개발자들이 보안을 고려하여 프로그래밍하도록 원하십니까? 교육을 제공해 드리겠습니다.
소프트웨어 개발 생명주기(SDLC)는 꽤 무해해 보입니다. 이는 하나의 과정이며, 우리 프로그래머들은 힘을 합쳐 마법을 일으키고 사회가 없이는 살 수 없는 그 모든 디지털 혜택을 전달합니다.
단, 소프트웨어 개발 프로젝트에 참여한 적이 있다면 보통 도전과제라는 걸 알 겁니다. 정복해야 할 미션도 많고 물리쳐야 할 난관도 많죠. 한동안은 재미있지만, 피로감은 현실입니다. 소프트웨어 수요는 우리 모두를, 특히 개발팀을 최상의 상황에서도 빛의 속도로 일하게 만듭니다.
이제 또 다른 필수적인 과제가 주어진다고 상상해 보십시오: 자신이 담당하는 프로젝트 요소의 보안에 대한 책임입니다. 최악의 경우, 이는 일부 사람들에게는 모래성처럼 무너질 수 있지만, 더 현실적인 시나리오는 단순히 우선순위가 되지 못하고 더 시급하다고 여겨지는 문제들이 우선시되어 선을 넘게 되는 것입니다. 대부분의 개발자는 안전한 프로그래밍을 위한 교육을 받지 못합니다(특히 관리자들 역시 보안을 우선시하지 않는다면). 따라서 데이터 유출 사고가 빈번하게 발생하고, 결함이 있는 애플리케이션이 출시되며, 결함 코드의 홍수에 지쳐 한계점에 도달한 보안 전문가들이 대거 이직하는 현상이 발생하는 것은 놀랄 일이 아닙니다.
개발자들은 애플리케이션 보안(AppSec)의 옹호자가 필요합니다.
앞서 설명한 상황을 분석해 보면, 코딩 과정에서 보안이 '너무 어려운' 범주로 분류되어 보안 팀에 맡겨지는 이유를 이해할 수 있습니다. 상충되는 마감일이 너무 많고, 충분한 교육이 제공되지 않으며, 다른 모든 일에 치여 보안에 신경 쓸 여유가 전혀 없습니다. 그러나 코드 수요가 너무 많아 이 상태가 지속될 수는 없습니다. 바로 여기서 엘리트 개발자들은 동료들과 차별화되고, 새로운 기술을 습득하며, 무엇보다도 더 안전한 코드를 작성할 수 있는 기회를 얻습니다.
그러나 소프트웨어 보안 관리는 개발자만의 책임이 아니라는 점을 기억하는 것이 중요합니다. 이는 여전히 AppSec 팀의 영역이며, 보안에 관심 있는 개발자와 협력할 때 AppSec 팀은 흔한 오류를 반복적으로 수정하는 대신 숨 쉴 여유를 더 많이 가질 수 있습니다. 효과적인 DevSecOps 프로세스는 모든 팀원이 보안 책임을 공유할 수 있도록 필요한 지원과 도구를 제공해야 하며, 적절한 교육이 핵심입니다. 적합한 도구 세트와 교육을 조화롭게 구성하려면 AppSec 전문가의 통찰력이 필요합니다. 이들은 개발자와 긴밀히 협력하여 영감을 주고 긍정적인 변화를 주도할 준비가 되어 있어야 합니다.
파괴적인 교육은 효과적이기보다 성가신 경우가 많으며, 개발자들을 밀어내는 어떤 것도 성공할 수 없다. 대안은 소규모 지식에 초점을 맞추고 필요한 순간에 정확한 정보를 제공하는, 이슈 추적 시스템과 통합된 IDE나 솔루션을 활용하는 것이다.
실제로 작동하는 방식은 다음과 같습니다:
정확한 시기에 맞춰, '혹시 모르니까'가 아니라.
실습 중심의 맥락적 학습은 단연코 가장 효과적인 훈련 방식입니다. 이는 가장 의미 있는 시점에 딱 맞는 분량의 지식을 전달하기 때문입니다. 때로는 '적시 교육(Just-in-Time, JiT)'이라고도 불리는 이 방식은 안전한 프로그래밍을 배우는 개발자들에게 매우 유용합니다.
