엔베스트넷이 어떻게 민첩하고 안전한 코드 학습 플랫폼을 도입하여 개발자의 취약점 감소 효율성을 3배로 높였는가
배경
엔베스트넷(Envestnet, Inc.)은 상장된 금융 기술 기업으로, 5조 3천억 달러의 자산과 1,850만 개 이상의 투자자 계좌를 보유하고 있습니다. 엔베스트넷의 사명은 모든 이의 재정적 안녕을 실현하기 위해 금융 자문가 및 서비스 제공업체에게 혁신적인 기술, 솔루션 및 정보를 제공하는 것입니다. 엔베스트넷은 전 세계 자산 관리 분야에서 금융 자문사가 활용하는 서비스와 소프트웨어를 통합한 선도적인 자문 플랫폼을 통해 자산 관리 기술 시장의 주요 기업으로 자리매김했습니다.
엔베스트넷은 데이터 관리 모범 사례를 위한 노력의 일환으로, 위험 기반의 지속적인 규정 준수 모니터링을 통해 자산 관리 플랫폼을 상시 감시합니다. 이를 통해 규정 준수 문제나 잠재적 결함을 신속하게 식별하고 해결합니다. 엔베스트넷은 서비스 제공 과정에서 최고 수준의 보안 조치를 도입함으로써 고객 데이터 보호 분야에서 선도적인 역할을 수행하고 있습니다.
Envestnet의 제품 보안 책임자이자 『애플리케이션 보안 매뉴얼』의 저자인 데릭 피셔가 Secure Code Warrior 개발자 팀을 위한 애자일 보안 코드 활성화로 취약점을 줄이는 종합적인 접근 Secure Code Warrior 어떻게 Secure Code Warrior 알아보세요. 데릭은 10년 이상 애플리케이션 보안 분야에서 활동하며 수많은 보안 성공 사례와 실패 사례를 목격해 왔으며, 엔베스트넷 개발자들을 위한 안전한 코드 학습 환경 구축에 독보적인 전문성을 기여하고 있습니다.
상황
데릭이 애플리케이션 보안 분야에서 처음 업무를 시작했을 때, 그는 OWASP 상위 10개 취약점 목록과 기본적인 규정 준수 교육 이상의 것을 원했습니다. 그들은 일부 보안 SDLC 프로세스를 갖추고 있었지만, 주로 취약점 탐지에 초점을 맞추고 있었으며 근본적인 해결은 반드시 이루어지지 않았습니다.
데릭에 따르면, "우리 모두는 모든 조직에서 매년 받아야 하는 규정 준수 교육에 대해 잘 알고 있습니다. 일반적으로 제가 '파워포인트로 인한 죽음'이라고 부르는, 수많은 슬라이드와 아마도 마지막에 평가가 있는 그런 교육이죠... 이는 정말 비효율적이고 시간을 많이 잡아먹습니다. 저희도 교육을 받았지만, 일반적인 규정 준수 교육에 기반한 것이었고, 슬라이드와 오디오 녹음으로 진행되는 보안 관련 특정 교육이었습니다. 개발자들이 그다지 적극적으로 참여하지 않고 자료에서 많은 것을 배우지 못한다는 점을 발견했습니다. 그래서 저희는 전략을 변경해야 했습니다."
OWASP 기반의 단순한 규정 준수 중심 수동적 교육으로 개발자를 양성하는 이러한 전통적인 전략은 데릭과 그의 팀에게 특히 고통스러웠습니다. 교육의 효과를 측정할 수 없었기 때문에 취약점 관리에 점점 더 많은 시간을 할애해야 했기 때문입니다.
데릭은 취약점의 근원, 즉 개발자들이 생산 환경에 배포한 비보안 코드를 검토하는 것이 중요하며, 단순히 추가 도구를 도입하는 것만으로는 해결책이 될 수 없다고 인정했다.
데릭과 그의 팀은 2020년에 취약점 완화에 집중하여 초기 단계부터 보다 안전한 코드를 작성하는 것을 목표로 삼았습니다. 데릭과 그의 팀은 SDLC(소프트웨어 개발 수명주기)의 훨씬 초기 단계에서 취약점을 처리하고 수정하는 '좌측 전환(shift left)' 전략을 채택했습니다. 이 시기에는 수정 비용이 현저히 낮았기 때문입니다.
그러나 무엇보다도, 그들은 기존 App Sectraining에 대한 개발자들의 역사적으로 낮은 참여도에 직면해야 했습니다. 그는 단순히 '체크리스트' 식 사고방식을 코드 보안 학습 전략에 도입하는 것을 피하고, Envestnet 개발자들에게 더 효과적이고 민첩한 보안 코드 학습 경험을 제공하고자 했습니다.
SCW와 그 기능을 직접 확인한 후, 우리에게는 보다 실용적이고 상호작용적인 접근 방식이 정답임을 깨달았습니다. 엔지니어와 개발자들이 이 교육을 마치면 실제 문제에 대한 실질적인 이해도를 높일 수 있기를 바랐습니다. 우리는 이런 근육 기억을 키우고 싶었습니다: '이건 훈련에서 본 적이 있는 거야, 지금 보는 이 코딩 문제를 어떻게 접근해야 할지 알고 있어.' Secure Code Warrior 플랫폼은 엔지니어와 개발자가 직접 참여하여 안전한 코딩의 모범 사례가 무엇인지, 나쁜 코딩은 어떤 모습인지, 취약점을 신속하게 해결하는 방법을 진정으로 이해할 수 있는 환경을 Secure Code Warrior ."
