보안 코드 인사이트

애플리케이션 보안 관리자, CISO, CIO, 사이버 보안 전문가 등, 제 자신의 소프트웨어 개발 및 보안 경력 속에서 전 세계 다양한 기업에서 근무하는 그들 다수와 이야기를 나누어 왔습니다.

상황이 아무리 달라지고, 팀이 아무리 경험을 쌓아도, 이 끊임없이 변화하는 디지털 세계에서 시간이 얼마나 흘러도, 항상 변하지 않는 문제가 하나 있습니다. 바로 개발 팀을 보안에 적극적으로 참여시키는 일이 거의 없다는 점입니다. 보안은 여전히 금기시되는 주제이며, 팀 간 갈등과 업계 내부의 골칫거리로 남아 있습니다.

그러나 소프트웨어 보안은 우리의 일반적인 사고방식으로는 이 길을 계속 걸어가기에는 너무나 중요합니다. 보안을 모든 개발자의 업무에서 빼놓을 수 없는 요소로 만들기 위해 우리는 논의를 바꿔야 합니다. 이를 위한 최선의 방법 중 하나는 게임화 등을 통해 개발자에게 보안에 대한 권한을 부여하고 참여시키는 것이라고 생각합니다.

현재의 풍경

개발자들은 안전한 코드 제공에 관한 실무 지식을 거의 갖추지 못한 채 대학을 졸업하고, 보안 교육이 우선시되는 경우가 거의 없는 직종에 종사합니다(우선시된다 해도 대개 건강 및 안전 관련 필수 규정 준수 교육 영상의 일부로, 지루하기 짝이 없어 안전한 코딩에 관심 가질 사람은 아무도 없을 것입니다). 대다수의 경우 보안에 대한 첫 경험은 감사나 테스트 버그 리포트를 통해 이루어지는데, 이로 인해 향후 출시가 갑작스럽게 중단되면서창의력이 순식간에 최우선순위로 중단되는 경험을 하게 됩니다. 그들은 보안 보고 담당자와 대립하는 관계에 있기 때문에, 그들의 마음속에서 '보안'은 '비판'과 동의어가 되어버렸습니다. 빌어먹을.

솔직히 말해서, 소프트웨어 보안에 대한 이런 부정적인 인식이 널리 퍼져 있다는 점이 정말 안타깝습니다. 결국 제 경력에서 가장 좋은 추억 중 일부는 소프트웨어 보안을 배운 것과 관련된 것들입니다. 해킹을 시작한 초창기 시절을 컨퍼런스에 참석하며 보냈습니다. 그곳에서는 동료들과 제 실력을 시험해보고(솔직히 말하면, 조금 과시하기도 했지만) 소프트웨어를 파괴하는 것을 저만큼이나 즐기는 뜻을 함께하는 사람들을 만날 수 있어서 정말 즐거웠습니다.

BruCon, DefCon, BlackHat... 이러한 행사들은 저 같은 사람들이 우호적인 경쟁 속에서 자신의 기술을 발휘할 기회를 제공했습니다. 물론 이런 반사회적 활동에 참여했다는 건 절대 인정하지 않지만, 그중에는 다른 참가자의 휴대폰에 침입해 프레젠테이션 화면에 정보를 띄워 모두에게 보여주며 해킹 실력을 과시하는 사람들도 있었습니다. 소프트웨어를 더 나은 방향으로 만들기 위해 이런 결함을 찾아내고 악용하여 수정하는 것이 하나의 게임이 된 셈이죠.몇 년 전, 저는 중동의 수백 명의 아이들 앞에서 사이버 보안에 대해 가르칠 기회를 얻었습니다. 지금도 학생들 중 8살짜리 소녀가 게임을 하면서 패스워드 무차별 대입 공격과 base64 인코딩을 배웠던 일이 생생히 기억납니다.

게이미피케이션은 코딩 기술 교육에도 활용됩니다. 전 세계 교육 기관들이 이 접근법을 이용해 고등학생부터 아주 어린 아이들에게까지 코딩을 가르치고 있습니다. 이제는 4살짜리 아이들도 정기적으로 다음과 같은 휴가 프로그램에 참여합니다. 코드캠프, 그리고 아이들에게 파이썬이나 다른 언어로 코딩하는 법을 가르치는 훌륭한 온라인 프로그램이 많이 있습니다. 스크린 없는 코딩 도구인 큐벳이라는훌륭한 도구도 구입했습니다. 제 4살짜리 딸을 위해요.

그러나 이러한 즐거움과 진보에도 불구하고, 간극이 존재합니다. 게이미피케이션을 활용해 개발자에게 안전한 코드를 작성하는 방법을 가르칠 가능성에 대해서는 아무도 생각하지 않았습니다.

음... 거의 아무도 없습니다. 몇 년 전, 보안 분야를 다시 흥미롭게 만들고 개발자들이 참여해 플레이를 시작할 동기를 부여할 필요가 있다는 점을 깨달았습니다.

게이미피케이션: 간단한 방법.

저에게는 개발자들의 보안 지식을 향상시키고 그들에게 힘을 실어주고 싶은 강한 열망이 있으며, 바로 이 열정이 Secure Code Warrior를 개발하게 된 계기였습니다. 소프트웨어 보안은 매우 중요할 뿐만 아니라 정말 흥미진진한 분야이기도 합니다.

생각하고 있는 것은 저만이 아닙니다.

게이미피케이션은 평범한 작업을 훨씬 더 재미있게 만들어 사람들이 계속 플레이하고, 승리하고, 진전하고 싶어 할 정도로 지루함을 느끼지 않게 합니다. 포켓몬 고의 방식을 보세요! 가장 게으른 사람조차도 야외에서 상상의 생물을 찾거나, 핏빗이 걸음 수 목표를 달성하는 것이 많은 사람들의 일일 목표가 되었습니다... 이러한 목표가 달성되지 않고 연승이 끝나고 배지를 획득하지 못하면 매우 실망감이 밀려옵니다.

자, 이제 보안 교육으로 돌아가 보겠습니다. 우리는 많은 고객사에게 게임화가 조직의 보안 문화를 진정으로 변화시키고, 애플리케이션 보안 팀과 개발 팀 간의 가교 역할을 하며, 전반적으로 높은 수준의 소프트웨어 구축을 지원하는 데 중요하다는 점을 입증해 왔습니다.

현재로서는 보안이 개발자의 최우선 과제가 아닙니다. 친근하고 경쟁력 있으며 매력적인 요소를 훈련 방법에 추가함으로써, 단순히 '플레이'하는 것뿐만 아니라 더 많은 점수를 획득하고, 최고 기록을 깨고, 더 정확해지며, 동료 팀원들에게 도전하기 위해 다시 돌아오려는 동기를 높일 수 있습니다.

훈련이 성공하면 다음과 같은 결과가 나온다는 것은 이미 알고 있습니다.

• 개발자는 실제 코드나 자체 언어/프레임워크로 작업할 수 있습니다
• 과제는 짧으며, 일반적인 보안 취약점을 모두 포괄하고 있습니다.
• 도전은 지속적으로 확장 및 업데이트되므로 개발자는 시간을 들여 지속적으로 기술을 연마할 수 있습니다.
• 과제의 복잡성은 다양하기 때문에, 상급 개발자와 경험이 적은 개발자 모두에게 매력적입니다.
• 개발자와 그 매니저는 완료된 과제, 장점과 단점, 훈련에 소요된 시간, 전반적인 정확도 등 진행 상황을 확인할 수 있습니다.

