이 문서의 버전은 사이버 디펜스 잡지에등장. 여기에 업데이트되고 신디케이트되었습니다.
불신의 흔들리는 기초 위에 세워진 관계는 낮은 기대치로 가장 잘 접근합니다. 슬프게도, 이것은 조직 내의 개발자와 AppSec 팀 간의 작업 관계의 상태일 수 있습니다. 일반적으로 서리가 내린 서로의 방식으로 얻는 경향에 의해 손상, 상황은 이상적이지 않고 기술에 대한 고위험 의존의 세계에서 가난한 결과로 이어질.
개발자는 문제 해결, 기능 구축 및 작업에서 창의성을 보여주는 데 성공합니다. 반면 AppSec은 코드에서 보안 버그를 찾고 수정을 위해 반송하고 엔지니어의 애완 동물 프로젝트에서 빛을 망치는 감사 및 보고서를 제공하는 부러운 작업을 수행합니다. 보안이 그들의 우선 순위나 KPI의 일부가 아니며, 단순히 업무를 수행하는 것에 대해 과로한 AppSec 팀이 불이익을 받을 수 없습니다. 그러나 사이버 보안 모범 사례와 조직 수준에서 더 나은 보안 결과를 얻으려면 실제로 좋은 플레이를 시작해야 합니다.
그리고 그것은 모두 신뢰로 시작됩니다.
AppSec의 "나쁜 사람"이미지는 DevSecOps 의 조화의 길에 서있다.
누군가와의 유일한 상호 작용이 당신이 잘못 한 곳을 지적 할 때 온다면, 기회는 그들의 입력이 호의적으로 볼 수 없습니다 좋은 것입니다.
문제가 없는 경우는 거의 볼 수 없지만 보안 팀의 존재에 대한 부정적인 의미를 파악하는 것은 마찰을 일으키는 경향이 있습니다. 이 관계는 꽤 오랜 시간 동안 골절되었습니다, 개발자는 기능의 창의성에 차단기로 AppSec 팀을 보고, 프로세스, 기능의 정시 배송, AppSec지속적으로 존재한 일반적인 보안 버그를 지적의 매우 피곤 성장하는 동안 (자신의 해결책이있다) 수십 년 동안.
점점 더 불가능한 기한, 자원이 부족한 팀, 재작업을 피하려는 강한 욕구를 가진 개발자들은 코드를 발송하는 마지막 순간까지 기다려야 하는 경우가 많기 때문에 AppSec 검토 및 개입기회를 최대한 작게 만듭니다. 기능 장애 프로세스는 조직에 사이버 보안 위험을 증가시켜 받아 들일 수없는 영향을 미칩니다.
보안 전문가의 경우, 그것은 "메신저를 촬영하지 마십시오"의 경우입니다 - 결국, 그들의 임무는 버그를 찾아 그들이 치료 할 수 있도록그들을보고하는 것입니다 - 아무것도 개인. 고집포인트는 종종 회사의 기술 스택에 가장 적합하지 않은 권장 사항을 만들 수 있으므로 사내 소프트웨어 개발의 더 큰 그림에서 크게 도움이되지 않는 것으로 볼 수 있다는 것입니다.
악당으로 AppSec의 개념은 대부분의 개발 방법론에 대한 직관에 반직관적이지만, DevSecOps에 대한, 그것은 재앙이다. 금 본위제는 폭포, 애자일, 심지어 DevOps를 훨씬 뛰어넘어 보안을 SDLC 초기부터 공동책임으로 여기는 프로세스로 옮겨갔습니다.
DevSecOps가 작동하려면 소프트웨어 엔지니어가 보안에 관심을 가지어야 하는 이유가 있어야 하며, 이는 왜 그들이 세계의 소프트웨어를 보호하는 데 중요한지 이해하는 데서 비롯됩니다. 올리브 가지를 확장하고, 개발 관리자와 협력하여 팀의 요구를 충족시키고, 보안 인식을 육성하는 데 더 많은 멘토링 역할을 하는 보안 전문가는 노력에서 장기적인 혜택을 볼 수 있습니다... 그리고 그들은 또 다른 XSS 오류를 통해 밖으로 그들의 머리를 찢 고 약간 적은 시간을 보낸다.
개발자는 더 안전한 코딩 결과를 제공하기 위해 활성화해야 합니다.
고등 교육 중에 안전한 코딩을 배우는 데 있어 많은 엔지니어에게는 존재하지 않습니다. 그리고 그들은 모두 맥주 퐁과 WoW를 재생 바쁜 때문이 아니다 - 그것은 단순히 대부분의 컴퓨터 과학 및 IT 학위의 일부가 아닙니다.