Derek Fisher, Envestnet 제품 보안 책임자
액션
데릭은 특히 안전한 코딩 역량을 인증을 통해 보상하는 벨트 전략을 도입하는 데 큰 관심을 가졌습니다. 4단계로 구성된 이 프로그램은 보안 인식의 탄탄한 기반을 마련하는 것을 목표로 하며(1~2단계), 이후 개발자들이 보안 챔피언으로 성장할 수 있는 길을 열어줍니다(3~4단계). 이는 개발자들이 안전한 코딩 개념을 어떻게 유지하는지 측정할 수 없었던 문제를 해결하는 동시에, 보안에 관심이 있는 개발자들이 더 복잡한 보안 과제에 맞서 역량을 발전시킬 수 있는 경력 경로를 보장했습니다.
그들은 소규모 시범 프로젝트를 통해 이를 테스트하고 관련 개발자들의 의견을 요청했습니다. 피드백은 매우 긍정적이었습니다. 데릭은 다음과 같이 언급했습니다:
« 이러한 요소들이 항상 좋은 결과를 내는 것은 아닙니다. 훈련에 대한 긍정적인 피드백을 받을 때마다 이 점을 강조해도 지나치지 않습니다. 이는 흔치 않은 일입니다. 바로 그 도구가 적합하다는 좋은 지표입니다. »
엔베스트넷은 2021년 봄 첫 번째 대회를 개최했으며 개발자 참여 측면에서 더 긍정적인 결과를 기록했습니다. 데릭은 이후 데이터베이스, 프론트엔드, API 및 클라우드 개발자를 대상으로 LMS에 통합된 일련의 강좌를 출시했습니다. 엔베스트넷이 2021년 가을 두 번째 개발자 대회를 개최했을 때 참가 개발자 수는 두 배로 증가했습니다.
데릭에 따르면, 엔베스트넷은 토너먼트로 큰 성공을 거두었는데,
« 우리 모두는 경쟁이 동기 부여의 원천이라는 것을 알고 있습니다. 우리는 모두 동료들이 특정 분야에서 우리의 좋은 성과를 인정해주길 바라며, 이는 사람들이 이러한 대회에 참여하고 성공하도록 정말로 동기를 부여합니다. 이러한 점과 개발 도구로의 통합은 Secure Code Warrior 가치를 확실히 보여주었습니다. »
데릭과 팀은 또한 Secure Code Warrior 통합하여 특정 취약점이 재발할 경우 개발자가 익숙한 환경을 벗어나지 않고도 Jira 티켓 내에서 즉시 수정 지침에 접근할 수 있도록 작업했습니다. 이를 통해 개발자들은 취약점을 해결하는 방법에 대한 귀중한 맥락과 즉각적인 온디맨드 교육을 필요한 곳, 즉 영향 지점에서 바로 제공받을 수 있게 되었습니다. Derek의 팀은 또한 Secure Code Warrior 보안의 날을 Secure Code Warrior , 이를 통해 CEO의 더 폭넓은 지원을 확보하고 엔베스트넷의 성공에 있어 엔지니어링 및 보안 역할의 중요성을 강화할 수 있었습니다. 이러한 경영진과 개발자들의 적극적인 참여 덕분에 엔베스트넷은 현재의 프로그램 규모로 확장할 수 있었습니다. 현재 엔베스트넷은 선정된 모든 보안 챔피언을 프로그램에 등록했으며, 전체 팀의 60%가 레벨 1 또는 2 인증을 획득했습니다.
결과
Envestnet이 성공을 측정하는 방법 중 하나는 SCW 학습 경험을 이수한 팀들을 검토하고, 그들이 취약점을 덜 생성하거나 취약점을 더 빠르게 수정하는지 확인하는 것이었습니다. 그들이 발견한 결과는 인상적이었습니다:
- SCW에서 훈련받은 개발자들은 동료들보다 2.7배 더 많은 취약점을 수정했습니다.
- SCW에서 훈련받은 100명의 개발자가 단기간에 450개의 취약점을 수정했습니다.
- SCW에서 훈련받은 1,200명의 개발자들이 Envestnet의 각 작업 대기열에서 시정 조치를 120% 증가시키는 데 기여했습니다.
- 1년 동안 두 제품군에서 SCW 교육을 받은 개발자들은 취약점 관련 문제를 개발자당 4.5건의 비율로 해결한 반면, 동료 개발자들은 개발자당 1.82건에 그쳤다.
- 모든 보안 챔피언들은 2022년에 인증 프로그램을 이수했습니다.
- 보안 인식 개발자의 60% 이상이 레벨 1과 2를 거쳤습니다.
주요 포인트
데릭은 안전한 코드 학습 여정을 시작하는 초보자들에게 다음과 같은 조언을 제공합니다:
« 우리의 보안 업무는 조직 내 위험을 줄이는 데 있습니다. 이것이 우리의 진정한 목표이며 항상 추구하는 바입니다. 심각한 취약점이 가장 높은 위험을 나타내지 않거나 조직에 가장 큰 영향을 미치지 않을 수도 있습니다. 이는 낮은 위험과 높은 위험이라는 두 가지 중간 요소가 결합되어 훨씬 더 강력한 위협 사슬을 형성하는 것과 같습니다. 시간이 지남에 따라 취약점이 누적될수록 위험은 증가합니다. Secure Code Warrior 통해 선제적으로 대응하고, 안전한 코드에 대한 민첩한 학습을 통해 이러한 잠재적 취약점 사슬을 완화하는 적극적인 접근 방식을 채택할 수 있습니다. »
- 취약점을 테스트하고 보고하는 데 그치지 마십시오. 결국 개발자들에게 불필요한 소란만 일으키게 됩니다.
- 보안 개발은 개발자의 파트너가 되어야 하며, 안전한 코드 학습 전략을 실행하기 전에 그들의 동의를 확보해야 합니다.
- 로마는 하루아침에 건설되지 않았다. 귀사의 프로그램은 위험 프로필의 변화, 기업의 발전, 그리고 기술 및 도구의 진화에 따라 지속적으로 발전해야 합니다.
- 가장 효과적인 장기 전략은 주변 사람들의 보안 지능을 향상시켜 생성되는 취약점의 총량을 줄이는 것입니다.