한 대형 클라이언트는 게임화 플랫폼의 진정한 매력을 선보이며, 개발자들에게 테마별 팀 기어를 제공하고 게임 승자에게 훌륭한 상품을 제공함으로써 토너먼트를 정말 잊지 못할 경험으로 만들었습니다. 그 이후로 그들은 국제 대회를 개최해 왔으며, 지금도 팀 전체가 진지한 훈련 시간을 투자하고 있습니다.

당신의 소프트웨어 혁명은 여기서 시작됩니다. 호주 은행 업계는 기존(또는 지루한) 교육 방식을 뒤집는 진정으로 혁신적인 접근법으로, 불량 코드와의 싸움에서 게임화 교육 도입을 선도하고 있습니다. 고객사가 그 교육에서 무엇을 했는지 확인해 보세요. 다음 단계의 토너먼트. 준비되셨나요? 팀을 레벨업하세요. 우리와 함께?

우리는 주제를 전환하여 보안을 모든 개발자의 업무에 필수적인 요소로 만들어야 합니다. 이를 위한 최선의 방법 중 하나는 게임화 등을 통해 개발자에게 보안에 대한 권한을 부여하고 참여시키는 것이라고 생각합니다.

9월 3일, 저와 팀의 몇몇 멤버들은 주최 측의 훌륭한 보안 어워드 컨퍼런스에 참석했습니다. CSO 오스트레일리아. 오스트레일리아에서 처음으로 개최된 2019 여성 보안 어워드는인 보안 어워드는 업계에서 가장 높이 평가받는 보안 전문가들의 훌륭한 결집체였습니다. 이는 사이버 보안 분야에서 여성의 기여를 축하하는 동시에, 종종 주목받지 못하지만 훌륭한 일을 해내는 여성들이 키워낸 탁월한 재능과 혁신성을 소개하기 위한 오랫동안 기다려온 플랫폼이기도 했습니다.

시큐어 코드 워리어의 고객 성공 담당 부사장(일명 최고 멋진 사람)인 파테마 베이둔은 그날의 핵심 인물이었다고 해도 과언이 아닙니다. 그녀는 자신의 강연을 진행하며 미래를 위한 멘토링: 여성 사이버 보안 인재를 양성하기 위해 우리 모두가 더 잘할 수 있는 방법 매우 호의적인 청중 앞에서 12분이라는 시간은 그녀가 우리와 사이버 보안 업계 전체에 수년간 미친 영향을 충분히 드러내기에는 부족했지만, 그녀는 중대한 긍정적 변화를 목격해 왔습니다(말할 필요도 없이).

보다 포용적인 접근법.

「이 업계에서 커리어를 시작했을 때, 저는 배속된 팀에서 소수의 여성 중 한 명이었습니다」라고 파테마는 말합니다. 네트워킹 기회의 대부분은 남성 중심이었기 때문에 참여하여 적절한 인재를 만나고 비즈니스에 중요한 가치를 보여주는 것은 어려웠습니다. 저는 그 흐름을 바꾸고 가능한 한 포용적인 공간을 만들려고 노력했습니다.

예를 들어, 저는 업계 행사에 자주 참석했지만 많은 기업 부스에서는 부스에 관심을 끌기 위해 프로모션 모델을 고용하고 있었습니다. 이론적으로는 문제가 없었지만, 저는 분명히 타겟 시장이 아니었기에 종종 무시당했습니다. 저는 경력 초기에 행사 운영을 담당했습니다. 그리고 우리가 제공하는 서비스에 관심을 끌기 위해 더 포용적이고 즐거운 방법을 생각해내겠다고 다짐했습니다」라고 그녀는 말했습니다.

파테마와 저는 오랫동안 함께 일해왔으며, 그녀는 우리가 사업을 확장해온 과정에서 포용성과 다양성을 꾸준히 옹호해왔습니다. 이는 팀 내 여성의 진로를 확대하고, 중요한 기여가 인정받으며, 다양한 접근법, 의견, 삶의 경험으로 동료들이 강화되는 결과로 이어졌습니다.

「물론, 아무도 겉모습만 여성인 척하고 싶어 하진 않아요」라고 파테마가 말했다. 「하지만 문제는 다양성이 낮은 경영진 중에는 개인적으로 공감할 수 있는, 자신과 비슷한 사람에게 리더십을 넘겨주는 경향이 있다는 점입니다. 같은 경영진도 성과와 역량에 기반한 조건으로 여성이 기여함으로써 혜택을 볼 수 있지만, 대개 그들의 의견을 듣기란 쉽지 않습니다.경영 관리 팀이 다양성이 가져다주는 강점(그리고 그것은 성별을 넘어선다)을 깨닫게 되면, 그런 길을 개척하고 조직을 위해 훌륭한 일을 할 준비가 되어 있고 의욕적이며 능력 있는 여성의 승진을 시작하려는 경향이 종종 있습니다」라고 그녀는 말했다.

직장 내 유연성: 성공의 핵심 요소

자신의 회사를 시작했을 때, 팀 멤버들이 숨 쉴 여유가 있을 때 최고의 성과를 낼 수 있다는 것을 곧 깨달았습니다. 유연성은 누구에게나 중요하지만, 일하는 가족을 지원하는 정책은 핵심 인재를 유지하는 데 도움이 됩니다.

여기서 처음 도입된 정책 중 하나는 영아 동반 근무 정책이었습니다. 이는 신생아를 더 빨리 직장에 복귀시킬 수 있도록, 필요한 유연성을 제공하고 판단을 두려워하지 않고 영아를 직장에 데려갈 수 있게 하기 위한 것입니다.

「어머니가 되는 것과 커리어 중 하나를 선택하고 싶지 않았어요. 어린 아들을 직장에 데려갈 수 있었던 것은 지지받고 소중히 여겨진다는 느낌을 주었기에 매우 긍정적인 변화였죠」라고 파테마는 말했다. 「제 능력은 출산 후에도 사라지지 않아요. 게다가 스타트업 창립 멤버니까, 다시 돌아오고 싶을 뿐이에요!」

그녀도 가지고 있습니다 ABC 뉴스에 말했습니다 유연근무제의 장점에 대해:

멘토 문화가 활발한가요?

훌륭한 커리어를 시작하고 그 추진력을 유지하기 위해 멘토를 두는 것은 그들에게 훌륭한 아이디어입니다. IT, 사이버 보안, 남성 중심의 많은 분야에서는 경영진 수준의 여성들이 남성들에 비해 상당히 불균형한 상태이기 때문에 다소 어려울 수 있습니다.

여성들이 지도적 위치에서 '자신'을 발견하는 것은 중요하지만, 남성들도 팀 내 현명한 여성들을 끌어올리고 가능한 경우 멘토로 참여함으로써 지원할 수 있습니다.