도요타의 린 생산 원칙에서 비롯된 iIT 교육은 가장 중요한 순간에, 맥락에 맞춰 필요한 지식을 습득할 수 있도록 설계되었습니다. 개발자가 방금 작성한 코드에 권한 설정이 잘못된 부분이 발견된다면? 공격자가 원격으로 코드를 실행할 수 있는 작은 백도어가 열릴 수도 있지 않을까요? 개발자가 필요한 순간에 바로 지식을 습득할 수 있다면, 컨플루언스 문서에서 찾아보거나 교육에서 언급된 내용을 구글링하는 것보다 훨씬 효과적일 것입니다.
적시 학습은 '만약을 대비한' 학습과 정반대입니다. 후자가 지식을 전달하는 가장 일반적인 방식이지만, 단순히 효율적이지 않습니다. 개발자들이 안전한 프로그래밍 모범 사례에 관심을 갖고 전문 기술 향상의 이점을 인식하도록 지원해야 합니다. 동시에 그들이 현재 집중하고 있는 핵심 목표에 계속 주력할 수 있도록 해야 합니다.
개발자들이 교육을 계속 받도록 강요하지 마세요.
우리는 이미 업무 시간에 처리해야 할 일이 너무 많다는 걸 알고 있습니다. 그렇다면 개발자들이 강의실에 가거나 환경을 바꿔서 다섯 단계를 따라 정적인 이론에 기반한 교육을 받도록 하는 동기는 무엇일까요?
일반적인 합의는 대부분의 조직이 수행하는 조치가 데이터 유출을 초래하는 취약점의 양을 고려할 때 그다지 효과적이지 않다는 점입니다. 버라이즌의 2020년 데이터 침해 조사 보고서는 데이터 유출의 43%가 웹 취약점으로 인한 것이라고 명시했습니다. 개발자들은 효과적인 교육을 받지 못합니다. 고등 교육 과정에서도, 직장 내 역량 강화 프로그램에서도 마찬가지입니다. 만약 제대로 교육받았다면, SQL 인젝션이나 구식 경로 탐색 같은 흔한 취약점이 대규모 데이터 유출에 악용되지도 않았을 것이며, 사이버 보안 인력 부족 문제도 이처럼 통제 불능 상태에 이르지 않았을 것입니다.
그렇다면 개발자들이 현재와 같은 환경에서 교육을 받고 보안에 익숙해지고 있다는 점을 고려할 때, 왜 우리는 나쁜 결과에 놀라는 것일까? 개발자와 조직 모두에게 긍정적인 효과를 가져올 수 있습니다. Jira, GitHub, IDE 등 실제 작업 공간에서 접근 가능한, 더 유연하고 통합적이며 덜 방해가 되는 교육 경험을 보장함으로써 말이죠. 업계는 단순히 진보해야 합니다. 보안 인식이 더 이상 사치가 아닌 환경에서 이를 훨씬 더 쉽게 만들어야 합니다.
개발 워크플로우를 보호할 준비가 되셨습니까?
보안을 중시하는 개발자들은 그들의 기술력과 코드 작성 단계부터 조직에 제공할 수 있는 보호 기능으로 인해 존경받습니다. 보안은 더 이상 선택 사항이 아닙니다. 특히 GDPR의 벌금, PCI-DSS 규정 준수, NIST 거버넌스 등을 고려할 때 더욱 그렇습니다. 또한 Equifax 사례처럼 수백만 달러 규모의 대규모 집단 소송에 휘말릴 가능성도 있습니다.
통합된 접근 방식은 개발자들에게 덜 방해가 되는 학습 경험을 제공함으로써 그들을 끌어들이는 촉매제가 될 수 있으며, 보다 심층적인 과정 제공, 보안 담당자 양성, 그리고 궁극적으로 전 세계 데이터를 안전하게 보호하기 위해 필요한 공동 책임 의식을 고취하는 길을 열 수 있습니다.
지금 Jira 및 GitHub용 통합 도구를 다운로드하고 의견을 알려주세요.