Envestnet의 제품 보안 책임자이자 『The Application Security Handbook』의 저자인 데릭 피셔가 Secure Code Warrior 개발자 팀을 위한 안전한 코드 활성화의 민첩한 적용을 통해 취약점을 줄이는 포괄적인 접근 방식을 어떻게 Secure Code Warrior 알아보세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
배경
엔베스트넷(Envestnet, Inc.)은 상장된 금융 기술 기업으로, 5조 3천억 달러의 자산과 1,850만 개 이상의 투자자 계좌를 보유하고 있습니다. 엔베스트넷의 사명은 모든 이의 재정적 안녕을 실현하기 위해 금융 자문가 및 서비스 제공업체에게 혁신적인 기술, 솔루션 및 정보를 제공하는 것입니다. 엔베스트넷은 전 세계 자산 관리 분야에서 금융 자문사가 활용하는 서비스와 소프트웨어를 통합한 선도적인 자문 플랫폼을 통해 자산 관리 기술 시장의 주요 기업으로 자리매김했습니다.
엔베스트넷은 데이터 관리 모범 사례를 위한 노력의 일환으로, 위험 기반의 지속적인 규정 준수 모니터링을 통해 자산 관리 플랫폼을 상시 감시합니다. 이를 통해 규정 준수 문제나 잠재적 결함을 신속하게 식별하고 해결합니다. 엔베스트넷은 서비스 제공 과정에서 최고 수준의 보안 조치를 도입함으로써 고객 데이터 보호 분야에서 선도적인 역할을 수행하고 있습니다.
Envestnet의 제품 보안 책임자이자 『애플리케이션 보안 매뉴얼』의 저자인 데릭 피셔가 Secure Code Warrior 개발자 팀을 위한 애자일 보안 코드 활성화로 취약점을 줄이는 종합적인 접근 Secure Code Warrior 어떻게 Secure Code Warrior 알아보세요. 데릭은 10년 이상 애플리케이션 보안 분야에서 활동하며 수많은 보안 성공 사례와 실패 사례를 목격해 왔으며, 엔베스트넷 개발자들을 위한 안전한 코드 학습 환경 구축에 독보적인 전문성을 기여하고 있습니다.
상황
데릭이 애플리케이션 보안 분야에서 처음 업무를 시작했을 때, 그는 OWASP 상위 10개 취약점 목록과 기본적인 규정 준수 교육 이상의 것을 원했습니다. 그들은 일부 보안 SDLC 프로세스를 갖추고 있었지만, 주로 취약점 탐지에 초점을 맞추고 있었으며 근본적인 해결은 반드시 이루어지지 않았습니다.
데릭에 따르면, "우리 모두는 모든 조직에서 매년 받아야 하는 규정 준수 교육에 대해 잘 알고 있습니다. 일반적으로 제가 '파워포인트로 인한 죽음'이라고 부르는, 수많은 슬라이드와 아마도 마지막에 평가가 있는 그런 교육이죠... 이는 정말 비효율적이고 시간을 많이 잡아먹습니다. 저희도 교육을 받았지만, 일반적인 규정 준수 교육에 기반한 것이었고, 슬라이드와 오디오 녹음으로 진행되는 보안 관련 특정 교육이었습니다. 개발자들이 그다지 적극적으로 참여하지 않고 자료에서 많은 것을 배우지 못한다는 점을 발견했습니다. 그래서 저희는 전략을 변경해야 했습니다."
OWASP 기반의 단순한 규정 준수 중심 수동적 교육으로 개발자를 양성하는 이러한 전통적인 전략은 데릭과 그의 팀에게 특히 고통스러웠습니다. 교육의 효과를 측정할 수 없었기 때문에 취약점 관리에 점점 더 많은 시간을 할애해야 했기 때문입니다.
데릭은 취약점의 근원, 즉 개발자들이 생산 환경에 배포한 비보안 코드를 검토하는 것이 중요하며, 단순히 추가 도구를 도입하는 것만으로는 해결책이 될 수 없다고 인정했다.
데릭과 그의 팀은 2020년에 취약점 완화에 집중하여 초기 단계부터 보다 안전한 코드를 작성하는 것을 목표로 삼았습니다. 데릭과 그의 팀은 SDLC(소프트웨어 개발 수명주기)의 훨씬 초기 단계에서 취약점을 처리하고 수정하는 '좌측 전환(shift left)' 전략을 채택했습니다. 이 시기에는 수정 비용이 현저히 낮았기 때문입니다.
그러나 무엇보다도, 그들은 기존 App Sectraining에 대한 개발자들의 역사적으로 낮은 참여도에 직면해야 했습니다. 그는 단순히 '체크리스트' 식 사고방식을 코드 보안 학습 전략에 도입하는 것을 피하고, Envestnet 개발자들에게 더 효과적이고 민첩한 보안 코드 학습 경험을 제공하고자 했습니다.
SCW와 그 기능을 직접 확인한 후, 우리에게는 보다 실용적이고 상호작용적인 접근 방식이 정답임을 깨달았습니다. 엔지니어와 개발자들이 이 교육을 마치면 실제 문제에 대한 실질적인 이해도를 높일 수 있기를 바랐습니다. 우리는 이런 근육 기억을 키우고 싶었습니다: '이건 훈련에서 본 적이 있는 거야, 지금 보는 이 코딩 문제를 어떻게 접근해야 할지 알고 있어.' Secure Code Warrior 플랫폼은 엔지니어와 개발자가 직접 참여하여 안전한 코딩의 모범 사례가 무엇인지, 나쁜 코딩은 어떤 모습인지, 취약점을 신속하게 해결하는 방법을 진정으로 이해할 수 있는 환경을 Secure Code Warrior ."