"리더십 팀은 조직의 다양화에 큰 영향을 미칠 뿐만 아니라, 우수한 여성들이 다른 누구보다도 적합한 평가와 경력 경로를 확실히 얻을 수 있도록 할 수도 있습니다. 제트스타의 사이버 보안 책임자인 이베트 루진스 씨를 통해 실제로 그 모습을 목격했습니다. 그녀는 여성의 옹호자이며, 자신의 성공과 노력을 통해 그 성과를 이루어냈고, 다른 여성들이 자신감을 가지고 최고를 목표로 삼도록 돕고 있습니다"라고 파테마는 말합니다.

현재 우리는 Secure Code Warrior가 직원 100명을 달성한 것을 축하한 지 얼마 되지 않았습니다. 전사적으로 여성 비율이 50%를 넘은 것을 자랑스럽게 생각합니다. Fatemah는 모든 이에게 훌륭한 롤모델이자 멘토입니다.

모든 기업은 팀의 다양성에서 헤아릴 수 없는 강점을 지닙니다. 뛰어난 아이디어를 더 뛰어난 아이디어로 바꾸기 위해 필요한 비결은 다양한 분야의 다양한 의견입니다. 늘 그렇듯, 우리는 함께할 때 더욱 강해집니다.

바퀴벌레는 기본적으로 무엇이든 견뎌내고 살아남을 수 있다는 잘 알려진 이론이 있습니다. 핵폭발조차도 견딜 수 있다는 것입니다. 이 이론은 어느 정도까지만 적용되지만, 단순한 신체 구조 덕분에 몸집에 비해 매우 튼튼하며 대부분의 조건에서 박멸하기 어렵습니다.

오랫동안 생각해왔는데... 디지털 세계에서 바퀴벌레에 필적할 만한 것이 있다면, 그것은 코드 내 SQL 인젝션(SQLi) 취약점일 것입니다.이 취약점은 20년 이상 전부터 알려져 왔음에도 불구하고, 조직들은 계속해서 그 피해를 입고 있습니다. 광범위하게 퍼진 사례는 비용이 많이 드는 표적 공격과 마찬가지로 SQL 인젝션의 결과였습니다. 일리노이주 선거 해킹 사건에서는 20만 건의 유권자 기록이 유출되어 FBI가 모든 IT 관리자들에게 보안 강화 조치를 신속히 취할 것을 권고했습니다.

임퍼바의 해커 인텔리전스 이니셔티브 보고서에 따르면, 2005년부터 2011년 사이에 보고된 모든 데이터 침해 사건의 83%에서 SQLi 공격이 사용된 것으로 밝혀졌습니다. 오늘날에도 인젝션 취약점은 여전히 세계 최대의 위협으로 남아 있습니다. OWASP Top 10에포함된 이 취약점들은 비교적 단순하지만, 결코 사라지지 않습니다.

이와 동일한 취약점이 아직도 상당수의 애플리케이션 보안 스캔에서 발견되고 있다는 것은 터무니없는 일입니다. 우리는 그 메커니즘과 차단 방법을 알고 있습니다. 어떻게 그런 일이 가능할까요? 사실, 우리 소프트웨어 보안에는 개선의 여지가 매우 많습니다.

벨라코드 소프트웨어 보안 현황 보고서 - 2017년 40만 건의 애플리케이션 스캔 기반」이라는 놀라운 통계가 밝혀졌습니다. OWASP 상위 10대 정책을 통과한 애플리케이션은 고작 30%에 불과했습니다. 이는 지난 5년간 지속된 현상으로, 새로 스캔된 애플리케이션의 거의 3분의 1에서 SQL 인젝션이 사용되고 있습니다.이는 만연한 문제의 증거입니다. 우리는 자신의 실수로부터 배우지 못하고 있으며, CISO는 충분한 보안 인력을 확보하는 데 고군분투하고 있는 것으로 보입니다. 일반적으로 애플리케이션 보안 전문가와 개발자의 비율이 1:100인 것은 불충분합니다.

생명 유지 장치에 소프트웨어 보안이 채택된 이유는 무엇입니까?

보안 전문가가 부족하다는 것은 잘 알려진 사실이지만, 개발자들은 문제가 발생해도 수정하지 않고 있으며, 애초에 취약점을 도입하지 않도록 하는 체계가 마련되어 있지 않다는 점이 분명합니다. 동일한 Veracode 보고서에 따르면, 모든 개발 취약점 중 완화 조치가 문서화된 경우는 고작 14.4%에 불과한 것으로 나타났습니다. 즉, 대부분의 취약점은 개발 완화 조치 없이 제출되었다는 의미입니다.첫 90일 이내에 해결된 취약점은 3분의 1 미만이었으며, 개발 기간 내에 해결되지 않은 취약점은 42%에 달했습니다.

저는 항상 보안 전문가, CISO, CEO와 이야기를 나누는데, 일화지만 많은 기업들이 (오탐지라는 비극에 더해) 발견된 완화 불가능한 취약점의 수에 불만을 느끼고, 스캔을 완전히 중단한 채 최선의 결과를 기대하고 있다는 사실을 깨달았습니다.

왜 애플리케이션 보안 전문가는 이러한 사태를 초래하는 것일까요?

틀림없습니다. AppSec 담당자들은 코드 내 문제를 깊이 인식하고 있습니다. 결국 그것이 그들의 핵심 역량 중 하나이며, 그들을 매우 귀중한 팀 리소스로 만드는 요소입니다. 그러나 그들은 종종 몇 가지 요인에 의해 방해를 받습니다.

예를 들어, 애플리케이션 보안 관리자가 문제를 발견하고 개발자에게 "코드를 수정할 수 있나요?"라고 묻습니다. 이 중요한 질문에 대한 답변은 조직마다 다르지만, 일반적으로 개발자는 엄격한 기능 제공 스프린트에 대응하느라 바쁘기 때문에 문제를 해결할 시간도, 지원할 적절한 도구도 없습니다. 애플리케이션 보안 전문가 자신은 취약점을 식별할 수 있을지 모르지만, 대부분의 경우 현장에서 바로 수정할 수 있는 기술이나 접근 권한이 없습니다.

또한 모든 문제에는 해결책을 찾아 구현하고 테스트하는 과정이 있다는 점을 인지해야 합니다. 코드에서 발견된 아주 사소한 문제라도 필요한 자원은 물론이고 수정하는 데 드는 시간은 헤아릴 수 없습니다.소프트웨어에는 700개가 넘는 취약점이 존재하지만, 한 사람이 그 모든 것을 방어하는 것은 불가능합니다. 대부분의 기업이 OWASP Top 10에만 집착하는 이유가 바로 여기에 있습니다. 그 동안 개발자들은 계속해서 기능을 구축하고, 결국 자신이 작성한 코드에 취약점을 계속해서 포함시키게 됩니다.

해결책은 무엇인가?

단순한 사실은, 보안 코딩을 성공적으로 수행하기 위한 도구나 교육을 개발자에게 제공하지 않는다는 점입니다. 개발자에게 충분한 보안 기술을 습득하도록 조직이 강제하는 규제도 없습니다. 또한 대부분의 대학이나 인턴십 프로그램이 주니어 개발자가 안전하게 코딩할 수 있도록 준비시키지 않는다는 점도 안타까운 현실입니다.

