보안 코딩( 장벽, 우려 사항 및 활성 솔루션)을 중심으로 조직 재조정
.png)
하이퍼 커넥티드 세상에서 거의 모든 조직이 공통의 아킬레스건을 공유합니다. 코드에서 하나의 악용 가능한 치크인 단일 취약점은 고객 데이터 도난, 평판 손상 및 상당한 재정적 손실을 유발할 수 있습니다. 보안 코딩을 둘러싼 조직 적 정렬은 그 어느 때보다 도회적이었지만 이를 달성하는 것은 수행보다 쉽다고 합니다. 그래서 2020년, Secure Code Warrior Evans Data Corp.와 협력하여 보안 코딩, 보안 코드 관행 및 보안 작업에 대한 개발자 및 관리자의 태도에 대한 기본 연구*를 수행합니다.
사이버 보안이 가장 중요한 이 환경에서프로젝트 성공을 위한 기존 KPI가 재정의되고 있지만 충분히 빠르게 정의되지는 않습니다.
개발자와 관리자에게 소프트웨어 개발 프로세스에서 가장 중요한 우선 순위에 대해 물었을 때:
- 76% 지명 된 응용 프로그램 성능
- 62% 고른 기능 및 기능
- 그리고 50% 이상 선택한 보안 코드
오늘날 우리가 볼 수 있듯이 보안은 중요한 우선 순위가 아닙니다.
그러나 미래를 바라보면 그림이 극적으로 바뀝습니다. 프로젝트 성공을 측정하는 가장 중요한 미래 우선 순위에 대해 묻는 질문에 개발자의 79%는 보안 코딩이 더 중요해질 것이라는 데 동의합니다. 사실 개발자들은 보안을 KPI로 간주하여 중요성이 가장 중요해질 것입니다.
그러나 보안 코딩에 대한 인식이 증가하고 있지만 채택에 대한 우려가 있습니다. 개발자와 관리자 모두에게 취약점을 처리하고 코드에 대한 책임을 지는 것만으로도 밤에 이를 유지할 수 있습니다. 우리의 연구 * 이 두 그룹은 보안 코딩 관행에 더 나은 교육의 필요성을 가리키는 우려의 동일한 기본 세트를 공유하는 것으로 나타났다.
보안 코딩 관행에 대한 우려 와 장벽
개발자의 가장 큰 관심사는 '이전 취약점을 복제하는 코드 포함'입니다. 개발자가 코드의 품질에 대해 판단하기 때문에 이것은 거의 놀라운 일이 아닙니다. 어떤 개발자도 안전하지 않은 코드의 소스가 되길 원하거나 재작업이 필요하고 팀의 속도를 늦추는 코드입니다.
개발자에게 두 번째로 중요한 관심사는 동료가 도입한 실수를 처리하는 것입니다. 기한을 충족하고 코드에 대한 책임이 목록에도 높으며 보안 코드에 대해 배우는 것이 어렵기 때문에 개발자가 현재 교육 접근 방식에 불만을 불러 일으켰습니다.
반면 관리자는 하향식 보기를 더 많이 합니다. 이전 취약점을 복제하는 잘못된 코드 나 코드에 대한 책임이 있습니다. 결국, 팀이 형편없는 코드를 생성하면 벅은 관리자와 함께 멈춥니다.
학습 프로세스가 어렵다는 사실은 세 번째로 온다 - 이것은 코딩 관행을 확보하기위한 유일한 장벽이 아니다.
45%는 이해 관계자와 경영진 간의 의사 소통이 부족한 것을 중요한 장애물로 확인했습니다. 42%는 신규 채용 중 안전한 코딩 기술이 부족한 것을애도합니다. 동시에 40%는 부적절한 교육 시간과 자원을 지명했습니다.
현재 보안 코드 교육 접근 방식은 제공되지 않으며 관리자는 새로운 접근 방식이 필요하다는 것을 깨닫습니다.
보안 코드 관행에 대한 책임은 누구입니까?
본질적으로 보안 코딩의 관행은 SDLC에서 훨씬 일찍 보안을 고려하는 것을 의미합니다. 이는 처음부터 나중에 이 것을 남기는 대신 소프트웨어로 보안을 적극적으로 구축하는 것을 의미합니다. 즉, '왼쪽으로 이동'. 이 '왼쪽 시프트'는 보안 코딩 연습의 본질입니다. 궁극적으로 조직의 모든 사용자가 보안 코드를 책임져야 한다는 의미입니다. 그러나 지금, 단지 15%의 개발자가 동의합니다.