Derek Fisher, Envestnet 제품 보안 책임자
액션
데릭은 특히 안전한 코딩 역량을 인증을 통해 보상하는 벨트 전략을 도입하는 데 큰 관심을 가졌습니다. 4단계로 구성된 이 프로그램은 보안 인식의 탄탄한 기반을 마련하는 것을 목표로 하며(1~2단계), 이후 개발자들이 보안 챔피언으로 성장할 수 있는 길을 열어줍니다(3~4단계). 이는 개발자들이 안전한 코딩 개념을 어떻게 유지하는지 측정할 수 없었던 문제를 해결하는 동시에, 보안에 관심이 있는 개발자들이 더 복잡한 보안 과제에 맞서 역량을 발전시킬 수 있는 경력 경로를 보장했습니다.
그들은 소규모 시범 프로젝트를 통해 이를 테스트하고 관련 개발자들의 의견을 요청했습니다. 피드백은 매우 긍정적이었습니다. 데릭은 다음과 같이 언급했습니다:
« 이러한 요소들이 항상 좋은 결과를 내는 것은 아닙니다. 훈련에 대한 긍정적인 피드백을 받을 때마다 이 점을 강조해도 지나치지 않습니다. 이는 흔치 않은 일입니다. 바로 그 도구가 적합하다는 좋은 지표입니다. »
엔베스트넷은 2021년 봄 첫 번째 대회를 개최했으며 개발자 참여 측면에서 더 긍정적인 결과를 기록했습니다. 데릭은 이후 데이터베이스, 프론트엔드, API 및 클라우드 개발자를 대상으로 LMS에 통합된 일련의 강좌를 출시했습니다. 엔베스트넷이 2021년 가을 두 번째 개발자 대회를 개최했을 때 참가 개발자 수는 두 배로 증가했습니다.
데릭에 따르면, 엔베스트넷은 토너먼트로 큰 성공을 거두었는데,
« 우리 모두는 경쟁이 동기 부여의 원천이라는 것을 알고 있습니다. 우리는 모두 동료들이 특정 분야에서 우리의 좋은 성과를 인정해주길 바라며, 이는 사람들이 이러한 대회에 참여하고 성공하도록 정말로 동기를 부여합니다. 이러한 점과 개발 도구로의 통합은 Secure Code Warrior 가치를 확실히 보여주었습니다. »
데릭과 팀은 또한 Secure Code Warrior 통합하여 특정 취약점이 재발할 경우 개발자가 익숙한 환경을 벗어나지 않고도 Jira 티켓 내에서 즉시 수정 지침에 접근할 수 있도록 작업했습니다. 이를 통해 개발자들은 취약점을 해결하는 방법에 대한 귀중한 맥락과 즉각적인 온디맨드 교육을 필요한 곳, 즉 영향 지점에서 바로 제공받을 수 있게 되었습니다. Derek의 팀은 또한 Secure Code Warrior 보안의 날을 Secure Code Warrior , 이를 통해 CEO의 더 폭넓은 지원을 확보하고 엔베스트넷의 성공에 있어 엔지니어링 및 보안 역할의 중요성을 강화할 수 있었습니다. 이러한 경영진과 개발자들의 적극적인 참여 덕분에 엔베스트넷은 현재의 프로그램 규모로 확장할 수 있었습니다. 현재 엔베스트넷은 선정된 모든 보안 챔피언을 프로그램에 등록했으며, 전체 팀의 60%가 레벨 1 또는 2 인증을 획득했습니다.
결과
Envestnet이 성공을 측정하는 방법 중 하나는 SCW 학습 경험을 이수한 팀들을 검토하고, 그들이 취약점을 덜 생성하거나 취약점을 더 빠르게 수정하는지 확인하는 것이었습니다. 그들이 발견한 결과는 인상적이었습니다:
- SCW에서 훈련받은 개발자들은 동료들보다 2.7배 더 많은 취약점을 수정했습니다.
- SCW에서 훈련받은 100명의 개발자가 단기간에 450개의 취약점을 수정했습니다.
- SCW에서 훈련받은 1,200명의 개발자들이 Envestnet의 각 작업 대기열에서 시정 조치를 120% 증가시키는 데 기여했습니다.
- 1년 동안 두 제품군에서 SCW 교육을 받은 개발자들은 취약점 관련 문제를 개발자당 4.5건의 비율로 해결한 반면, 동료 개발자들은 개발자당 1.82건에 그쳤다.
- 모든 보안 챔피언들은 2022년에 인증 프로그램을 이수했습니다.
- 보안 인식 개발자의 60% 이상이 레벨 1과 2를 거쳤습니다.
주요 포인트
데릭은 안전한 코드 학습 여정을 시작하는 초보자들에게 다음과 같은 조언을 제공합니다:
« 우리의 보안 업무는 조직 내 위험을 줄이는 데 있습니다. 이것이 우리의 진정한 목표이며 항상 추구하는 바입니다. 심각한 취약점이 가장 높은 위험을 나타내지 않거나 조직에 가장 큰 영향을 미치지 않을 수도 있습니다. 이는 낮은 위험과 높은 위험이라는 두 가지 중간 요소가 결합되어 훨씬 더 강력한 위협 사슬을 형성하는 것과 같습니다. 시간이 지남에 따라 취약점이 누적될수록 위험은 증가합니다. Secure Code Warrior 통해 선제적으로 대응하고, 안전한 코드에 대한 민첩한 학습을 통해 이러한 잠재적 취약점 사슬을 완화하는 적극적인 접근 방식을 채택할 수 있습니다. »
- 취약점을 테스트하고 보고하는 데 그치지 마십시오. 결국 개발자들에게 불필요한 소란만 일으키게 됩니다.
- 보안 개발은 개발자의 파트너가 되어야 하며, 안전한 코드 학습 전략을 실행하기 전에 그들의 동의를 확보해야 합니다.
- 로마는 하루아침에 건설되지 않았다. 귀사의 프로그램은 위험 프로필의 변화, 기업의 발전, 그리고 기술 및 도구의 진화에 따라 지속적으로 발전해야 합니다.