누군가 비행기를 조종하고 싶다면, 비행 전에 훈련, 실무 경험, 건강 진단, 안전 지식, 시험을 반드시 거쳐야 하는 매우 엄격한 절차가 있습니다. 이러한 철저한 준비와 기술 검증 없이 하늘에 내던져진다는 것은 아무도 상상하지 못하지만, 코드 작성에서는 일상적으로 이런 일이 벌어지고 있습니다.

개발자가 안전한 코드를 작성할 수 있도록 교육하는 데 시간을 투자해야 합니다. 그러나 소프트웨어 개발 속도가 빠르고 우수한 개발자와 보안 전문가가 부족한 오늘날의 세상에서는 이것이 우선순위가 될 수 없을 것 같습니다. 지금이 바로 대화를 바꿀 때입니다.

세계경제포럼의 최근 헤드라인은 "보안 없이는 디지털 경제가 존재할 수 없다"고 강조하며, 관련 콘텐츠에서는 보안이 모든 디지털 전환 전략의 핵심이 되어야 한다고 주장합니다. "보안은 기업을 보호할 뿐만 아니라 기업이 혁신을 일으키고 새로운 제품과 서비스를 구축할 수 있도록 합니다. 보안은 방어적인 역할에 머무르지 않고 전략적 성장에서 기업에 우위를 가져다줍니다."

안전한 코딩 기술과 성과를 향상시킴으로써 조직에 강력한 사이버 보호 장치가 추가되고, 더 우수하고 더 빠른 코드를 작성할 수 있게 됩니다. 개발자가 보안 전문가가 될 필요는 없지만,사이버 공격에 대한 방어의 최전선에 서기 위해서는 적극적이고 실천적인 권한이 필요합니다. 개발자는 보안과 혁신의 차세대 주역이 될 수 있습니다. 그들은 매우 똑똑한 사람들로서 창의적인 문제 해결사이며, 일반적으로 기술 향상에 열정적입니다. 그들에게 적합한 전문적인 교육을 통해 그들의 강점을 살리고, 더 높은 소프트웨어 보안 기준에 도전하도록 하십시오. 백서 읽기 더 알아보기.

누군가 비행기를 조종하고 싶다면, 비행 전에 훈련, 실무 경험, 건강 진단, 안전 지식, 시험을 반드시 거쳐야 하는 매우 엄격한 절차가 있습니다. 이러한 철저한 준비와 기술 검증 없이 하늘에 내던져진다는 것은 아무도 상상하지 못하지만, 코드 작성에서는 일상적으로 이런 일이 벌어지고 있습니다.

대중문화에는 악당 AI나 로봇, 그리고 인간의 주인을 공격하는 가전제품에 대한 언급이 많습니다. 공상과학의 재미와 환상이 깊게 스며들어 있지만,IoT 및 커넥티드 디바이스가 가정에서 보편화됨에 따라 사이버 보안과 안전에 관한 논의 역시 확산되어야 합니다. 소프트웨어는 우리 주변 어디에나 존재하며, 혁신과 편의성을 가져다주는 모든 정교한 작업을 수행하기 위해 얼마나 많은 코드 줄에 의존하는지 우리는 종종 잊곤 합니다. 웹 기반 소프트웨어, API, 모바일 기기와 마찬가지로 임베디드 시스템 내 취약한 코드는 공격자가 실제로 발견할 경우 악용될 수 있습니다.

마이크로파 군대가 인류를 노예로 만들 가능성은 낮지만(다만 테슬라봇은 조금 걱정스럽습니다), 사이버 공격의 결과로 악의적인 사이버 사건이 발생할 가능성은 여전히 존재합니다. 우리의 자동차, 비행기, 의료 기기 중에는 중요한 작업을 수행하기 위해 복잡한 임베디드 시스템 코드에 의존하는 것들도 있으며, 이러한 대상들이 침해당할 가능성은 우려할 만한 수준을 넘어 생명을 위협할 수 있습니다.

세상에 유통되는 다른 종류의 소프트웨어와 마찬가지로, 개발자는 제작 단계의 초기에 코드를 접합니다. 그리고 다른 모든 종류의 소프트웨어와 마찬가지로, 이 코드 역시 제품이 공개되기 전에 발견되지 않을 수 있는 교묘하고 흔한 취약점의 온상이 될 수 있습니다.

개발자는 보안 전문가가 아니므로, 어떤 기업도 그들에게 그러한 역할을 기대해서는 안 됩니다. 그러나 개발자는 자신과 관련된 유형의 위협에 대처하기 위한 훨씬 강력한 무기를 갖출 수 있습니다. 기술적 요구사항이 지속적으로 진화함에 따라, 임베디드 시스템(일반적으로 C나 C++로 작성됨)이 더 빈번하게 사용되고 있으며, 이러한 환경의 도구에 대한 개발자 대상의 전문적인 보안 교육이 필수적입니다.

폭발하는 에어프라이어, 악당 차량... 앉아 있는 건 오리인가?

그러나 모든 보안 개발 관련 표준과 규정이 우리의 안전을 지키기 위해서는 모든 종류의 소프트웨어 보안을 향한 보다 정확하고 의미 있는 진전이 필요합니다. 누군가가 에어플라이어를 해킹함으로써 발생하는 문제를 상상하는 것은 터무니없어 보일 수 있지만, 실제로 발생한 원격 코드 실행 공격(공격자가 온도를 위험한 수준까지 상승시킬 수 있게 하는) 형태의 차량 탈취로 이어지는 취약점 역시 마찬가지입니다.

특히 차량은 특히 복잡하며, 여러 내장 시스템이 탑재되어 각각 자동 와이퍼부터 엔진 및 브레이크 기능에 이르기까지 모든 미세한 기능을 처리합니다. Wi-Fi, Bluetooth, GPS 등 계속 증가하는 통신 기술 스택과 얽힌 커넥티드 비클은 여러 공격 경로에 노출된 복잡한 디지털 인프라가 되었습니다. 그리고 2023년까지 전 세계적으로 7,630만 대의 커넥티드 카가 도로를 달릴 것으로 예상되며, 이는 진정한 안전을 구축하기 위한 방어 기반의 단일한 토대입니다.

미슬라 (Misra )는 임베디드 시스템의 코드 안전성, 보안성, 이식성, 신뢰성을 촉진하기 위한 가이드라인을 수립하고 임베디드 시스템 위협과의 싸움에 적극적으로 임하는 주요 기관입니다. 이러한 가이드라인은 모든 기업이 임베디드 시스템 프로젝트에서 지향해야 할 기준의 북극성입니다.

그러나 이 골드 스탠다드에 부합하는 코드를 작성하고 실행하기 위해서는 보안에 대한 인식은 물론, 도구에 대한 확신을 가진 임베디드 시스템 엔지니어가 필요합니다.

임베디드 시스템 보안 기술 향상은 왜 그렇게 구체적인가요?

C 및 C++ 프로그래밍 언어는 오늘날의 기준으로 노년층을 위한 언어이지만, 여전히 널리 사용되고 있습니다. 임베디드 C/C++는 임베디드 시스템 코드베이스 기능의 핵심을 형성하며, 임베디드 C/C++는 커넥티드 디바이스 세계의 일부로서 현대적이고 빛나는 삶을 살고 있습니다.

