇 가지 매우 명확하고 구체적인 질문을 가지고 : 
  2. 65%는 언어별 취약점에 대한 교육이 필요하다고 말합니다.
  3. 65%는 OWASP 탑 10에서 더 많은 교육을 원합니다.
  4. 많은 사람들이 NIST(58%)를 포함한 규정 준수 보안 프레임워크에초점을 맞추기를 원합니다. CIS (52%) 및 PCI DSS (50 %).
  5. 78%는 그 훈련의 일환으로 비공식 동료 코칭과 지도를 원합니다.

그러나 무엇보다도 개발자는 실용적이고 일상 업무의 맥락에 뿌리를 둔 안전한 코드 교육을 원합니다. 개발자는 강사의 말을 듣고 앉아서 보고 싶지 않습니다 - 그들은 물건에 손을 얻고 스스로 시도하고 싶어. 그들은 실용적인 응용 프로그램에 초점을 원한다 – 현재 교육 프로그램이 심하게 부족한 무언가. 우리가 조사 한 개발자에 따르면, 좋은 교육의 상위 5 가지 특성은 다음과 같습니다. 

  • 실제 작업 시나리오(30%)를 보여주는 보다 실용적인 교육. 
  • 특정 코드 또는 취약점(24%)에 초점을 맞춘 안내 활동.
  • Inclusion of more examples or use cases (24%) Provides some concrete advantage to taking the training (<20%) Incorporates more team-building exercises (<20%). 
  • 교육을 받는 데 몇 가지 실질적인 이점을 제공합니다. 
  • 더 많은 팀 빌딩 연습을 통합합니다.

개발자는 기본적인 기술을 전수하는 보안 코딩 교육과 진정한 인정을 원합니다. 고용주들이 보안 코딩 기술을 매우 선호하고 인정하기 때문에 개발자들은 특히 새로운 직장에 지원할 때 다른 동료들과 차별화하려는 열정을 보여 왔습니다. 기술 숙련도나 전문 기술을 입증하고자 하는 개발자는 오랫동안 공식 인증 프로그램을 사용해 왔습니다. 인증을 위한 체계적인 교육 프로그램을 찾고 있느냐는 질문에 70%가 이러한 프로그램을 찾고 있다고 답했습니다. 중요한 동기는 습득한 기술을 공식적으로 인정받고, 업무 효율을 높이고, 회사에 귀중한 존재가 되기 위해서였습니다.

더 나은 교육 결과에 관해서, 개발자 중심의 교육은 열쇠입니다.  구조화 된 보안 코드 교육은 개발자에게 바람직하지만 원하는 것을 제공하는 경우에만 가능합니다. 과제에 도달하고 개발자의 요구에 맞게 보안 코드 교육을 재구성하는 기업은 반복되는 취약점감소, 코드 전송 속도 및 두 가지 모두의 향상된 평판의 이점을 얻을 수 있습니다.

명백한 증거는 개발자가 실제 세계에서 직면하는 사람들을 모방하는 도전과 관련 프로그래밍 언어 및 프레임 워크에서 상황에 맞는 실습 교육을 원한다는 것입니다. 보안 코딩의 변화의 챔피언으로서, Secure Code Warrior 개발자의 요청을 전달하기 위해 인간 주도의 접근 방식을 취합니다. 팀의 보안 코드를 더 빠르게 배송하는 능력에 잠재적 영향을 보고 싶다면 지금 데모를 요청하십시오.


* 반응에서 예방으로 의전환 : 응용 프로그램 보안의 변화하는 얼굴. Secure Code Warrior 및 에반스 데이터 Corp. 2020

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.