- 가장 효과적인 장기 전략은 주변 사람들의 보안 지능을 향상시켜 생성되는 취약점의 총량을 줄이는 것입니다.
배경
엔베스트넷(Envestnet, Inc.)은 상장된 금융 기술 기업으로, 5조 3천억 달러의 자산과 1,850만 개 이상의 투자자 계좌를 보유하고 있습니다. 엔베스트넷의 사명은 모든 이의 재정적 안녕을 실현하기 위해 금융 자문가 및 서비스 제공업체에게 혁신적인 기술, 솔루션 및 정보를 제공하는 것입니다. 엔베스트넷은 전 세계 자산 관리 분야에서 금융 자문사가 활용하는 서비스와 소프트웨어를 통합한 선도적인 자문 플랫폼을 통해 자산 관리 기술 시장의 주요 기업으로 자리매김했습니다.
엔베스트넷은 데이터 관리 모범 사례를 위한 노력의 일환으로, 위험 기반의 지속적인 규정 준수 모니터링을 통해 자산 관리 플랫폼을 상시 감시합니다. 이를 통해 규정 준수 문제나 잠재적 결함을 신속하게 식별하고 해결합니다. 엔베스트넷은 서비스 제공 과정에서 최고 수준의 보안 조치를 도입함으로써 고객 데이터 보호 분야에서 선도적인 역할을 수행하고 있습니다.
Envestnet의 제품 보안 책임자이자 『애플리케이션 보안 매뉴얼』의 저자인 데릭 피셔가 Secure Code Warrior 개발자 팀을 위한 애자일 보안 코드 활성화로 취약점을 줄이는 종합적인 접근 Secure Code Warrior 어떻게 Secure Code Warrior 알아보세요. 데릭은 10년 이상 애플리케이션 보안 분야에서 활동하며 수많은 보안 성공 사례와 실패 사례를 목격해 왔으며, 엔베스트넷 개발자들을 위한 안전한 코드 학습 환경 구축에 독보적인 전문성을 기여하고 있습니다.
상황
데릭이 애플리케이션 보안 분야에서 처음 업무를 시작했을 때, 그는 OWASP 상위 10개 취약점 목록과 기본적인 규정 준수 교육 이상의 것을 원했습니다. 그들은 일부 보안 SDLC 프로세스를 갖추고 있었지만, 주로 취약점 탐지에 초점을 맞추고 있었으며 근본적인 해결은 반드시 이루어지지 않았습니다.
데릭에 따르면, "우리 모두는 모든 조직에서 매년 받아야 하는 규정 준수 교육에 대해 잘 알고 있습니다. 일반적으로 제가 '파워포인트로 인한 죽음'이라고 부르는, 수많은 슬라이드와 아마도 마지막에 평가가 있는 그런 교육이죠... 이는 정말 비효율적이고 시간을 많이 잡아먹습니다. 저희도 교육을 받았지만, 일반적인 규정 준수 교육에 기반한 것이었고, 슬라이드와 오디오 녹음으로 진행되는 보안 관련 특정 교육이었습니다. 개발자들이 그다지 적극적으로 참여하지 않고 자료에서 많은 것을 배우지 못한다는 점을 발견했습니다. 그래서 저희는 전략을 변경해야 했습니다."
OWASP 기반의 단순한 규정 준수 중심 수동적 교육으로 개발자를 양성하는 이러한 전통적인 전략은 데릭과 그의 팀에게 특히 고통스러웠습니다. 교육의 효과를 측정할 수 없었기 때문에 취약점 관리에 점점 더 많은 시간을 할애해야 했기 때문입니다.
데릭은 취약점의 근원, 즉 개발자들이 생산 환경에 배포한 비보안 코드를 검토하는 것이 중요하며, 단순히 추가 도구를 도입하는 것만으로는 해결책이 될 수 없다고 인정했다.
데릭과 그의 팀은 2020년에 취약점 완화에 집중하여 초기 단계부터 보다 안전한 코드를 작성하는 것을 목표로 삼았습니다. 데릭과 그의 팀은 SDLC(소프트웨어 개발 수명주기)의 훨씬 초기 단계에서 취약점을 처리하고 수정하는 '좌측 전환(shift left)' 전략을 채택했습니다. 이 시기에는 수정 비용이 현저히 낮았기 때문입니다.
그러나 무엇보다도, 그들은 기존 App Sectraining에 대한 개발자들의 역사적으로 낮은 참여도에 직면해야 했습니다. 그는 단순히 '체크리스트' 식 사고방식을 코드 보안 학습 전략에 도입하는 것을 피하고, Envestnet 개발자들에게 더 효과적이고 민첩한 보안 코드 학습 경험을 제공하고자 했습니다.
SCW와 그 기능을 직접 확인한 후, 우리에게는 보다 실용적이고 상호작용적인 접근 방식이 정답임을 깨달았습니다. 엔지니어와 개발자들이 이 교육을 마치면 실제 문제에 대한 실질적인 이해도를 높일 수 있기를 바랐습니다. 우리는 이런 근육 기억을 키우고 싶었습니다: '이건 훈련에서 본 적이 있는 거야, 지금 보는 이 코딩 문제를 어떻게 접근해야 할지 알고 있어.' Secure Code Warrior 플랫폼은 엔지니어와 개발자가 직접 참여하여 안전한 코딩의 모범 사례가 무엇인지, 나쁜 코딩은 어떤 모습인지, 취약점을 신속하게 해결하는 방법을 진정으로 이해할 수 있는 환경을 Secure Code Warrior ."