이 언어들은 상당히 오래된 뿌리를 가지고 있으며, 인젝션 결함이나 버퍼 오버플로와 같은 일반적인 문제에 대해서는 유사한 취약성 행동을 보이지만, 개발자가 임베디드 시스템의 보안 버그를 진정으로 완화하려면 개발자가 작업 환경을 모방하는 코드를 실제로 사용해야 합니다.일반적인 보안 관행에서 흔히 볼 수 있는 C 언어 교육은 임베디드 C 환경에서 작업할 때 추가적인 시간과 노력을 들이는 만큼 강력하고 기억에 남는 것은 아닙니다.

현대 차량에는 수십 개에서 100개가 넘는 임베디드 시스템이 탑재되어 있기 때문에, 개발자가 IDE에서 무엇을 찾아야 하고 어떻게 수정해야 하는지에 대한 정확한 교육을 받는 것이 필수적입니다.
‍

임베디드 시스템을 1층부터 보호하는 것은 모두의 책임입니다

많은 조직에서는 적어도 개발자의 책임에 관해서는 개발 속도가 보안보다 우선시되는 것이 현실입니다. 안전한 코드를 작성하는 능력이 평가받는 경우는 거의 없지만, 우수한 기능을 신속하게 개발하는 것이 최고의 기준으로 여겨집니다. 소프트웨어에 대한 수요는 계속 증가하고 있지만, 이러한 문화가 우리가 취약점과 그에 따른 사이버 공격과의 싸움에서 패배하는 원인이 되고 있습니다.

개발자가 교육을 받지 못했다고 해서 그 책임을 개발자에게 돌릴 수는 없습니다. AppSec 팀의 누군가가 개발자 커뮤니티 전체에 적합하고 접근하기 쉬운(평가 가능하다는 것은 물론) 기술 향상 프로그램을 권장함으로써 이를 보완하는 데 도움을 주어야 합니다. 소프트웨어 개발 프로젝트의 초기 단계에서 보안은 최우선 고려 사항이며, 모든 사람, 특히 개발자가 자신의 역할을 수행하는 데 필요한 것을 제공받아야 합니다.

임베디드 시스템의 보안 문제를 직접 체험해 보세요

버퍼 오버플로, 인젝션 결함, 비즈니스 로직 버그는 모두 임베디드 시스템 개발에서 흔히 발생하는 함정입니다. 차량이나 장치에 탑재된 마이크로컨트롤러의 복잡한 구조 깊숙이 숨겨진 결함은 보안 관점에서 치명적인 결과를 초래할 수 있습니다.

버퍼 오버플로는 특히 빈번하게 발생합니다. 앞서 설명한 에어프라이어가 어떻게 위험에 노출되었는지(원격 코드 실행을 가능하게 하는) 자세히 알고 싶다면, 이 보고서 CVE-2020-28592를 확인하세요.

어땠나요? 방문 www.securecodewarrior.com 임베디드 시스템 보안에 관한 정확하고 효과적인 교육을 실시합니다.

이 글은 처음에 게시되었습니다 DevOps.com에 게시되었습니다. 업데이트 및 수정되었습니다.

「블록체인」, 「빅데이터」, 「디지털 디스루프션」과 마찬가지로, 「DevOps」라는 용어는 현재 대규모 조직의 IT 부서에서 사용되는 또 다른 유행어입니다.

많은 기업들은 비즈니스 목표와 긴밀히 연계된, 보다 명확한 워크플로우와 개발 팀 및 운영 기반 팀 간의 협업을 가능하게 하는, 보다 정확한 프로세스인 소프트웨어 개발 라이프사이클의 필요성을 (올바르게) 인식하고 있습니다. DevOps는 본질적으로 '애자일' 개발이며, 모두가 성장하고 지속적으로 혁신되며 신속하게 배포되는 현대 비즈니스의 요구에 부응할 준비가 되어 있습니다.보안 전문가에게 이는 훌륭한 접근 방식입니다. 훨씬 더 이른 단계에서 보안이 프로세스에 주입될 수 있으므로, 버그 수정 비용을 절감하고 미래에 발생할 수 있는 재앙을 피할 수 있습니다.

문제는 DevOps 구현에 진정으로 성공한 기업이 거의 없다는 점입니다. 비즈니스 전반에 걸친 적절한 지원, 육성, 이해가 없다면 순식간에 백지 상태로 돌아가게 됩니다. 아시다시피, 이는 '전쟁은 말할 것도 없다'는 프로젝트 중 하나입니다.

그럼, 무엇이 문제인가요? 이는 흥미로운 논의입니다. DevOps 접근 방식에는 훨씬 더 원활한 전환에 도움이 될 것이라고 제가 믿는 몇 가지 방법이 있습니다. 효과적인 프로그램은 화려한 새 도구, 직함, 팀 회의만으로는 충분하지 않습니다. 반드시 쉬운 일은 아니지만, 실패한 전략을 수정하는 데(또는 처음부터 올바른 방식으로 실행하는 데) 시간을 투자하면 장기적으로 고통이 훨씬 덜해집니다. 그리고 결국에는 더 높은 품질과 안전성을 갖춘 소프트웨어가 탄생할 것입니다.

분해해 보겠습니다:

「애자일」에프런의 끈을 놓아주세요.

조직은 애자일이나 DevOps 중 하나를 선택하고, 한쪽 길을 개척한 뒤 절대 뒤돌아보지 말아야 한다는 오해가 있습니다.

중요한 것은 개발 프로세스가 양자를 하나로 통합하여 고려하고 구현할 때 가장 효과적으로 작동한다는 점입니다. DevOps는 애자일 개발의 재발명이 아닙니다. 오히려 애자일 개발의 연장선상에 있습니다. 프로세스 자체에 기대면 바퀴가 빠지기 쉽습니다. 완전히 동일한 애자일에서, 혹은 완전히 다른 애자일에서 말이죠.

애자일은 디자이너, 테스터, 개발자를 초기부터 연결하고 프로젝트 전반에 걸쳐 개방적인 커뮤니케이션 라인을 보장하는 크로스 기능 팀 원칙을 지원합니다. 그 목적은 사일로화된 배포를 중단하고 이중 작업을 줄이는 것이며, 이 두 가지 모두 DevOps 프로세스의 장점이기도 합니다.그러나 DevOps는 한 걸음 더 나아가 시스템, 보안, 운영을 결합하여 고객에게 완전하고 기능적인 소프트웨어를 제공하는 것을 궁극적인 목표로 하는 견고한 엔드투엔드 기술 세트를 제공합니다.

DevOps 중심 프로세스로의 전환이라는 피할 수 없는 과제에 직면하면서, 사일로화된 개발의 위험이 다시 높아질 수 있습니다. 대부분의 경우, 기존 애자일 팀들이 협력하여 보안 및 운영 기능을 어떻게 통합해야 하는지, 무엇을 해야 하는지, 그리고 전체적인 목표에 대해 누구도 확신을 가지지 못한 상태에서 이러한 기능들이 여전히 조직에 스며들고 있습니다.