우리는 이미 업무 시간에 처리해야 할 일이 너무 많다는 걸 알고 있습니다. 그렇다면 개발자들이 강의실에 가거나 환경을 바꿔서 다섯 단계를 따라 정적인 이론에 기반한 교육을 받도록 하는 동기는 무엇일까요?
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
소프트웨어 개발 생명주기(SDLC)는 꽤 무해해 보입니다. 이는 하나의 과정이며, 우리 프로그래머들은 힘을 합쳐 마법을 일으키고 사회가 없이는 살 수 없는 그 모든 디지털 혜택을 전달합니다.
단, 소프트웨어 개발 프로젝트에 참여한 적이 있다면 보통 도전과제라는 걸 알 겁니다. 정복해야 할 미션도 많고 물리쳐야 할 난관도 많죠. 한동안은 재미있지만, 피로감은 현실입니다. 소프트웨어 수요는 우리 모두를, 특히 개발팀을 최상의 상황에서도 빛의 속도로 일하게 만듭니다.
이제 또 다른 필수적인 과제가 주어진다고 상상해 보십시오: 자신이 담당하는 프로젝트 요소의 보안에 대한 책임입니다. 최악의 경우, 이는 일부 사람들에게는 모래성처럼 무너질 수 있지만, 더 현실적인 시나리오는 단순히 우선순위가 되지 못하고 더 시급하다고 여겨지는 문제들이 우선시되어 선을 넘게 되는 것입니다. 대부분의 개발자는 안전한 프로그래밍을 위한 교육을 받지 못합니다(특히 관리자들 역시 보안을 우선시하지 않는다면). 따라서 데이터 유출 사고가 빈번하게 발생하고, 결함이 있는 애플리케이션이 출시되며, 결함 코드의 홍수에 지쳐 한계점에 도달한 보안 전문가들이 대거 이직하는 현상이 발생하는 것은 놀랄 일이 아닙니다.
개발자들은 애플리케이션 보안(AppSec)의 옹호자가 필요합니다.
앞서 설명한 상황을 분석해 보면, 코딩 과정에서 보안이 '너무 어려운' 범주로 분류되어 보안 팀에 맡겨지는 이유를 이해할 수 있습니다. 상충되는 마감일이 너무 많고, 충분한 교육이 제공되지 않으며, 다른 모든 일에 치여 보안에 신경 쓸 여유가 전혀 없습니다. 그러나 코드 수요가 너무 많아 이 상태가 지속될 수는 없습니다. 바로 여기서 엘리트 개발자들은 동료들과 차별화되고, 새로운 기술을 습득하며, 무엇보다도 더 안전한 코드를 작성할 수 있는 기회를 얻습니다.
그러나 소프트웨어 보안 관리는 개발자만의 책임이 아니라는 점을 기억하는 것이 중요합니다. 이는 여전히 AppSec 팀의 영역이며, 보안에 관심 있는 개발자와 협력할 때 AppSec 팀은 흔한 오류를 반복적으로 수정하는 대신 숨 쉴 여유를 더 많이 가질 수 있습니다. 효과적인 DevSecOps 프로세스는 모든 팀원이 보안 책임을 공유할 수 있도록 필요한 지원과 도구를 제공해야 하며, 적절한 교육이 핵심입니다. 적합한 도구 세트와 교육을 조화롭게 구성하려면 AppSec 전문가의 통찰력이 필요합니다. 이들은 개발자와 긴밀히 협력하여 영감을 주고 긍정적인 변화를 주도할 준비가 되어 있어야 합니다.
파괴적인 교육은 효과적이기보다 성가신 경우가 많으며, 개발자들을 밀어내는 어떤 것도 성공할 수 없다. 대안은 소규모 지식에 초점을 맞추고 필요한 순간에 정확한 정보를 제공하는, 이슈 추적 시스템과 통합된 IDE나 솔루션을 활용하는 것이다.
실제로 작동하는 방식은 다음과 같습니다:
정확한 시기에 맞춰, '혹시 모르니까'가 아니라.
