개발자에게 인센티브를 제공하는 것이 보안 관행 개선의 핵심입니다
사이버 위협 환경은 날이 갈수록 복잡해지고 있습니다.공격자들은 취약한 애플리케이션, 프로그램, 클라우드 인스턴스를 찾기 위해 네트워크를 지속적으로 스캔하고 있습니다. 이달의 최신 버전은 API입니다. 이러한 API는 종종 느슨한 보안 제어 덕분에 쉽게 이길 수 있는 것으로 널리 알려져 있습니다.이러한 애플리케이션은 지속성이 매우 강하기 때문에 배포 후 몇 시간 내에 새 앱이 손상되거나 악용될 수 있습니다.Verizon 2021 데이터 침해 조사 보고서는 위협이 기업 및 조직을 겨냥했다는 점을 분명히 보여줍니다. 더 위험하다 오늘날, 역사상 그 어느 시점보다도.
개발 중인 소프트웨어를 진정으로 강화할 수 있는 유일한 방법은 보안 코드를 기반으로 구축되도록 하는 것뿐이라는 것이 분명해지고 있습니다.다시 말해, 위협 행위자의 침입을 막는 가장 좋은 방법은 애초에 이들이 애플리케이션에 들어갈 수 있는 발판을 차단하는 것입니다.일단 전쟁을 시작하면 대부분의 이점이 공격자에게 치우치게 됩니다.
이 상황은 처음으로 생겨났습니다. 애자일 개발 그리고 DevOps, 그리고 나중에는 전체로 데브섹옵스 무브먼트, 여기서 보안은 개발부터 배포까지 소프트웨어 개발 프로세스에 관련된 모든 사람의 공동 책임입니다.하지만 피라미드의 기반이자 틀림없이 가장 중요한 부분은 개발자입니다.대부분의 개발자는 자신의 역할을 다하고 안전한 코드를 작성하기를 원하지만, 이들이 일하는 조직 중 상당수는 우선 순위의 대대적인 변화에 필요한 변경 사항을 지지하지 않습니다.
설계에 의한 패배
수년 동안 개발자들은 조직에서 가장 중요한 역할은 비즈니스가 중단되지 않고 고객이 잠들지 않는 급변하는 환경에서 앱을 빠르게 구축하고 배포하는 것이라고 들었습니다.개발자가 코드를 더 빨리 작성하고 배포할 수 있는 기능이 많을수록 성능 평가 측면에서 더 가치 있는 것으로 나타났습니다.
보안은 나중에 고려했지만 전혀 고려하지 않았습니다.대신, 이 모든 것은 애플리케이션 보안 (AppSec) 팀이 알아내도록 맡겼습니다.AppSec 팀은 보안 패치를 적용하거나 취약점을 해결하기 위한 코드를 다시 작성하기 위해 완성된 애플리케이션을 다시 개발 단계로 보내는 경우가 많기 때문에 대부분의 개발자들이 싫어했습니다.그리고 개발자가 이미 “완성”된 앱을 개발하는 데 소비하는 매 시간은 새로운 앱과 기능을 만들지 않아 성능 (특히 징벌적인 회사의 눈에는 가치) 이 저하되는 한 시간이었습니다.
그리고 위협 환경으로 인해 대부분의 기업에서 보안의 중요성과 우선 순위가 바뀌었습니다.최근 자료에 따르면 데이터 침해 비용 보고서 IBM과 포네몬 연구소 (Ponemon Institute) 에 따르면 사이버 보안 침해로 인한 평균 비용은 현재 사고당 약 380만 달러이지만 상한선은 아닙니다.네트워크 침해로 인해 한 회사에서만 13억 달러의 손실이 발생했습니다.오늘날의 기업들은 DevSecOps가 제공하는 보안을 원하지만 안타깝게도 이러한 요청에 응답한 개발자에게 보상을 제공하는 데 시간이 오래 걸렸습니다.