이를 위해 실무 교육은 개발자가 소프트웨어 보안 의 예술에 대한 첫 번째 노출인 경우가 많으며, 거의 세상을 불붙이는 경우가 많습니다. 지루한 비디오의 시간은 일반적인 교육 방법입니다, 너무 드문 "체크 - 더 - 박스"준수 연습은 개발자에게 안전하게 코딩하는 방법을 가르치는 데 실제적인 영향을 미칠 수 없습니다, 또는 조직의 소프트웨어에서 일반적인 취약점을 줄이기에 어떤 진로를 만들기.
AppSec 팀과 개발 코호트는 모두 미친 바쁜, 그래서 모든 교육은 의미, 참여, 실습해야한다. 개발 배경에서 말하기, 우리는 문제를 해결하고 도구에 얻을 사랑, 그래서 대부분의 정적 훈련은 우리가 더 시급한 무언가에 집중하는 동안 우리를 통과 (또는, 솔직히 하자, 흥미로운).
AppSec 전문가는 영향력있는 장소에 있으며 개발자의 이익을 옹호함으로써 장기적인 윈 - 윈 상황을 만들 수 있습니다. 직업과 관련이 있고 선호하는 언어와 프레임워크로 제공되는 실행 가능한 교육을 찾는 것은 바늘을 옮기고 조직 내에서 풀뿌리, 긍정적 인 보안 문화를 고무시키는 데 큰 걸음입니다. 우리는 수십 년 동안 같은 일을 시도해 왔으며 분명히 "한 가지 크기는 모든 것에 맞는" 교육 접근 방식이 작동하지 않습니다. 개발자에게 올바른 도구와 지식을 제공함으로써 보안 코딩을 성공적으로 강화하고, 보안 인식의 높은 감각을 가지고 행동하며, 더 높은 수준의 코드를 생성할 수 있습니다.
같은 페이지에 도착하는 노력은 양쪽에서 와야합니다.
서로 다른 목표를 가진 사람들이 서로를 오해하거나 최악의 경우 다소 불신이 되는 것은 쉽습니다. AppSec은 코드가 휘젓는 공격을 계속하고 수년 동안 긍정적인 고객 감정을 파괴할 수 있는 데이터가 손상되고 무단 액세스 및 악의적인 공격으로 이어질 수 있는 보안 문제를 찾는 것을 목표로 하고 있습니다.
개발자는 무엇보다도 마감일까지 기능을 빌드합니다. 소프트웨어의 기능적이고 아름다운 기능을 만들고 고객을 충성도 있게 유지하는 독특한 디지털 경험의 제작자가 되는 임무를 맡고 있습니다. 그들은 이미 저글링을 많이 가지고 있으며, 보안에 대한 책임의 형태로 커브볼을 피칭하는 것은 어려운 전망입니다. 그것은 코드를 확보하기 위해 AppSec의 문제로 볼 수 있으며, 90 년대에 다소 달성 할 수있는 동안 (당신은 알다시피, 우리의 자동차가 해킹 될 수있기 전에, 우리의 전체 삶은 스마트 폰이라는 포켓 슈퍼 컴퓨터에서 수행 될 수 있습니다) 단순히 너무 많은 코드와 보안 건틀릿을 통해 실행하는 충분하지 않은 사람들이있다.
AppleSec과 개발자는 소프트웨어 생성 프로세스의 초기부터 보안을 최우선으로 삼을 수 있는 다양한 공감을 통해 목표를 달성할 수 있는 방법을 볼 수 있습니다. 결국, 긍정적 인 보안 문화는 그것에 의존하고, 보안 인식 개발자는 일반적인 취약점을 중지하는 비밀 성분입니다, 심지어 계속 확대 사이버 보안 기술 부족.
시간에 대한 상호 존중은 엄청난 이점이 있습니다.
내가 전에 말했듯이, 모두가 마법 (일명 놀라운 소프트웨어)을 만드는 것에 관해서 매우 바쁘다. 개발자는 안전한 코딩 기술을 구축하는 실행 가능한 실습 교육을 수행하려면 할당된 작업 시간이 필요하며 모든 교육 프로그램은 설계별로 매우 관련성이 있어야 합니다.
AppSec은 동일한 OWASP Top 10 취약점을 반복해서 수정하여 시간을 낭비하고 있으며 개발자들은 보안이 집안일이라는 생각을 강화하는 낮은 참여 운동을 통해 시간을 낭비했습니다.
선별된 학습 경험은 매우 중요하며, 필요한 순간에 관련 교육의 맥락적이고 한입 크기의 전달을통해 추적을 줄이는 데 도움이 됩니다.
원하는 결과와 사내 학습 경로에 맞는 사용자 지정 보안 코딩 과정을 큐레이팅하여 개발자의 시간과 워크플로우를 존중하는 동시에 비즈니스의 취약점 및 사이버 보안 위험을 측정 가능한 감소시키기 위해 노력하고 있습니다. 소프트 라이벌을 종식시키고, 단합된 전선으로 사이버 보안 와일드 웨스트로 전진하는 것은 빠른 승리입니다.
Secure Code Warrior '최신 문맥 학습 기능, Courses , 지금 사용할 수 있습니다.