실습 중심의 맥락적 학습은 단연코 가장 효과적인 훈련 방식입니다. 이는 가장 의미 있는 시점에 딱 맞는 분량의 지식을 전달하기 때문입니다. 때로는 '적시 교육(Just-in-Time, JiT)'이라고도 불리는 이 방식은 안전한 프로그래밍을 배우는 개발자들에게 매우 유용합니다.
도요타의 린 생산 원칙에서 비롯된 iIT 교육은 가장 중요한 순간에, 맥락에 맞춰 필요한 지식을 습득할 수 있도록 설계되었습니다. 개발자가 방금 작성한 코드에 권한 설정이 잘못된 부분이 발견된다면? 공격자가 원격으로 코드를 실행할 수 있는 작은 백도어가 열릴 수도 있지 않을까요? 개발자가 필요한 순간에 바로 지식을 습득할 수 있다면, 컨플루언스 문서에서 찾아보거나 교육에서 언급된 내용을 구글링하는 것보다 훨씬 효과적일 것입니다.
적시 학습은 '만약을 대비한' 학습과 정반대입니다. 후자가 지식을 전달하는 가장 일반적인 방식이지만, 단순히 효율적이지 않습니다. 개발자들이 안전한 프로그래밍 모범 사례에 관심을 갖고 전문 기술 향상의 이점을 인식하도록 지원해야 합니다. 동시에 그들이 현재 집중하고 있는 핵심 목표에 계속 주력할 수 있도록 해야 합니다.
개발자들이 교육을 계속 받도록 강요하지 마세요.
우리는 이미 업무 시간에 처리해야 할 일이 너무 많다는 걸 알고 있습니다. 그렇다면 개발자들이 강의실에 가거나 환경을 바꿔서 다섯 단계를 따라 정적인 이론에 기반한 교육을 받도록 하는 동기는 무엇일까요?
일반적인 합의는 대부분의 조직이 수행하는 조치가 데이터 유출을 초래하는 취약점의 양을 고려할 때 그다지 효과적이지 않다는 점입니다. 버라이즌의 2020년 데이터 침해 조사 보고서는 데이터 유출의 43%가 웹 취약점으로 인한 것이라고 명시했습니다. 개발자들은 효과적인 교육을 받지 못합니다. 고등 교육 과정에서도, 직장 내 역량 강화 프로그램에서도 마찬가지입니다. 만약 제대로 교육받았다면, SQL 인젝션이나 구식 경로 탐색 같은 흔한 취약점이 대규모 데이터 유출에 악용되지도 않았을 것이며, 사이버 보안 인력 부족 문제도 이처럼 통제 불능 상태에 이르지 않았을 것입니다.
그렇다면 개발자들이 현재와 같은 환경에서 교육을 받고 보안에 익숙해지고 있다는 점을 고려할 때, 왜 우리는 나쁜 결과에 놀라는 것일까? 개발자와 조직 모두에게 긍정적인 효과를 가져올 수 있습니다. Jira, GitHub, IDE 등 실제 작업 공간에서 접근 가능한, 더 유연하고 통합적이며 덜 방해가 되는 교육 경험을 보장함으로써 말이죠. 업계는 단순히 진보해야 합니다. 보안 인식이 더 이상 사치가 아닌 환경에서 이를 훨씬 더 쉽게 만들어야 합니다.
개발 워크플로우를 보호할 준비가 되셨습니까?
보안을 중시하는 개발자들은 그들의 기술력과 코드 작성 단계부터 조직에 제공할 수 있는 보호 기능으로 인해 존경받습니다. 보안은 더 이상 선택 사항이 아닙니다. 특히 GDPR의 벌금, PCI-DSS 규정 준수, NIST 거버넌스 등을 고려할 때 더욱 그렇습니다. 또한 Equifax 사례처럼 수백만 달러 규모의 대규모 집단 소송에 휘말릴 가능성도 있습니다.
통합된 접근 방식은 개발자들에게 덜 방해가 되는 학습 경험을 제공함으로써 그들을 끌어들이는 촉매제가 될 수 있으며, 보다 심층적인 과정 제공, 보안 담당자 양성, 그리고 궁극적으로 전 세계 데이터를 안전하게 보호하기 위해 필요한 공동 책임 의식을 고취하는 길을 열 수 있습니다.