개발 팀에게 보안을 고려하라고 말하는 것만으로는 효과가 없습니다. 특히 속도만을 기준으로 인센티브를 받고 있는 경우에는 더욱 그렇습니다.사실 이러한 시스템 내에서 시간을 들여 보안에 대해 배우고 코드를 보호하는 개발자들은 오히려 더 나은 성능 평가와 보안에 대해 잘 알지 못하는 동료들이 계속 받게 되는 수익성 높은 보너스를 놓칠 수 있습니다.마치 회사들이 자신들의 보안 실패를 위해 자신도 모르게 시스템을 조작하는 것과 거의 비슷한데, 이는 결국 개발팀에 대한 인식으로 돌아오게 됩니다.팀을 보안 최전선으로 보지 않는다면 인력을 활용하기 위한 실행 가능한 계획이 실현될 가능성은 거의 없습니다.
그렇다고 해서 훈련이 부족한 것도 아닙니다.매우 숙련된 개발자 중에는 수십 년 동안 코딩 경험이 있는 사람도 있지만, 보안에 관해서는 경험이 거의 없습니다. 결국에는 그럴 필요가 없었습니다.회사에서 숙련된 프로그래머에게 좋은 교육 프로그램을 제공하지 않는 한 개발자가 갑자기 새로운 기술을 습득하고 취약점을 적극적으로 줄이는 의미 있는 방식으로 이를 실행에 옮길 것이라고 기대할 수는 없습니다.
우수한 보안 관행에 대한 개발자 보상
다행인 것은 개발자 중 대다수가 도전적이면서도 보람을 느끼기 때문에, 그리고 자신의 직책에 수반되는 존중을 즐기기 때문에 일을 한다는 것입니다.평생 프로 코더였던 마이클 슈필트 최근에 쓴 글 그와 그의 코딩 동료들이 개발 작업에 참여하도록 동기를 부여하는 모든 것들이죠.네, 그는 이러한 인센티브 중 금전적 보상을 나열했지만, 놀랍게도 목록에 훨씬 못 미쳤습니다.대신 그는 새로운 것을 창조하고, 새로운 기술을 배울 때의 짜릿함, 그리고 자신의 작업이 다른 사람들을 돕는 데 직접적으로 사용될 것이라는 사실에 대한 만족감을 우선시합니다.그는 또한 회사와 커뮤니티 내에서 가치를 느끼고 싶다고 이야기합니다.간단히 말해서 개발자들은 자신의 일에 자부심을 느끼는 많은 좋은 사람들과 같습니다.
Shpilt와 같은 개발자는 위협 행위자가 코드를 손상시키고 이를 사용하여 회사 또는 도움을 주려는 바로 그 사용자에게 해를 끼치는 것을 원하지 않습니다.하지만 지원 없이는 보안 우선순위를 갑자기 바꿀 수는 없습니다.그렇지 않으면 시스템이 이들에게 불리하게 작용할 것 같습니다.
개발 팀이 사이버 보안 능력을 향상시키려면 먼저 필요한 기술을 배워야 합니다.스캐폴드 러닝과 Just-In-Time (Just-In-Time) 교육 같은 도구를 활용하면 이 프로세스의 어려움을 훨씬 덜 수 있고 올바른 상황에서 기존 지식을 기반으로 구축하는 데 도움이 됩니다.
JIt의 원칙은 개발자에게 적절한 시간에 올바른 지식을 제공하는 것입니다. 예를 들어 JIT 개발자 교육 도구가 프로그래머가 안전하지 않은 코드를 만들거나 실수로 애플리케이션에 취약점을 도입하는 것을 감지하면 이를 활성화하고 개발자에게 해당 문제를 해결하는 방법과 방법을 보여줄 수 있습니다. 더 안전한 코드 작성 미래에도 같은 기능을 수행할 수 있도록 말이죠.
기술 향상에 전념한다면 속도만을 기준으로 개발자를 평가하는 기존의 방식을 없애야 합니다.대신 코더는 안전한 코드를 만들 수 있는 능력에 따라 보상을 받아야 하며, 최고의 개발자는 보안 챔피언 이는 나머지 팀원들이 기술을 향상시키는 데 도움이 됩니다.그리고 이러한 챔피언들은 회사의 명성과 금전적 보상을 모두 받을 수 있어야 합니다.또한 개발자는 일반적으로 보안에 대해 긍정적인 경험을 하지 못한다는 점을 기억해야 합니다. 긍정적이고 재미있는 학습과 관심사에 맞는 인센티브로 개발자의 역량을 높이면 지식을 보존하고 기술을 계속 쌓고자 하는 열망을 높이는 데 큰 도움이 됩니다.