그러나 대부분의 개발자는 여전히 보안을 다른 사람의 문제로 간주하지만 작지만 성장하는 코호트는 보안 코딩을 적극적으로 수용할 뿐만 아니라 조직 내에서 보안을 옹호합니다. 설문조사에 참여한 개발자의 29%는 직장에 이러한 사람들이 존재한다는 데 동의합니다. 문제는 이러한 보안 코드 챔피언은 여전히 지상에 너무 얇다.
더 많은 보안 챔피언 만들기
개발 관리자는 새로운 보안 챔피언을 식별하고 생성하고 개발자의 안전한 코딩 기술을 전반적으로 키울 필요성을 알고 있습니다.
또한 많은 관리자는 새로운 개발자를 고용할 때 안전한 코딩 기술에 중점을 두고 이미 팀의 일부인 개발자들 사이에서 안전한 코딩 경험을 소중히 여습니다.
설문조사에 참여한 관리자의 83%는 개발자에게 안전한 코딩 관행을 배우거나 채택하도록 요청한다고 답했습니다. 조사된 관리자의 약 3분의 1은 개발자가 보안 코드 교육에 참여할 수 있는 인센티브를 제공한다고 말합니다. 이러한 인센티브는 공식적인 인식에서 더 큰 책임, 더 높은 급여에 이르기까지 다양합니다.
개발 관리자는 조직 수준에서 보안 코딩 관행을 채택하는 데 중요한 영향을 미치고 보안 챔피언을 발견하는 데 중요한 역할을 한다는 것은 분명합니다.
그러나 이러한 챔피언을 더 많이 만들 때 개발자가 안전한 코딩에 대해 배우도록 동기를 부여하는 것은 무엇입니까? 우리의 연구에 따르면 생산성과 효율성을 높이는 수단으로 보고 있습니다.
그렇다면 개발자가 보다 안전한 코드 교육을 추진하지 않는 이유는 무엇입니까? 증가하는 조직의 필요에 부합하는 방법은 무엇일까요?
재조정 을 해결하기 시작하는 솔루션
개발자는 강사의 말을 듣고 앉아서 보고 싶지 않습니다 - 그들은 물건에 손을 얻고 스스로 시도하고 싶어. 그들은 실용적인 응용 프로그램에 초점을 원한다 – 뭔가 현재 교육 프로그램은 심하게 부족. 회사에서 제공하는 교육이 어떻게 개선될 수 있는지 를 파악하라는 질문에 응답자의 30%는 실제 응용 프로그램, 특히 진정한 작업 시나리오에 초점을 맞춘 교육을 원한다고 밝혔습니다.
현재 교육 관행은 이를 제공하지 못합니다. 변화의 챔피언으로서 새로운 접근법이 요구되고, Secure Code Warrior 조직이 보안 코딩을 중심으로 재조정할 수 있도록 인간 주도의 접근 방식을 취합니다. 우리의 사이버 보안 Courses 개발자가 실제 세계에서 직면하는 것을 모방한 실습, '게임화된' 코딩 문제를 포함하는 가이드 학습 경로를 제공합니다.
이 교육은 언어: 프레임워크에 따라 다르며, 일반 교육과는 달리 한쪽 귀와 다른 쪽 귀로 이동합니다.
문화를 재조정하는 데 있어, Tournaments 코더의 보안 기술을 측정하고, 미래의 기술 개발을 위한 기준을 수립하고, 개발 팀 내에서 잠재적인 보안 챔피언을 발견하는 데 사용할 수 있습니다.
관리자, 개발자 및 조직의 요구를 안전한 코딩 미래로 조정하는 보안 코드 교육에 대해 자세히 알고 싶다면 지금 데모를 예약하십시오.
