동일한 10개의 소프트웨어 취약점으로 인해 지난 20년 이상 다른 소프트웨어보다 더 많은 보안 위반이 발생했습니다. 그럼에도 불구하고 많은 기업들이 여전히 위반 후, 이벤트 후 수정을 선택합니다. 모든 것의 인간과 비즈니스의 파급 효과를 통해 혼란. 그러나 이제 새로운 연구 연구는 새로운, 인간 주도방향을 가리킵니다.

‍다음은 에 의해 수행 된 연구에서 파생 된 통찰력에 대해 설명합니다 Secure Code Warrior Evans Data Corp는 '반응에서 예방으로의 전환: 애플리케이션 보안의 변화하는 얼굴'(2021)을 통해 보안 코딩, 보안 코드 관행 및 보안 작업에 대한 개발자의 태도를 탐구합니다. 여기에서 백서를 다운로드하십시오.

곧 출시될 연구에서 개발자와 개발 관리자는 보안 코딩과 관련된 활동에 대해 물었습니다. 상위 3개의 응답은 다음과 같은 것입니다.

• 배포된 응용 프로그램에서 검색 도구를 사용합니다.
• 취약점에 대한 코드를 수동으로 검토합니다.
• 취약점으로부터 보호되는 소프트웨어를 작성하는 활성 및 지속적인 관행입니다.
  ‍

그래서 이것이 우리에게 무엇을 말하고 있습니까? 상위 3개의 응답 중 두 개는 여전히 사후 대응 방식, 첫 번째 도구(스캐너)에 의존하는 것, 그리고 두 번째 는 수동 검사를 수행하는 개발자(예: 인간)에 초점을 맞추고 있습니다. 이러한 방법을 사용하여 감지된 취약점은 프로젝트 일정 및 프로젝트 비용에 대한 노크 효과로 재작업을 위해 개발 팀으로 다시 시작해야 합니다.

동시에 지명된 세 가지 활동 중 두 가지는 인간의 요소인 인간의 문제로서 안보에 대한 인식을 높이는 포인터에 의존합니다. 그러나 후보에 오른 모든 활동 중 가장 많은 것은 3번으로, 애초에 취약점으로부터 보호되는 소프트웨어를 작성하는인적 요소를 식별합니다.  이는 소프트웨어 개발 수명 주기 시작부터 소프트웨어를 바로 전환하는 사전 예방적이고 예방적인 접근 방식인 왼쪽 시작으로의 전환을 강조합니다. 

반응성이 고가의 동일할 수 있습니다.

IBM 연구*에 따르면, 릴리스 후 코드의 취약점을 처음부터 발견하고 수정하는 것보다 30배 더 비쌉니다. 이는 개발자가 처음부터 보다 안전하게 코딩할 수 있도록 하는 소프트웨어 보안 방어에 대한 새로운 사전 예방적이고 보다 인간적인 접근 방식에 대한 강력한 인센티브입니다. 

이것은 당신이 인간 주도의 방어를호출 할 수있는 것입니다. 그러나 개발자가 보안에 대한 관심을 시작하도록 하려면 매일 생각하고 코딩하는 방식의 일부가 되어야 합니다. 이것은 개발자의 일상 업무와 매우 관련이 있는 교육에 대한 새로운 접근 방식을 요구하고 있으며, 현재 교육 모델에 대해 모두 할 수 있는 교육 모델을 알려주지 않습니다.

사전 예방적 보안 문화를 조성하려면 다음을 위한 새로운 교육이 필요합니다.

• 소프트웨어 보안 기술을 향상시켜 개발자에게 안전 코딩을 긍정적이고 매력적인 경험으로 만듭니다. 
• 개발자가 보안 마인드를 통해 일상적인 코딩 작업을 볼 수 있도록 권장합니다. 
• 일상적인 워크플로우에 내재된 안전한 코딩
  

이러한 스레드가 함께 모이면 애초에 취약점이 발생하지 않도록 하여 팀이 자신있게 품질 코드를 더 빠르게 배송할 수 있습니다. 좋은 소식은 Learning Platform 소프트웨어 개발 프로세스에 '왼쪽으로 시작'이 이미 존재하며, 이는 개발자에게 처음부터 양질의 코드를 만들 수 있는 기술과 도구를 이미 강화하고 있습니다.
‍‍

‍

‍

‍

*IBM 소프트웨어 그룹; 코드 결함을 최소화하여 소프트웨어 품질을 개선하고 개발 비용을 절감합니다.
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html