기업에서는 여전히 개발자 평가의 한 부분으로 코딩 속도를 포함할 수 있지만, 특히 코더가 새로운 기술을 배우는 경우 보안 애플리케이션을 개발하는 데 시간이 좀 더 걸릴 수 있다는 기대를 가지고 있습니다.
DevSecOps는 점점 더 위험해지는 위협 환경의 어둠의 예술에 대한 궁극적인 방어 수단이 될 수 있습니다.이 새로운 세계의 챔피언, 지속적으로 새 코드를 만드는 개발자는 자신의 작업에 대한 존경과 보상을 받아야 한다는 사실을 잊지 마세요.
전 세계의 다른 개발자들을 상대로 보안 기술을 시험해보고 싶으신가요?확인해 보세요 시큐어 코드 워리어의 데블림픽 2021글로벌 토너먼트에서 주요 상품을 받을 수 있습니다!
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
사이버 위협 환경은 날이 갈수록 복잡해지고 있습니다.공격자들은 취약한 애플리케이션, 프로그램, 클라우드 인스턴스를 찾기 위해 네트워크를 지속적으로 스캔하고 있습니다. 이달의 최신 버전은 API입니다. 이러한 API는 종종 느슨한 보안 제어 덕분에 쉽게 이길 수 있는 것으로 널리 알려져 있습니다.이러한 애플리케이션은 지속성이 매우 강하기 때문에 배포 후 몇 시간 내에 새 앱이 손상되거나 악용될 수 있습니다.Verizon 2021 데이터 침해 조사 보고서는 위협이 기업 및 조직을 겨냥했다는 점을 분명히 보여줍니다. 더 위험하다 오늘날, 역사상 그 어느 시점보다도.
개발 중인 소프트웨어를 진정으로 강화할 수 있는 유일한 방법은 보안 코드를 기반으로 구축되도록 하는 것뿐이라는 것이 분명해지고 있습니다.다시 말해, 위협 행위자의 침입을 막는 가장 좋은 방법은 애초에 이들이 애플리케이션에 들어갈 수 있는 발판을 차단하는 것입니다.일단 전쟁을 시작하면 대부분의 이점이 공격자에게 치우치게 됩니다.
이 상황은 처음으로 생겨났습니다. 애자일 개발 그리고 DevOps, 그리고 나중에는 전체로 데브섹옵스 무브먼트, 여기서 보안은 개발부터 배포까지 소프트웨어 개발 프로세스에 관련된 모든 사람의 공동 책임입니다.하지만 피라미드의 기반이자 틀림없이 가장 중요한 부분은 개발자입니다.대부분의 개발자는 자신의 역할을 다하고 안전한 코드를 작성하기를 원하지만, 이들이 일하는 조직 중 상당수는 우선 순위의 대대적인 변화에 필요한 변경 사항을 지지하지 않습니다.
설계에 의한 패배
수년 동안 개발자들은 조직에서 가장 중요한 역할은 비즈니스가 중단되지 않고 고객이 잠들지 않는 급변하는 환경에서 앱을 빠르게 구축하고 배포하는 것이라고 들었습니다.개발자가 코드를 더 빨리 작성하고 배포할 수 있는 기능이 많을수록 성능 평가 측면에서 더 가치 있는 것으로 나타났습니다.
보안은 나중에 고려했지만 전혀 고려하지 않았습니다.대신, 이 모든 것은 애플리케이션 보안 (AppSec) 팀이 알아내도록 맡겼습니다.AppSec 팀은 보안 패치를 적용하거나 취약점을 해결하기 위한 코드를 다시 작성하기 위해 완성된 애플리케이션을 다시 개발 단계로 보내는 경우가 많기 때문에 대부분의 개발자들이 싫어했습니다.그리고 개발자가 이미 “완성”된 앱을 개발하는 데 소비하는 매 시간은 새로운 앱과 기능을 만들지 않아 성능 (특히 징벌적인 회사의 눈에는 가치) 이 저하되는 한 시간이었습니다.