* 반응에서 예방으로 의전환 : 응용 프로그램 보안의 변화하는 얼굴. Secure Code Warrior 및 에반스 데이터 Corp. 2020
Secure Code Warrior
Secure Code Warrior 는 개발자에게 안전하게 코딩할 수 있는 기술을 제공하여 보안 중심의 개발자 문화를 구축합니다. Atlassian의 대표적인 애자일( Learning Platform )은 관련 기술 기반 경로, 실습( missions) 및 상황에 맞는 도구를 제공하여 개발자가 빠르게 기술을 배우고, 구축하고, 적용하여 보안 코드를 빠르게 작성할 수 있도록 지원합니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
보안 코딩( 장벽, 우려 사항 및 활성 솔루션)을 중심으로 조직 재조정
하이퍼 커넥티드 세상에서 거의 모든 조직이 공통의 아킬레스건을 공유합니다. 코드에서 하나의 악용 가능한 치크인 단일 취약점은 고객 데이터 도난, 평판 손상 및 상당한 재정적 손실을 유발할 수 있습니다. 보안 코딩을 둘러싼 조직 적 정렬은 그 어느 때보다 도회적이었지만 이를 달성하는 것은 수행보다 쉽다고 합니다. 그래서 2020년, Secure Code Warrior Evans Data Corp.와 협력하여 보안 코딩, 보안 코드 관행 및 보안 작업에 대한 개발자 및 관리자의 태도에 대한 기본 연구*를 수행합니다.
사이버 보안이 가장 중요한 이 환경에서프로젝트 성공을 위한 기존 KPI가 재정의되고 있지만 충분히 빠르게 정의되지는 않습니다.
개발자와 관리자에게 소프트웨어 개발 프로세스에서 가장 중요한 우선 순위에 대해 물었을 때:
- 76% 지명 된 응용 프로그램 성능
- 62% 고른 기능 및 기능
- 그리고 50% 이상 선택한 보안 코드
오늘날 우리가 볼 수 있듯이 보안은 중요한 우선 순위가 아닙니다.
그러나 미래를 바라보면 그림이 극적으로 바뀝습니다. 프로젝트 성공을 측정하는 가장 중요한 미래 우선 순위에 대해 묻는 질문에 개발자의 79%는 보안 코딩이 더 중요해질 것이라는 데 동의합니다. 사실 개발자들은 보안을 KPI로 간주하여 중요성이 가장 중요해질 것입니다.
그러나 보안 코딩에 대한 인식이 증가하고 있지만 채택에 대한 우려가 있습니다. 개발자와 관리자 모두에게 취약점을 처리하고 코드에 대한 책임을 지는 것만으로도 밤에 이를 유지할 수 있습니다. 우리의 연구 * 이 두 그룹은 보안 코딩 관행에 더 나은 교육의 필요성을 가리키는 우려의 동일한 기본 세트를 공유하는 것으로 나타났다.
보안 코딩 관행에 대한 우려 와 장벽
개발자의 가장 큰 관심사는 '이전 취약점을 복제하는 코드 포함'입니다. 개발자가 코드의 품질에 대해 판단하기 때문에 이것은 거의 놀라운 일이 아닙니다. 어떤 개발자도 안전하지 않은 코드의 소스가 되길 원하거나 재작업이 필요하고 팀의 속도를 늦추는 코드입니다.
개발자에게 두 번째로 중요한 관심사는 동료가 도입한 실수를 처리하는 것입니다. 기한을 충족하고 코드에 대한 책임이 목록에도 높으며 보안 코드에 대해 배우는 것이 어렵기 때문에 개발자가 현재 교육 접근 방식에 불만을 불러 일으켰습니다.
반면 관리자는 하향식 보기를 더 많이 합니다. 이전 취약점을 복제하는 잘못된 코드 나 코드에 대한 책임이 있습니다. 결국, 팀이 형편없는 코드를 생성하면 벅은 관리자와 함께 멈춥니다.
학습 프로세스가 어렵다는 사실은 세 번째로 온다 - 이것은 코딩 관행을 확보하기위한 유일한 장벽이 아니다.
45%는 이해 관계자와 경영진 간의 의사 소통이 부족한 것을 중요한 장애물로 확인했습니다. 42%는 신규 채용 중 안전한 코딩 기술이 부족한 것을애도합니다. 동시에 40%는 부적절한 교육 시간과 자원을 지명했습니다.
현재 보안 코드 교육 접근 방식은 제공되지 않으며 관리자는 새로운 접근 방식이 필요하다는 것을 깨닫습니다.
보안 코드 관행에 대한 책임은 누구입니까?