DevOps는 명확히 정의된 목표, 부서를 초월한 온보딩, 모든 관계자와의 직접적인 커뮤니케이션 없이는 작동하지 않습니다. 신중한 변경 관리가 필요한 조정 기간이 있지만, DevOps 기능이 가져다주는 강화에 대한 모든 사람의 인식을 일치시키는 것은 싸움의 절반에 불과합니다.

DevOps는 프로세스의 일환으로 보안 모범 사례에도 중점을 두게 되었으며, 그 단계를 명확하게 설명함으로써 보안 팀과 다른 모든 구성원 간의 격차를 해소하고 있습니다(고마운 일입니다). 앞서 언급했듯이 개발자가 처음부터 안전하게 코딩할 수 있도록 하려면 아직 갈 길이 멀지만, DevOps 방법론의 성공적인 구현은 개발 팀 내에서 보안 역량을 구축하기 위한 훌륭한 기반이 됩니다.

자동화가 전부는 아닙니다(또한 가장 안전하다는 의미도 아닙니다).

DevOps 방법론의 또 다른 특징은 소프트웨어 개발 프로세스의 어느 정도 자동화입니다. 지속적 통합과 지속적 배포(CI/CD) 원칙은 이 개념의 기초이며, 예상하시다시피 도구에 크게 의존합니다.

도구는 훌륭합니다, 정말 훌륭합니다. 코드 저장소, 테스트, 유지보수, 저장소 등 각 요소를 비교적 매끄럽게 관리할 수 있게 해주므로 소프트웨어 배포 프로세스에 전례 없는 속도를 가져다줄 수 있습니다.

그러나 로봇이 언젠가 우리의 모든 일자리를 빼앗고 우리를 감옥에 가둘 수도 있지만, 아직 실현되지 않았다는 것은 분명합니다. 도구와 자동화에 크게 의존하면 오류 발생 가능성이 크게 확대됩니다. 스캔이나 테스트로 모든 것이 발견되는 것은 아니며, 코드가 점검되지 않은 채로 남을 수도 있습니다. 그 결과 품질(물론 보안도)에 에 심각한 문제가 발생합니다. 공격자가 데이터를 훔치기 위해 악용할 수 있는 백도어는 단 하나면 충분합니다. 품질 관리나 보안 관리에서 인적 요소를 간과하면 비극적인 결과를 초래할 수 있습니다.

「해피 미디엄」이란 사람들의 균형을 맞추는 것입니다. 그리고 도구입니다. 도구는 신뢰할 수 있는 팀이 프로젝트 목표를 달성하기 위한 조력자 역할을 해야 합니다. 다음을 수행해야 합니다.

• 선택한 DevOps 도구 체인에 익숙해질 수 있도록 충분한 시간을 할당하십시오.
• 효과적인 협업(그리고 도구가 이를 어떻게 지원할 수 있는지)에 초점을 맞춘다
• 기술/지식에 기반한 것이든, 도구에 기반한 것이든, 프로세스의 모든 격차를 해결합니다.

결국, 단순히 '도구를 업그레이드'해서 최상의 결과를 기대해서는 안 됩니다.

DevOps는 유행어가 아닌 문화입니다. 귀사의 성장은 진행 중입니까?

변경 관리는 가장 좋은 시기에도 어려운 일입니다. 미지에 대한 두려움은 가장 우수한 팀 멤버조차도 기술을 연마하고 시야를 넓히는 것을 방해할 수 있습니다.

단순히 "DevOps를 하자"고 말하며 운영 팀의 책상만 옮긴다고 해서 마법처럼 프로세스가 성공하지는 않습니다. 많은 사람들이 혼란스러워하고, 오랜 기간 근무해 온 팀원들은 불만을 느낄 것입니다. 기대를 전달하는 것은 필수적이며, "한 걸음씩 나아가기"도 중요합니다. DevOps는 개발 방법론인 동시에 문화적 운동이기도 합니다. 팀은 부서 간 협업과 협력적인 사고방식을 고수해야 합니다.

우수한 DevOps 문화란 어떤 것일까요?

• 리더뿐만 아니라 개인이 자신의 전문 지식을 프로세스에 활용할 수 있는 권한을 부여받는다
• 팀 간의 개방적이고 진실하며 존중하는 의사소통
• 개발 프로세스에 품질과 보안을 통합한다는 전반적인 목표에 대해서는 각자가 책임을 집니다.
• 비즈니스에서의 DevOps 정의, 로드맵, 각 구성원의 역할 방법/내용/이유에 대해 모두가 동일한 인식을 가지고 있습니다.

저는 오랫동안 개발 팀에서 긍정적인 보안 문화를 구축하는 것의 중요성을 강조해 왔으며, DevOps도 예외는 아닙니다.

보안 모범 사례를 달성하고 발견된 취약점이 감소하는 것을 확인하며 데이터 보호의 중요성에 팀의 관심을 집중시키기 위해서는 적절한 도구, 지식 및 지원이 필수적입니다. DevOps에서는 긍정적인 변화를 실현하기 위한 문화적 기반을 구축해야 합니다. 즉, 모든 구성원이 자신의 역할, 가치, 기대 사항, 프로젝트 전체 목표 및 프로세스 단계를 이해할 수 있도록 해야 합니다.

그것을 마스터했나요? 훌륭합니다. 그렇다면 이제 방향을 전환하여 보안 측면을 더욱 강화하고, DevSecOps를 소프트웨어 우수성의 궁극적인 로드맵으로 만들어 봅시다.

지루해, 지루해, 지루해! 이는 보안 코드 교육이 언급될 때마다 개발자들로부터 자주 듣는 반응 중 하나입니다. Secure Code Warrior는 더 나은 방법이 있을 거라 믿기에, 개발자들의 보안 코딩, 안전한 코드 관행 및 보안 운영에 대한 태도를 조사하기 위해 Evans Data Corp.와 협력하여 1차 조사를 수행했습니다(백서 다운로드). 여기에).

곧 출시 예정인 대응에서 예방으로의 전환: 애플리케이션 보안의 변화하는 양상, 개발자들에게 현재의 보안 코드 교육 주요 문제점에 대해 물었을 때, 답변은 분명했습니다.

개발자를 실망시키는 교육

조사 대상 개발자의 40%는 보안 코딩이 진공 상태에서 가르쳐지는 것처럼 느껴졌다고 답했습니다. 다른 40%는 교육이 너무 이론적이고 업무와 무관하며 '실용적'이지 못하다고 느꼈습니다. 30%는 매일 다루는 언어와프레임워크에 대한 교육이 부족하다고 답했습니다. 이는 심각한 문제입니다. 현재의 보안 코딩 교육이 맥락과 무관하며, 개발자가 일상적으로 수행하는 작업과 의미 있는 연관성을 제공하지 못함을 보여주기 때문입니다.

많은 개발자에게 있어 그들의 주요 과제는, 지루할 정도로 자동화된 작업들 사이에서 정신을 차리고 있는 것입니다. 이러한 작업들은 효과적이지 않을 뿐만 아니라, 보안도 최우선으로 고려하지 않습니다.

고립된 환경에서 훈련을 수행하면 개발자는 연구실과 현실 세계 사이를 인지적으로 연결할 수 없게 됩니다.