Derek Fisher, Envestnet 제품 보안 책임자
액션
데릭은 특히 안전한 코딩 역량을 인증을 통해 보상하는 벨트 전략을 도입하는 데 큰 관심을 가졌습니다. 4단계로 구성된 이 프로그램은 보안 인식의 탄탄한 기반을 마련하는 것을 목표로 하며(1~2단계), 이후 개발자들이 보안 챔피언으로 성장할 수 있는 길을 열어줍니다(3~4단계). 이는 개발자들이 안전한 코딩 개념을 어떻게 유지하는지 측정할 수 없었던 문제를 해결하는 동시에, 보안에 관심이 있는 개발자들이 더 복잡한 보안 과제에 맞서 역량을 발전시킬 수 있는 경력 경로를 보장했습니다.
그들은 소규모 시범 프로젝트를 통해 이를 테스트하고 관련 개발자들의 의견을 요청했습니다. 피드백은 매우 긍정적이었습니다. 데릭은 다음과 같이 언급했습니다:
« 이러한 요소들이 항상 좋은 결과를 내는 것은 아닙니다. 훈련에 대한 긍정적인 피드백을 받을 때마다 이 점을 강조해도 지나치지 않습니다. 이는 흔치 않은 일입니다. 바로 그 도구가 적합하다는 좋은 지표입니다. »
엔베스트넷은 2021년 봄 첫 번째 대회를 개최했으며 개발자 참여 측면에서 더 긍정적인 결과를 기록했습니다. 데릭은 이후 데이터베이스, 프론트엔드, API 및 클라우드 개발자를 대상으로 LMS에 통합된 일련의 강좌를 출시했습니다. 엔베스트넷이 2021년 가을 두 번째 개발자 대회를 개최했을 때 참가 개발자 수는 두 배로 증가했습니다.
데릭에 따르면, 엔베스트넷은 토너먼트로 큰 성공을 거두었는데,
« 우리 모두는 경쟁이 동기 부여의 원천이라는 것을 알고 있습니다. 우리는 모두 동료들이 특정 분야에서 우리의 좋은 성과를 인정해주길 바라며, 이는 사람들이 이러한 대회에 참여하고 성공하도록 정말로 동기를 부여합니다. 이러한 점과 개발 도구로의 통합은 Secure Code Warrior 가치를 확실히 보여주었습니다. »
데릭과 팀은 또한 Secure Code Warrior 통합하여 특정 취약점이 재발할 경우 개발자가 익숙한 환경을 벗어나지 않고도 Jira 티켓 내에서 즉시 수정 지침에 접근할 수 있도록 작업했습니다. 이를 통해 개발자들은 취약점을 해결하는 방법에 대한 귀중한 맥락과 즉각적인 온디맨드 교육을 필요한 곳, 즉 영향 지점에서 바로 제공받을 수 있게 되었습니다. Derek의 팀은 또한 Secure Code Warrior 보안의 날을 Secure Code Warrior , 이를 통해 CEO의 더 폭넓은 지원을 확보하고 엔베스트넷의 성공에 있어 엔지니어링 및 보안 역할의 중요성을 강화할 수 있었습니다. 이러한 경영진과 개발자들의 적극적인 참여 덕분에 엔베스트넷은 현재의 프로그램 규모로 확장할 수 있었습니다. 현재 엔베스트넷은 선정된 모든 보안 챔피언을 프로그램에 등록했으며, 전체 팀의 60%가 레벨 1 또는 2 인증을 획득했습니다.
결과
Envestnet이 성공을 측정하는 방법 중 하나는 SCW 학습 경험을 이수한 팀들을 검토하고, 그들이 취약점을 덜 생성하거나 취약점을 더 빠르게 수정하는지 확인하는 것이었습니다. 그들이 발견한 결과는 인상적이었습니다:
- SCW에서 훈련받은 개발자들은 동료들보다 2.7배 더 많은 취약점을 수정했습니다.
- SCW에서 훈련받은 100명의 개발자가 단기간에 450개의 취약점을 수정했습니다.
- SCW에서 훈련받은 1,200명의 개발자들이 Envestnet의 각 작업 대기열에서 시정 조치를 120% 증가시키는 데 기여했습니다.
- 1년 동안 두 제품군에서 SCW 교육을 받은 개발자들은 취약점 관련 문제를 개발자당 4.5건의 비율로 해결한 반면, 동료 개발자들은 개발자당 1.82건에 그쳤다.
- 모든 보안 챔피언들은 2022년에 인증 프로그램을 이수했습니다.
- 보안 인식 개발자의 60% 이상이 레벨 1과 2를 거쳤습니다.
주요 포인트
데릭은 안전한 코드 학습 여정을 시작하는 초보자들에게 다음과 같은 조언을 제공합니다:
« 우리의 보안 업무는 조직 내 위험을 줄이는 데 있습니다. 이것이 우리의 진정한 목표이며 항상 추구하는 바입니다. 심각한 취약점이 가장 높은 위험을 나타내지 않거나 조직에 가장 큰 영향을 미치지 않을 수도 있습니다. 이는 낮은 위험과 높은 위험이라는 두 가지 중간 요소가 결합되어 훨씬 더 강력한 위협 사슬을 형성하는 것과 같습니다. 시간이 지남에 따라 취약점이 누적될수록 위험은 증가합니다. Secure Code Warrior 통해 선제적으로 대응하고, 안전한 코드에 대한 민첩한 학습을 통해 이러한 잠재적 취약점 사슬을 완화하는 적극적인 접근 방식을 채택할 수 있습니다. »
- 취약점을 테스트하고 보고하는 데 그치지 마십시오. 결국 개발자들에게 불필요한 소란만 일으키게 됩니다.
- 보안 개발은 개발자의 파트너가 되어야 하며, 안전한 코드 학습 전략을 실행하기 전에 그들의 동의를 확보해야 합니다.
- 로마는 하루아침에 건설되지 않았다. 귀사의 프로그램은 위험 프로필의 변화, 기업의 발전, 그리고 기술 및 도구의 진화에 따라 지속적으로 발전해야 합니다.