지금 Jira 및 GitHub용 통합 도구를 다운로드하고 의견을 알려주세요.
소프트웨어 개발 생명주기(SDLC)는 꽤 무해해 보입니다. 이는 하나의 과정이며, 우리 프로그래머들은 힘을 합쳐 마법을 일으키고 사회가 없이는 살 수 없는 그 모든 디지털 혜택을 전달합니다.
단, 소프트웨어 개발 프로젝트에 참여한 적이 있다면 보통 도전과제라는 걸 알 겁니다. 정복해야 할 미션도 많고 물리쳐야 할 난관도 많죠. 한동안은 재미있지만, 피로감은 현실입니다. 소프트웨어 수요는 우리 모두를, 특히 개발팀을 최상의 상황에서도 빛의 속도로 일하게 만듭니다.
이제 또 다른 필수적인 과제가 주어진다고 상상해 보십시오: 자신이 담당하는 프로젝트 요소의 보안에 대한 책임입니다. 최악의 경우, 이는 일부 사람들에게는 모래성처럼 무너질 수 있지만, 더 현실적인 시나리오는 단순히 우선순위가 되지 못하고 더 시급하다고 여겨지는 문제들이 우선시되어 선을 넘게 되는 것입니다. 대부분의 개발자는 안전한 프로그래밍을 위한 교육을 받지 못합니다(특히 관리자들 역시 보안을 우선시하지 않는다면). 따라서 데이터 유출 사고가 빈번하게 발생하고, 결함이 있는 애플리케이션이 출시되며, 결함 코드의 홍수에 지쳐 한계점에 도달한 보안 전문가들이 대거 이직하는 현상이 발생하는 것은 놀랄 일이 아닙니다.
개발자들은 애플리케이션 보안(AppSec)의 옹호자가 필요합니다.
앞서 설명한 상황을 분석해 보면, 코딩 과정에서 보안이 '너무 어려운' 범주로 분류되어 보안 팀에 맡겨지는 이유를 이해할 수 있습니다. 상충되는 마감일이 너무 많고, 충분한 교육이 제공되지 않으며, 다른 모든 일에 치여 보안에 신경 쓸 여유가 전혀 없습니다. 그러나 코드 수요가 너무 많아 이 상태가 지속될 수는 없습니다. 바로 여기서 엘리트 개발자들은 동료들과 차별화되고, 새로운 기술을 습득하며, 무엇보다도 더 안전한 코드를 작성할 수 있는 기회를 얻습니다.
그러나 소프트웨어 보안 관리는 개발자만의 책임이 아니라는 점을 기억하는 것이 중요합니다. 이는 여전히 AppSec 팀의 영역이며, 보안에 관심 있는 개발자와 협력할 때 AppSec 팀은 흔한 오류를 반복적으로 수정하는 대신 숨 쉴 여유를 더 많이 가질 수 있습니다. 효과적인 DevSecOps 프로세스는 모든 팀원이 보안 책임을 공유할 수 있도록 필요한 지원과 도구를 제공해야 하며, 적절한 교육이 핵심입니다. 적합한 도구 세트와 교육을 조화롭게 구성하려면 AppSec 전문가의 통찰력이 필요합니다. 이들은 개발자와 긴밀히 협력하여 영감을 주고 긍정적인 변화를 주도할 준비가 되어 있어야 합니다.
파괴적인 교육은 효과적이기보다 성가신 경우가 많으며, 개발자들을 밀어내는 어떤 것도 성공할 수 없다. 대안은 소규모 지식에 초점을 맞추고 필요한 순간에 정확한 정보를 제공하는, 이슈 추적 시스템과 통합된 IDE나 솔루션을 활용하는 것이다.
실제로 작동하는 방식은 다음과 같습니다:
정확한 시기에 맞춰, '혹시 모르니까'가 아니라.
실습 중심의 맥락적 학습은 단연코 가장 효과적인 훈련 방식입니다. 이는 가장 의미 있는 시점에 딱 맞는 분량의 지식을 전달하기 때문입니다. 때로는 '적시 교육(Just-in-Time, JiT)'이라고도 불리는 이 방식은 안전한 프로그래밍을 배우는 개발자들에게 매우 유용합니다.