본질적으로 보안 코딩의 관행은 SDLC에서 훨씬 일찍 보안을 고려하는 것을 의미합니다. 이는 처음부터 나중에 이 것을 남기는 대신 소프트웨어로 보안을 적극적으로 구축하는 것을 의미합니다. 즉, '왼쪽으로 이동'. 이 '왼쪽 시프트'는 보안 코딩 연습의 본질입니다. 궁극적으로 조직의 모든 사용자가 보안 코드를 책임져야 한다는 의미입니다. 그러나 지금, 단지 15%의 개발자가 동의합니다.
그러나 대부분의 개발자는 여전히 보안을 다른 사람의 문제로 간주하지만 작지만 성장하는 코호트는 보안 코딩을 적극적으로 수용할 뿐만 아니라 조직 내에서 보안을 옹호합니다. 설문조사에 참여한 개발자의 29%는 직장에 이러한 사람들이 존재한다는 데 동의합니다. 문제는 이러한 보안 코드 챔피언은 여전히 지상에 너무 얇다.
더 많은 보안 챔피언 만들기
개발 관리자는 새로운 보안 챔피언을 식별하고 생성하고 개발자의 안전한 코딩 기술을 전반적으로 키울 필요성을 알고 있습니다.
또한 많은 관리자는 새로운 개발자를 고용할 때 안전한 코딩 기술에 중점을 두고 이미 팀의 일부인 개발자들 사이에서 안전한 코딩 경험을 소중히 여습니다.
설문조사에 참여한 관리자의 83%는 개발자에게 안전한 코딩 관행을 배우거나 채택하도록 요청한다고 답했습니다. 조사된 관리자의 약 3분의 1은 개발자가 보안 코드 교육에 참여할 수 있는 인센티브를 제공한다고 말합니다. 이러한 인센티브는 공식적인 인식에서 더 큰 책임, 더 높은 급여에 이르기까지 다양합니다.
개발 관리자는 조직 수준에서 보안 코딩 관행을 채택하는 데 중요한 영향을 미치고 보안 챔피언을 발견하는 데 중요한 역할을 한다는 것은 분명합니다.
그러나 이러한 챔피언을 더 많이 만들 때 개발자가 안전한 코딩에 대해 배우도록 동기를 부여하는 것은 무엇입니까? 우리의 연구에 따르면 생산성과 효율성을 높이는 수단으로 보고 있습니다.
그렇다면 개발자가 보다 안전한 코드 교육을 추진하지 않는 이유는 무엇입니까? 증가하는 조직의 필요에 부합하는 방법은 무엇일까요?
재조정 을 해결하기 시작하는 솔루션
개발자는 강사의 말을 듣고 앉아서 보고 싶지 않습니다 - 그들은 물건에 손을 얻고 스스로 시도하고 싶어. 그들은 실용적인 응용 프로그램에 초점을 원한다 – 뭔가 현재 교육 프로그램은 심하게 부족. 회사에서 제공하는 교육이 어떻게 개선될 수 있는지 를 파악하라는 질문에 응답자의 30%는 실제 응용 프로그램, 특히 진정한 작업 시나리오에 초점을 맞춘 교육을 원한다고 밝혔습니다.
현재 교육 관행은 이를 제공하지 못합니다. 변화의 챔피언으로서 새로운 접근법이 요구되고, Secure Code Warrior 조직이 보안 코딩을 중심으로 재조정할 수 있도록 인간 주도의 접근 방식을 취합니다. 우리의 사이버 보안 Courses 개발자가 실제 세계에서 직면하는 것을 모방한 실습, '게임화된' 코딩 문제를 포함하는 가이드 학습 경로를 제공합니다.
이 교육은 언어: 프레임워크에 따라 다르며, 일반 교육과는 달리 한쪽 귀와 다른 쪽 귀로 이동합니다.
문화를 재조정하는 데 있어, Tournaments 코더의 보안 기술을 측정하고, 미래의 기술 개발을 위한 기준을 수립하고, 개발 팀 내에서 잠재적인 보안 챔피언을 발견하는 데 사용할 수 있습니다.
관리자, 개발자 및 조직의 요구를 안전한 코딩 미래로 조정하는 보안 코드 교육에 대해 자세히 알고 싶다면 지금 데모를 예약하십시오.
* 반응에서 예방으로 의전환 : 응용 프로그램 보안의 변화하는 얼굴. Secure Code Warrior 및 에반스 데이터 Corp. 2020