- 가장 효과적인 장기 전략은 주변 사람들의 보안 지능을 향상시켜 생성되는 취약점의 총량을 줄이는 것입니다.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 표시데모 예약하기
배경
엔베스트넷(Envestnet, Inc.)은 상장된 금융 기술 기업으로, 5조 3천억 달러의 자산과 1,850만 개 이상의 투자자 계좌를 보유하고 있습니다. 엔베스트넷의 사명은 모든 이의 재정적 안녕을 실현하기 위해 금융 자문가 및 서비스 제공업체에게 혁신적인 기술, 솔루션 및 정보를 제공하는 것입니다. 엔베스트넷은 전 세계 자산 관리 분야에서 금융 자문사가 활용하는 서비스와 소프트웨어를 통합한 선도적인 자문 플랫폼을 통해 자산 관리 기술 시장의 주요 기업으로 자리매김했습니다.
엔베스트넷은 데이터 관리 모범 사례를 위한 노력의 일환으로, 위험 기반의 지속적인 규정 준수 모니터링을 통해 자산 관리 플랫폼을 상시 감시합니다. 이를 통해 규정 준수 문제나 잠재적 결함을 신속하게 식별하고 해결합니다. 엔베스트넷은 서비스 제공 과정에서 최고 수준의 보안 조치를 도입함으로써 고객 데이터 보호 분야에서 선도적인 역할을 수행하고 있습니다.
Envestnet의 제품 보안 책임자이자 『애플리케이션 보안 매뉴얼』의 저자인 데릭 피셔가 Secure Code Warrior 개발자 팀을 위한 애자일 보안 코드 활성화로 취약점을 줄이는 종합적인 접근 Secure Code Warrior 어떻게 Secure Code Warrior 알아보세요. 데릭은 10년 이상 애플리케이션 보안 분야에서 활동하며 수많은 보안 성공 사례와 실패 사례를 목격해 왔으며, 엔베스트넷 개발자들을 위한 안전한 코드 학습 환경 구축에 독보적인 전문성을 기여하고 있습니다.
상황
데릭이 애플리케이션 보안 분야에서 처음 업무를 시작했을 때, 그는 OWASP 상위 10개 취약점 목록과 기본적인 규정 준수 교육 이상의 것을 원했습니다. 그들은 일부 보안 SDLC 프로세스를 갖추고 있었지만, 주로 취약점 탐지에 초점을 맞추고 있었으며 근본적인 해결은 반드시 이루어지지 않았습니다.
데릭에 따르면, "우리 모두는 모든 조직에서 매년 받아야 하는 규정 준수 교육에 대해 잘 알고 있습니다. 일반적으로 제가 '파워포인트로 인한 죽음'이라고 부르는, 수많은 슬라이드와 아마도 마지막에 평가가 있는 그런 교육이죠... 이는 정말 비효율적이고 시간을 많이 잡아먹습니다. 저희도 교육을 받았지만, 일반적인 규정 준수 교육에 기반한 것이었고, 슬라이드와 오디오 녹음으로 진행되는 보안 관련 특정 교육이었습니다. 개발자들이 그다지 적극적으로 참여하지 않고 자료에서 많은 것을 배우지 못한다는 점을 발견했습니다. 그래서 저희는 전략을 변경해야 했습니다."
OWASP 기반의 단순한 규정 준수 중심 수동적 교육으로 개발자를 양성하는 이러한 전통적인 전략은 데릭과 그의 팀에게 특히 고통스러웠습니다. 교육의 효과를 측정할 수 없었기 때문에 취약점 관리에 점점 더 많은 시간을 할애해야 했기 때문입니다.
데릭은 취약점의 근원, 즉 개발자들이 생산 환경에 배포한 비보안 코드를 검토하는 것이 중요하며, 단순히 추가 도구를 도입하는 것만으로는 해결책이 될 수 없다고 인정했다.
데릭과 그의 팀은 2020년에 취약점 완화에 집중하여 초기 단계부터 보다 안전한 코드를 작성하는 것을 목표로 삼았습니다. 데릭과 그의 팀은 SDLC(소프트웨어 개발 수명주기)의 훨씬 초기 단계에서 취약점을 처리하고 수정하는 '좌측 전환(shift left)' 전략을 채택했습니다. 이 시기에는 수정 비용이 현저히 낮았기 때문입니다.
그러나 무엇보다도, 그들은 기존 App Sectraining에 대한 개발자들의 역사적으로 낮은 참여도에 직면해야 했습니다. 그는 단순히 '체크리스트' 식 사고방식을 코드 보안 학습 전략에 도입하는 것을 피하고, Envestnet 개발자들에게 더 효과적이고 민첩한 보안 코드 학습 경험을 제공하고자 했습니다.
SCW와 그 기능을 직접 확인한 후, 우리에게는 보다 실용적이고 상호작용적인 접근 방식이 정답임을 깨달았습니다. 엔지니어와 개발자들이 이 교육을 마치면 실제 문제에 대한 실질적인 이해도를 높일 수 있기를 바랐습니다. 우리는 이런 근육 기억을 키우고 싶었습니다: '이건 훈련에서 본 적이 있는 거야, 지금 보는 이 코딩 문제를 어떻게 접근해야 할지 알고 있어.' Secure Code Warrior 플랫폼은 엔지니어와 개발자가 직접 참여하여 안전한 코딩의 모범 사례가 무엇인지, 나쁜 코딩은 어떤 모습인지, 취약점을 신속하게 해결하는 방법을 진정으로 이해할 수 있는 환경을 Secure Code Warrior ."
Derek Fisher, Envestnet 제품 보안 책임자
액션
데릭은 특히 안전한 코딩 역량을 인증을 통해 보상하는 벨트 전략을 도입하는 데 큰 관심을 가졌습니다. 4단계로 구성된 이 프로그램은 보안 인식의 탄탄한 기반을 마련하는 것을 목표로 하며(1~2단계), 이후 개발자들이 보안 챔피언으로 성장할 수 있는 길을 열어줍니다(3~4단계). 이는 개발자들이 안전한 코딩 개념을 어떻게 유지하는지 측정할 수 없었던 문제를 해결하는 동시에, 보안에 관심이 있는 개발자들이 더 복잡한 보안 과제에 맞서 역량을 발전시킬 수 있는 경력 경로를 보장했습니다.