도요타의 린 생산 원칙에서 비롯된 iIT 교육은 가장 중요한 순간에, 맥락에 맞춰 필요한 지식을 습득할 수 있도록 설계되었습니다. 개발자가 방금 작성한 코드에 권한 설정이 잘못된 부분이 발견된다면? 공격자가 원격으로 코드를 실행할 수 있는 작은 백도어가 열릴 수도 있지 않을까요? 개발자가 필요한 순간에 바로 지식을 습득할 수 있다면, 컨플루언스 문서에서 찾아보거나 교육에서 언급된 내용을 구글링하는 것보다 훨씬 효과적일 것입니다.
적시 학습은 '만약을 대비한' 학습과 정반대입니다. 후자가 지식을 전달하는 가장 일반적인 방식이지만, 단순히 효율적이지 않습니다. 개발자들이 안전한 프로그래밍 모범 사례에 관심을 갖고 전문 기술 향상의 이점을 인식하도록 지원해야 합니다. 동시에 그들이 현재 집중하고 있는 핵심 목표에 계속 주력할 수 있도록 해야 합니다.
개발자들이 교육을 계속 받도록 강요하지 마세요.
우리는 이미 업무 시간에 처리해야 할 일이 너무 많다는 걸 알고 있습니다. 그렇다면 개발자들이 강의실에 가거나 환경을 바꿔서 다섯 단계를 따라 정적인 이론에 기반한 교육을 받도록 하는 동기는 무엇일까요?
일반적인 합의는 대부분의 조직이 수행하는 조치가 데이터 유출을 초래하는 취약점의 양을 고려할 때 그다지 효과적이지 않다는 점입니다. 버라이즌의 2020년 데이터 침해 조사 보고서는 데이터 유출의 43%가 웹 취약점으로 인한 것이라고 명시했습니다. 개발자들은 효과적인 교육을 받지 못합니다. 고등 교육 과정에서도, 직장 내 역량 강화 프로그램에서도 마찬가지입니다. 만약 제대로 교육받았다면, SQL 인젝션이나 구식 경로 탐색 같은 흔한 취약점이 대규모 데이터 유출에 악용되지도 않았을 것이며, 사이버 보안 인력 부족 문제도 이처럼 통제 불능 상태에 이르지 않았을 것입니다.
그렇다면 개발자들이 현재와 같은 환경에서 교육을 받고 보안에 익숙해지고 있다는 점을 고려할 때, 왜 우리는 나쁜 결과에 놀라는 것일까? 개발자와 조직 모두에게 긍정적인 효과를 가져올 수 있습니다. Jira, GitHub, IDE 등 실제 작업 공간에서 접근 가능한, 더 유연하고 통합적이며 덜 방해가 되는 교육 경험을 보장함으로써 말이죠. 업계는 단순히 진보해야 합니다. 보안 인식이 더 이상 사치가 아닌 환경에서 이를 훨씬 더 쉽게 만들어야 합니다.
개발 워크플로우를 보호할 준비가 되셨습니까?
보안을 중시하는 개발자들은 그들의 기술력과 코드 작성 단계부터 조직에 제공할 수 있는 보호 기능으로 인해 존경받습니다. 보안은 더 이상 선택 사항이 아닙니다. 특히 GDPR의 벌금, PCI-DSS 규정 준수, NIST 거버넌스 등을 고려할 때 더욱 그렇습니다. 또한 Equifax 사례처럼 수백만 달러 규모의 대규모 집단 소송에 휘말릴 가능성도 있습니다.
통합된 접근 방식은 개발자들에게 덜 방해가 되는 학습 경험을 제공함으로써 그들을 끌어들이는 촉매제가 될 수 있으며, 보다 심층적인 과정 제공, 보안 담당자 양성, 그리고 궁극적으로 전 세계 데이터를 안전하게 보호하기 위해 필요한 공동 책임 의식을 고취하는 길을 열 수 있습니다.
