불가능한 기한까지 작업하는 소프트웨어 프로젝트 팀에서 마지막으로 직장에 있었던 때를 생각해 보십시오. 그런 다음 매니저가 와서 해야 할 몇 가지 필수 보안 교육이 있으며 다른 모든 것들 위에 근무일에 구두를 착용해야 한다고 말합니다.

그들은 그것을 알고, 당신은 그것을 알고있다. 그것은 거 대 한 PITA, 하지만 규정 준수 이유로, 당신은 코딩을 유지 하는 동안 백그라운드에서 몇 가지 지루한 교육 비디오를 재생 거 야, 두 작업 에서 조정 하 고 둘 다에 게 최대한 의주의를 주는. 이것은 일반적인 시나리오입니다. 그것은 매우 파괴적이며 모든 사람의 시간을 낭비합니다. 대부분의 보안 교육은 너무 일반적이며 실제 가치가없는 근무 시간 안팎에서 반송되는 것을 무시하기 쉽습니다.

회사로서 우리의 목표는 더 나은 보다 효과적인 유형의 보안 교육을 제공하는 것이며, 이는 AppSec 팀이 말하는 것과 는 거리가 멀어지는 것이 무엇인지 정확히 아는 것에서 비롯된 것입니다. 흥미로운 점은, 그래도, 우리가 당신이 그것을 필요로 할 때 훈련을 얻기에 장벽을 줄이기 위해 무엇을 할 수 있는지에 대해 생각하기 시작했다는 것입니다 - 심지어 우리의 전체 플랫폼, 당신은 여전히 도움이 푸시가 필요하지만 교육 세션에 집중의 블록을 바칠 수없는 순간에, 당신의 작품에서 당신을 데려 갈 몇 가지 단계가 있습니다.

우리는 보다 원활한 방법으로 IDE 또는 문제 추적기에서 마이크로 러닝을 워크플로우로 구현하는 방법을 살펴보았습니다. 그리고 이것은 우리가 생각해 온 것입니다:

이는 적시에 적절한 지식을 제공하는 JiT(JiT) 원칙을 기반으로 하며, 즉시 효과적이고 유용할 수 있습니다. 학습에 대한 접근 방식의 정반대이며, 이는 종종 건물 기능을 위한 귀중한 시간과 헤드스페이스를 없애는 정보 과부하 상태입니다.

품질 코드는 보안 코드이며 가끔 씩씩하게 작업하기 위해 비침습적 보안 조수가 필요한 경우 테스트 드라이브에 걸릴 가치가 있을 수 있습니다.

장벽을 제거하고 당신에게 훈련을 가져.

사이버 보안은 일부 사람들에게 관심이 있을 수 있지만 모든 사람에게는 관심이 없습니다. 그리고 아무도 개발자가 보안 전문가가 되기를 기대해서는 안됩니다 - 여전히 전문 AppSec 팀의 일입니다. 그러나 보안 인식 개발자는 자신의 기술과 코드 작성 단계에서 바로 조직을 제공할 수 있는 보호에 대해 존경받습니다. 이는 수요가 많은 위치이며, 상황에 맞는 마이크로 러닝을 통해 시간이 지남에 따라 기초를 구축할 수 있습니다.

지금, 만약 당신이 더 클립처럼 통합 훈련에 대해 생각 하는 경우(그는 평화롭게 휴식 수 있습니다),다음의 경우 주의 하는 것이 중요 하다 Secure Code Warrior '의 통합, 그들은 개발자를위한 개발자에 의해 구축, 그래서 자극 요인이 고려되고 말살되었습니다.

실행 에서 그것을 체크 아웃 하자:

Secure Code Warrior Github의 경우 레이블의 공통 약점 열거(CWE) 또는 OWASP 참조에 대한 코드를 검사하여 컨텍스트별 정시 교육을 표시합니다. 취약점 참조가 발견되면 문제가 발생하면 신속한 해결 및 반복 취약점 예방을 돕기 위한 주석이 게시됩니다. 그것은 당신의 프로세스의 중단없이 문제와 통합, 또는 당신은 솔루션을 위해 농구를 통해 점프만들기.

지라를 사용하는 경우 프로세스와 유사합니다.

이제 현직 보안 인식 슈퍼스타에게는 마법을 실현하는 것이 전부가 아니라는 것을 기억하는 것이 중요합니다. 보안을 진지하게 받아들이고 자체 워크플로우에 들어갈 수 있는 지원, 교육 및 이유가 필요합니다. 다행히도, 이것은 모두 작동하는 DevSecOps 프로세스의 일부이며, 많은 조직이 이미 주목하고 있습니다. 왜 머리를 시작하지?

지금 다운로드하고,당신이 어떻게 생각하는지 알려주세요.