그들은 소규모 시범 프로젝트를 통해 이를 테스트하고 관련 개발자들의 의견을 요청했습니다. 피드백은 매우 긍정적이었습니다. 데릭은 다음과 같이 언급했습니다:
« 이러한 요소들이 항상 좋은 결과를 내는 것은 아닙니다. 훈련에 대한 긍정적인 피드백을 받을 때마다 이 점을 강조해도 지나치지 않습니다. 이는 흔치 않은 일입니다. 바로 그 도구가 적합하다는 좋은 지표입니다. »
엔베스트넷은 2021년 봄 첫 번째 대회를 개최했으며 개발자 참여 측면에서 더 긍정적인 결과를 기록했습니다. 데릭은 이후 데이터베이스, 프론트엔드, API 및 클라우드 개발자를 대상으로 LMS에 통합된 일련의 강좌를 출시했습니다. 엔베스트넷이 2021년 가을 두 번째 개발자 대회를 개최했을 때 참가 개발자 수는 두 배로 증가했습니다.
데릭에 따르면, 엔베스트넷은 토너먼트로 큰 성공을 거두었는데,
« 우리 모두는 경쟁이 동기 부여의 원천이라는 것을 알고 있습니다. 우리는 모두 동료들이 특정 분야에서 우리의 좋은 성과를 인정해주길 바라며, 이는 사람들이 이러한 대회에 참여하고 성공하도록 정말로 동기를 부여합니다. 이러한 점과 개발 도구로의 통합은 Secure Code Warrior 가치를 확실히 보여주었습니다. »
데릭과 팀은 또한 Secure Code Warrior 통합하여 특정 취약점이 재발할 경우 개발자가 익숙한 환경을 벗어나지 않고도 Jira 티켓 내에서 즉시 수정 지침에 접근할 수 있도록 작업했습니다. 이를 통해 개발자들은 취약점을 해결하는 방법에 대한 귀중한 맥락과 즉각적인 온디맨드 교육을 필요한 곳, 즉 영향 지점에서 바로 제공받을 수 있게 되었습니다. Derek의 팀은 또한 Secure Code Warrior 보안의 날을 Secure Code Warrior , 이를 통해 CEO의 더 폭넓은 지원을 확보하고 엔베스트넷의 성공에 있어 엔지니어링 및 보안 역할의 중요성을 강화할 수 있었습니다. 이러한 경영진과 개발자들의 적극적인 참여 덕분에 엔베스트넷은 현재의 프로그램 규모로 확장할 수 있었습니다. 현재 엔베스트넷은 선정된 모든 보안 챔피언을 프로그램에 등록했으며, 전체 팀의 60%가 레벨 1 또는 2 인증을 획득했습니다.
결과
Envestnet이 성공을 측정하는 방법 중 하나는 SCW 학습 경험을 이수한 팀들을 검토하고, 그들이 취약점을 덜 생성하거나 취약점을 더 빠르게 수정하는지 확인하는 것이었습니다. 그들이 발견한 결과는 인상적이었습니다:
- SCW에서 훈련받은 개발자들은 동료들보다 2.7배 더 많은 취약점을 수정했습니다.
- SCW에서 훈련받은 100명의 개발자가 단기간에 450개의 취약점을 수정했습니다.
- SCW에서 훈련받은 1,200명의 개발자들이 Envestnet의 각 작업 대기열에서 시정 조치를 120% 증가시키는 데 기여했습니다.
- 1년 동안 두 제품군에서 SCW 교육을 받은 개발자들은 취약점 관련 문제를 개발자당 4.5건의 비율로 해결한 반면, 동료 개발자들은 개발자당 1.82건에 그쳤다.
- 모든 보안 챔피언들은 2022년에 인증 프로그램을 이수했습니다.
- 보안 인식 개발자의 60% 이상이 레벨 1과 2를 거쳤습니다.
주요 포인트
데릭은 안전한 코드 학습 여정을 시작하는 초보자들에게 다음과 같은 조언을 제공합니다:
« 우리의 보안 업무는 조직 내 위험을 줄이는 데 있습니다. 이것이 우리의 진정한 목표이며 항상 추구하는 바입니다. 심각한 취약점이 가장 높은 위험을 나타내지 않거나 조직에 가장 큰 영향을 미치지 않을 수도 있습니다. 이는 낮은 위험과 높은 위험이라는 두 가지 중간 요소가 결합되어 훨씬 더 강력한 위협 사슬을 형성하는 것과 같습니다. 시간이 지남에 따라 취약점이 누적될수록 위험은 증가합니다. Secure Code Warrior 통해 선제적으로 대응하고, 안전한 코드에 대한 민첩한 학습을 통해 이러한 잠재적 취약점 사슬을 완화하는 적극적인 접근 방식을 채택할 수 있습니다. »
- 취약점을 테스트하고 보고하는 데 그치지 마십시오. 결국 개발자들에게 불필요한 소란만 일으키게 됩니다.
- 보안 개발은 개발자의 파트너가 되어야 하며, 안전한 코드 학습 전략을 실행하기 전에 그들의 동의를 확보해야 합니다.
- 로마는 하루아침에 건설되지 않았다. 귀사의 프로그램은 위험 프로필의 변화, 기업의 발전, 그리고 기술 및 도구의 진화에 따라 지속적으로 발전해야 합니다.
- 가장 효과적인 장기 전략은 주변 사람들의 보안 지능을 향상시켜 생성되는 취약점의 총량을 줄이는 것입니다.
목차
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Télécharger
%20(1).avif)
.avif)