지금 Jira 및 GitHub용 통합 도구를 다운로드하고 의견을 알려주세요.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
소프트웨어 개발 생명주기(SDLC)는 꽤 무해해 보입니다. 이는 하나의 과정이며, 우리 프로그래머들은 힘을 합쳐 마법을 일으키고 사회가 없이는 살 수 없는 그 모든 디지털 혜택을 전달합니다.
단, 소프트웨어 개발 프로젝트에 참여한 적이 있다면 보통 도전과제라는 걸 알 겁니다. 정복해야 할 미션도 많고 물리쳐야 할 난관도 많죠. 한동안은 재미있지만, 피로감은 현실입니다. 소프트웨어 수요는 우리 모두를, 특히 개발팀을 최상의 상황에서도 빛의 속도로 일하게 만듭니다.
이제 또 다른 필수적인 과제가 주어진다고 상상해 보십시오: 자신이 담당하는 프로젝트 요소의 보안에 대한 책임입니다. 최악의 경우, 이는 일부 사람들에게는 모래성처럼 무너질 수 있지만, 더 현실적인 시나리오는 단순히 우선순위가 되지 못하고 더 시급하다고 여겨지는 문제들이 우선시되어 선을 넘게 되는 것입니다. 대부분의 개발자는 안전한 프로그래밍을 위한 교육을 받지 못합니다(특히 관리자들 역시 보안을 우선시하지 않는다면). 따라서 데이터 유출 사고가 빈번하게 발생하고, 결함이 있는 애플리케이션이 출시되며, 결함 코드의 홍수에 지쳐 한계점에 도달한 보안 전문가들이 대거 이직하는 현상이 발생하는 것은 놀랄 일이 아닙니다.
개발자들은 애플리케이션 보안(AppSec)의 옹호자가 필요합니다.
앞서 설명한 상황을 분석해 보면, 코딩 과정에서 보안이 '너무 어려운' 범주로 분류되어 보안 팀에 맡겨지는 이유를 이해할 수 있습니다. 상충되는 마감일이 너무 많고, 충분한 교육이 제공되지 않으며, 다른 모든 일에 치여 보안에 신경 쓸 여유가 전혀 없습니다. 그러나 코드 수요가 너무 많아 이 상태가 지속될 수는 없습니다. 바로 여기서 엘리트 개발자들은 동료들과 차별화되고, 새로운 기술을 습득하며, 무엇보다도 더 안전한 코드를 작성할 수 있는 기회를 얻습니다.
그러나 소프트웨어 보안 관리는 개발자만의 책임이 아니라는 점을 기억하는 것이 중요합니다. 이는 여전히 AppSec 팀의 영역이며, 보안에 관심 있는 개발자와 협력할 때 AppSec 팀은 흔한 오류를 반복적으로 수정하는 대신 숨 쉴 여유를 더 많이 가질 수 있습니다. 효과적인 DevSecOps 프로세스는 모든 팀원이 보안 책임을 공유할 수 있도록 필요한 지원과 도구를 제공해야 하며, 적절한 교육이 핵심입니다. 적합한 도구 세트와 교육을 조화롭게 구성하려면 AppSec 전문가의 통찰력이 필요합니다. 이들은 개발자와 긴밀히 협력하여 영감을 주고 긍정적인 변화를 주도할 준비가 되어 있어야 합니다.
파괴적인 교육은 효과적이기보다 성가신 경우가 많으며, 개발자들을 밀어내는 어떤 것도 성공할 수 없다. 대안은 소규모 지식에 초점을 맞추고 필요한 순간에 정확한 정보를 제공하는, 이슈 추적 시스템과 통합된 IDE나 솔루션을 활용하는 것이다.
실제로 작동하는 방식은 다음과 같습니다:
정확한 시기에 맞춰, '혹시 모르니까'가 아니라.
실습 중심의 맥락적 학습은 단연코 가장 효과적인 훈련 방식입니다. 이는 가장 의미 있는 시점에 딱 맞는 분량의 지식을 전달하기 때문입니다. 때로는 '적시 교육(Just-in-Time, JiT)'이라고도 불리는 이 방식은 안전한 프로그래밍을 배우는 개발자들에게 매우 유용합니다.