개발자가 보안 코드 교육에 요구하는 세 가지 사항:

1. 압도적으로 개발자들은 보다 실용적이고 상황에 맞는 일상 업무에 도움이 되는 훈련을 원한다고 답했습니다.
2. 개발자의 65%가 언어별 취약점과 OWASP Top 10에대한 추가 교육이 필요하다고 답했습니다.
3. 조사 대상 개발자의 75%는 체계적인 현장 실습을 희망하고 있습니다.

개발자를 격려하는 훈련

OJT(현장 실습)의 경우 개발자는 어느 정도의 경험과 기존 지식을 보유하고 있습니다. 이는 '발판 기반' 학습이 필요함을 시사합니다. 즉, 개발자가 이미 알고 있는 내용을 바탕으로 구축된, 발판이 마련된 훈련입니다. 발판형 교육은 기존 경험을 활성화하고 향상시키면서 동시에 새로운 기술을 점진적으로 습득하게 합니다. 따라서 현장 학습에 가장 적합한 수단이 됩니다.

정착하는 기술의 전달

개발자의 보안 교육과 관련하여, 개발자들은 이론에 기반한 정적 학습이라는 힘든 작업보다 실습을 통한 학습 방식을 선호한다는 것이 알려져 있습니다. 이러한 의미에서, 관련성이 높고 상황에 맞는 환경에서 안전하게 코딩하는 방법을 배우는 것이 중요합니다. 보안 코딩 분야의 혁신을 주도하는 Secure Code Warrior는 개발자들이 현실 세계에서 직면하는 문제들에 대해, 관련 프로그래밍 언어와 프레임워크를 활용하여 상황에 맞는 실습 중심 교육을 제공합니다.학습 콘텐츠에는 중요한 OWASP Top 10, OWASP Mobile Top 10, OWASP API Security Top 10, CWE/SANS Top 25 등 147종 이상의 다양한 취약점 유형을 대상으로 한 5,500개 이상의 과제와 미션이 포함되어 있습니다.

팀에 미칠 잠재적 영향과 안전한 코드를 더 빠르게 제공하는 능력을 확인하려면, 데모 예약 지금.

대,。디지털 버너나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나나大家、イルアDevOps 親和和和和物大和和物番付録ジャニニセブンキラー。この世は、サニーとサモナーザザザザプンチャチャプサン、ティシャレニニニササササカノザザザン。、しかし、それまで来なかったかぎりぎりぎりぎりぎりや（そして年、いのちばしろっくり）、マフィナシダチダイ。

2008 KRWODELYAM 씨, 거기서, 뭐 그런 거. 1:100 정확히 하라니까. 전속의 「2008」

Secure Code Warrior의 디렉터(미주) Stephen Allor와 Capital One Warrior의 Luss Wolfeshinali, DevOps Warrior National, DevOps Warrior Web National, DevOps Warrior National, Capital One Warrior의(미주) Stephen Allor와 Capital One Worfewecwinali, Stephelwwwecyi, Capital One Warrior 제도(미주)와 Capital One Worfewperinaly에서, Stephen Allor

안녕, 시라.

• Techer의 「블랙코」 잔디 모임
• 10년 전과 오늘을 기념하는 것이었습니다
• 세츠의 「rekox」appsec×ex x, 그리고 etreぜぜぜぜきめきりぜぜぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんめん
• 대성대성에 바지타카사카사카사쿠. 비비아스터, 비비와 편의점, 비비비크.
• 대성을 위하여 위하여 위하여 성취하고 성취하고 성취하고 성취하고 성취하고 성취하고 성취하고 (およびみみそくれいつ)
• 2박 8시 휠 휠 휠 휠 휠 휠, 새것과 다름없음
• 프레치킨토나다마진과 눈과, 부타키니에코다/금금금금금금금금과 어긋남
• 소프트웨어 취약성의 증가와 그 근본 원인
• 、
• 대서양 경마에도 얽매이고, 새 술에도 밥으로 쭈욱쭈욱
• 미쳐버렸지만, 미안해 미안해, "깜짝이야"와 "망했어"
• 캐피털 원의 라스 울프 씨가 4억 엔을 피피다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다다
• 무, 품목 보존,
• 인센블은 새것과 다름없고, 엄청난 메모도,
• 강연

헤비나라는사도(Sado)로, 섀도우(Shadow), 사이디아스 DainDaNeDi Déh2Kepar와 샤징 Déhda.hdigKe/inda.hdigKe로 구성된다.

캐피털 원 같은 곳에서, DurfstonJoquitoquiturfuriy, 「exedaKitaJerquid」

사이버 보안 공격의 증가와 정교화는 전 세계 모든 분야와 산업에 변화를 가져오고 있습니다. 모든 이가 '왼쪽으로 이동'하며 가능한 한 빨리 모든 프로세스와 절차에 보안을 통합하려 하고 있습니다. 이러한 상황은 사이버 방어 강화라는 완전히 새로운 움직임을 촉진하고 있습니다. DevSecOps와 같은 새로운소프트웨어 및 애플리케이션 개발 구조 자체에 보안이 내재되어 있습니다.

이러한 변화의 상당수는 개발자 커뮤니티의 발밑에 닥치고 있습니다. 새로운 소프트웨어와 애플리케이션을 만들고, 작성하고, 코딩하는 것은 바로 그들입니다. 따라서 그들에게 보다 안전한 코딩 방식을 채택하도록 요구하는 것은 훌륭한 아이디어처럼 보입니다. 결국, 새로운 애플리케이션이 처음 생성될 때를 제외하고는 왼쪽으로 이동시킬 수 없습니다.

그러나 개발자 커뮤니티는 그 책임에 대해 어떻게 느끼고 있을까요? 기존에는 개발자가 코딩 속도만으로 평가받아 왔지만, 보안 챔피언으로서의 새로운 역할에 대해 개발자들은 현재 어떻게 생각하고 있을까요? 그리고 경영진은 고품질의 교육, 충분한 보상, 그리고 이 중요한 새로운 책임을 맡은 것에 대한 적절한 평가를 통해 이러한 노력을 지원하고 있다고 느끼고 있을까요?

이번 2년차 조사에서는 Evans Data Corp.와 협력하여 전 세계 개발자 커뮤니티를 대상으로 보안 코딩 기법에 대한 기술, 인식, 행동 및 이들이 소프트웨어 개발 라이프사이클(SDLC)에 미치는 영향과 관련성에 대한 포괄적인 조사를 실시했습니다. 그 결과는 여러 측면에서 매우 놀라웠습니다.

2022년 개발자 주도형 보안 조사 현황

「보안 코드 전사: 개발자 주도형 보안 현황 조사」는 2021년 12월 Evans Data Corp에서 실시했습니다.아시아 태평양 지역, 유럽, 북미에서 근무하는 현직 소프트웨어 개발자 1,200명을 대상으로 소프트웨어 코딩, 보안 인식, 교육, 지원, 동기 부여 및 기타 문제에 관한 질문이 이루어졌습니다. 조사는 영어로 진행되었으며, 정확한 글로벌 관점을 확보하기 위해 필요에 따라 번역되었습니다. 조사 응답자에는 새로운 애플리케이션을 제작 중인 개발자뿐만 아니라 개발 커뮤니티 내 관리자도 포함되었습니다.