도요타의 린 생산 원칙에서 비롯된 iIT 교육은 가장 중요한 순간에, 맥락에 맞춰 필요한 지식을 습득할 수 있도록 설계되었습니다. 개발자가 방금 작성한 코드에 권한 설정이 잘못된 부분이 발견된다면? 공격자가 원격으로 코드를 실행할 수 있는 작은 백도어가 열릴 수도 있지 않을까요? 개발자가 필요한 순간에 바로 지식을 습득할 수 있다면, 컨플루언스 문서에서 찾아보거나 교육에서 언급된 내용을 구글링하는 것보다 훨씬 효과적일 것입니다.
적시 학습은 '만약을 대비한' 학습과 정반대입니다. 후자가 지식을 전달하는 가장 일반적인 방식이지만, 단순히 효율적이지 않습니다. 개발자들이 안전한 프로그래밍 모범 사례에 관심을 갖고 전문 기술 향상의 이점을 인식하도록 지원해야 합니다. 동시에 그들이 현재 집중하고 있는 핵심 목표에 계속 주력할 수 있도록 해야 합니다.
개발자들이 교육을 계속 받도록 강요하지 마세요.
우리는 이미 업무 시간에 처리해야 할 일이 너무 많다는 걸 알고 있습니다. 그렇다면 개발자들이 강의실에 가거나 환경을 바꿔서 다섯 단계를 따라 정적인 이론에 기반한 교육을 받도록 하는 동기는 무엇일까요?
일반적인 합의는 대부분의 조직이 수행하는 조치가 데이터 유출을 초래하는 취약점의 양을 고려할 때 그다지 효과적이지 않다는 점입니다. 버라이즌의 2020년 데이터 침해 조사 보고서는 데이터 유출의 43%가 웹 취약점으로 인한 것이라고 명시했습니다. 개발자들은 효과적인 교육을 받지 못합니다. 고등 교육 과정에서도, 직장 내 역량 강화 프로그램에서도 마찬가지입니다. 만약 제대로 교육받았다면, SQL 인젝션이나 구식 경로 탐색 같은 흔한 취약점이 대규모 데이터 유출에 악용되지도 않았을 것이며, 사이버 보안 인력 부족 문제도 이처럼 통제 불능 상태에 이르지 않았을 것입니다.
그렇다면 개발자들이 현재와 같은 환경에서 교육을 받고 보안에 익숙해지고 있다는 점을 고려할 때, 왜 우리는 나쁜 결과에 놀라는 것일까? 개발자와 조직 모두에게 긍정적인 효과를 가져올 수 있습니다. Jira, GitHub, IDE 등 실제 작업 공간에서 접근 가능한, 더 유연하고 통합적이며 덜 방해가 되는 교육 경험을 보장함으로써 말이죠. 업계는 단순히 진보해야 합니다. 보안 인식이 더 이상 사치가 아닌 환경에서 이를 훨씬 더 쉽게 만들어야 합니다.
개발 워크플로우를 보호할 준비가 되셨습니까?
보안을 중시하는 개발자들은 그들의 기술력과 코드 작성 단계부터 조직에 제공할 수 있는 보호 기능으로 인해 존경받습니다. 보안은 더 이상 선택 사항이 아닙니다. 특히 GDPR의 벌금, PCI-DSS 규정 준수, NIST 거버넌스 등을 고려할 때 더욱 그렇습니다. 또한 Equifax 사례처럼 수백만 달러 규모의 대규모 집단 소송에 휘말릴 가능성도 있습니다.
통합된 접근 방식은 개발자들에게 덜 방해가 되는 학습 경험을 제공함으로써 그들을 끌어들이는 촉매제가 될 수 있으며, 보다 심층적인 과정 제공, 보안 담당자 양성, 그리고 궁극적으로 전 세계 데이터를 안전하게 보호하기 위해 필요한 공동 책임 의식을 고취하는 길을 열 수 있습니다.
지금 Jira 및 GitHub용 통합 도구를 다운로드하고 의견을 알려주세요.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드
%20(1).avif)
.avif)