몇 가지 놀라운 발견

소프트웨어 보안을 향상시키기 위한 과제(및 기회)에 관한 모든 측면을 심층 분석한 상세한 백서와 보고서("개발자 주도형 보안 현황", 2022년)는 4월 11일(월)에 발표될 예정입니다.이 백서에는 안전한 코딩 기법에 관한 커뮤니티의 조사 결과와 우려 사항 분석, 그리고 개발 팀이 소프트웨어 보안을 향상시키기 위한 조직에 대한 권고 사항이 포함되어 있습니다.

이러한 과제 중에는 자신의 조직에서 개발자와 협력하는 사람들뿐만 아니라 개발 커뮤니티에 속한 사람들에게도 의문을 제기하는 것들이 있습니다. 확실히 우리를 위해서도 있었습니다.

예를 들어, 애플리케이션 보안을 오늘의 최우선 과제로 꼽은 응답자는 불과 14%에 불과했습니다. 대신 애플리케이션 성능이나 기능 우선순위 설정 등 보다 전통적인 지표들이 여전히 전반적인 초점을 이루고 있습니다.

보안 우선순위가 매우 낮았기 때문에, 조사 대상 개발자의 67%가 알려진 취약점이나 익스플로잇을 코드에 일상적으로 남겨두고 있다고 응답했습니다. 그 이유는 마감일이 촉박하거나, 기능을 보안보다 우선시하거나, 단순히 보안 문제를 해결하는 방법에 대한 필요한 교육이나 지식을 갖추지 못했기 때문입니다.

많은 경우 개발자들은 자사 조직이 보안 코드의 구성 요소를 정의하지 않았으며, 상황을 개선하기 위한 적절한 교육이나 지원을 제공하지 않고 있다고 말합니다.

그러나 몇 가지 부정적인 조사 결과에도 불구하고 태도가 변화하고 있음이 분명했습니다. 개발자의 대다수(66%)는 향후 12~18개월 동안 보안이 더 우선시될 것이라고 예상했습니다. 한편, 설문에 응답한 채용 관리자의 82%는 보안에 대해 모르는 개발자보다 보안에 대해 아는 개발자를 채용하는 데 관심을 보였습니다.

조사 결과, 개발자 커뮤니티와 그들이 협력하는 조직이 큰 변화에 직면하고 있음이 분명하지만, 고맙게도 단기 및 장기적인 미래 계획도 빠르게 구체화되고 있습니다.

현재 안전한 코딩 기법과 관련된 과제, 그리고 조직이 개발자의 보안 역량과 궁극적으로 소프트웨어 보안을 향상시키기 위해 활용할 수 있는 기회에 대한 조사 결과의 상세 내용을 담은 백서와 보고서를 기대해 주십시오.

확인해 주세요 시큐어 코드 워리어 블로그 페이지에서는 사이버 보안, 즉 점점 더 위험해지는 위협 환경에 대한 통찰력을 깊이 있게 살펴보고, 혁신적인 기술과 교육을 도입하여 조직과 고객을 더 잘 보호하는 방법을 배울 수 있습니다.

‍

최근 몇 년간 네트워크 보안, 수 테라바이트에 달하는 기밀 고객 데이터, 소중한 브랜드 평판 등 많은 것들이 시장 출시 기간 단축을 위해 희생되어 왔습니다. 새로운 기능 출시를 가속화해야 한다는 강력한 압박으로 인해 복잡하고 분산된 팀들은 발생할 수 있는 취약점과 막대한 위험을 거의 인식하지 못한 채 신속한 개발에만 집중하게 되었습니다. 그 어느 때보다 새로운 업무 방식이 요구되고 있습니다. 이에Secure Code Warrior 2020년 Evans Data Corp.와 협력하여 안전한 코딩, 안전한 코드 관행 및 보안 운영에 대한 개발자와 관리자의 태도를 조사했습니다(백서 다운로드). 여기).

프로젝트 성공의 성과 지표 — 보안은 어디에 적합한가?

개발자와 관리자는 안전한 코드를 갖는 것이 중요하다고 생각하지만, 다른 요소들만큼 중요하지는 않습니다. 개발자와 관리자에게 소프트웨어 개발 프로세스에서 가장 중요한 우선순위가 무엇인지 물었을 때,

• 76%가 노미네이트된 애플리케이션의 성능
• 62%가 특징과 기능을 선택했습니다
• 그리고 50%가 넘는 안전한 코드가 선택되었습니다.
  

프로젝트 성공을 나타내는 다른 성과 지표와 비교했을 때, 보안 코딩은 현재 3분의 1 수준으로 평가되고 있습니다.

현재, 그리고 아마도 놀랍지 않을 것이지만, 개발자들은 프로젝트 종료 후에만 코드를 평가하는 성과 지표를 바탕으로 프로젝트의 성공 여부를 판단하고 있습니다.

그러나 이것이 앞으로 어떻게 변화할지에 대해 묻자 상황은 뒤집혔습니다. 조직이 보안을 성공 지표로 인식하는 방식은 변화하고 있습니다. 안전한 코딩이 최우선 과제가 되고 있습니다.

미래 프로젝트 성공을 측정하는 데 있어 가장 중요한 우선순위에 대해 물었을 때, 응답자의 79%가 안전한 코딩의 중요성이 증가할 것이라고 답했습니다. 놀라운 점은 미래에 보안의 중요성이 다른 어떤 성과 지표보다 높아질 것이라고 답한 응답자가 상당히 많다는 것입니다. 보안 코딩에 대한 인식이 높아지고 있으며,'시프팅 레프트(shifting left)'로의 움직임도 가속화되고 있습니다. 본질적으로 보안 코딩을 실천한다는 것은 SDLC(소프트웨어 개발 수명주기)의 상당히 초기 단계에서 보안을 고려한다는 의미입니다. 즉, 보안을 뒤로 미루지 않고 처음부터 소프트웨어에 적극적으로 통합하는 것입니다.

CIO가 조직의 민첩성을 높이려 노력함에 따라, 안전한 코딩 능력은 중요한 혁신의 무기가 될 것입니다. CIO와 CISO는 개발 팀이 위험의 최전선인지, 방어의 최전선인지 신중하게 검토해야 합니다.

이 통찰은 조직이 개발자를 어떻게 훈련시키는지에 중대한 영향을 미칩니다. 팀은 최근에 발견된 취약점에 대해 배우고 각자의 언어와 프레임워크에서 학습해야 합니다. 즉, 일상 업무 속에서 코드 내 알려진 취약점을 발견하고, 식별하고, 수정하는 방법을 이해해야 합니다.

Secure Code Warrior는 안전한 코딩의 변화를 주도하는 주체로서 개발자가 안전한 코딩 기술을 습득하고 구축하도록 적극적으로 독려하는 인간 중심 접근 방식을 채택합니다. 보안성을 저해하지 않으면서 왼손잡이처럼 안전하게 코드를 더 빠르게 출시하는 팀의 역량에 어떤 영향을 미치는지 알고 싶다면, 지금 바로 데모를 예약하세요.

‍

*대응에서 예방으로의 전환: 애플리케이션 보안의 양상은 변화하고 있습니다. 시큐어 코드 워리어와 에반스 데이터 코퍼레이션 2020