그리고 위협 환경으로 인해 대부분의 기업에서 보안의 중요성과 우선 순위가 바뀌었습니다.최근 자료에 따르면 데이터 침해 비용 보고서 IBM과 포네몬 연구소 (Ponemon Institute) 에 따르면 사이버 보안 침해로 인한 평균 비용은 현재 사고당 약 380만 달러이지만 상한선은 아닙니다.네트워크 침해로 인해 한 회사에서만 13억 달러의 손실이 발생했습니다.오늘날의 기업들은 DevSecOps가 제공하는 보안을 원하지만 안타깝게도 이러한 요청에 응답한 개발자에게 보상을 제공하는 데 시간이 오래 걸렸습니다.
개발 팀에게 보안을 고려하라고 말하는 것만으로는 효과가 없습니다. 특히 속도만을 기준으로 인센티브를 받고 있는 경우에는 더욱 그렇습니다.사실 이러한 시스템 내에서 시간을 들여 보안에 대해 배우고 코드를 보호하는 개발자들은 오히려 더 나은 성능 평가와 보안에 대해 잘 알지 못하는 동료들이 계속 받게 되는 수익성 높은 보너스를 놓칠 수 있습니다.마치 회사들이 자신들의 보안 실패를 위해 자신도 모르게 시스템을 조작하는 것과 거의 비슷한데, 이는 결국 개발팀에 대한 인식으로 돌아오게 됩니다.팀을 보안 최전선으로 보지 않는다면 인력을 활용하기 위한 실행 가능한 계획이 실현될 가능성은 거의 없습니다.
그렇다고 해서 훈련이 부족한 것도 아닙니다.매우 숙련된 개발자 중에는 수십 년 동안 코딩 경험이 있는 사람도 있지만, 보안에 관해서는 경험이 거의 없습니다. 결국에는 그럴 필요가 없었습니다.회사에서 숙련된 프로그래머에게 좋은 교육 프로그램을 제공하지 않는 한 개발자가 갑자기 새로운 기술을 습득하고 취약점을 적극적으로 줄이는 의미 있는 방식으로 이를 실행에 옮길 것이라고 기대할 수는 없습니다.
우수한 보안 관행에 대한 개발자 보상
다행인 것은 개발자 중 대다수가 도전적이면서도 보람을 느끼기 때문에, 그리고 자신의 직책에 수반되는 존중을 즐기기 때문에 일을 한다는 것입니다.평생 프로 코더였던 마이클 슈필트 최근에 쓴 글 그와 그의 코딩 동료들이 개발 작업에 참여하도록 동기를 부여하는 모든 것들이죠.네, 그는 이러한 인센티브 중 금전적 보상을 나열했지만, 놀랍게도 목록에 훨씬 못 미쳤습니다.대신 그는 새로운 것을 창조하고, 새로운 기술을 배울 때의 짜릿함, 그리고 자신의 작업이 다른 사람들을 돕는 데 직접적으로 사용될 것이라는 사실에 대한 만족감을 우선시합니다.그는 또한 회사와 커뮤니티 내에서 가치를 느끼고 싶다고 이야기합니다.간단히 말해서 개발자들은 자신의 일에 자부심을 느끼는 많은 좋은 사람들과 같습니다.
Shpilt와 같은 개발자는 위협 행위자가 코드를 손상시키고 이를 사용하여 회사 또는 도움을 주려는 바로 그 사용자에게 해를 끼치는 것을 원하지 않습니다.하지만 지원 없이는 보안 우선순위를 갑자기 바꿀 수는 없습니다.그렇지 않으면 시스템이 이들에게 불리하게 작용할 것 같습니다.
개발 팀이 사이버 보안 능력을 향상시키려면 먼저 필요한 기술을 배워야 합니다.스캐폴드 러닝과 Just-In-Time (Just-In-Time) 교육 같은 도구를 활용하면 이 프로세스의 어려움을 훨씬 덜 수 있고 올바른 상황에서 기존 지식을 기반으로 구축하는 데 도움이 됩니다.
JIt의 원칙은 개발자에게 적절한 시간에 올바른 지식을 제공하는 것입니다. 예를 들어 JIT 개발자 교육 도구가 프로그래머가 안전하지 않은 코드를 만들거나 실수로 애플리케이션에 취약점을 도입하는 것을 감지하면 이를 활성화하고 개발자에게 해당 문제를 해결하는 방법과 방법을 보여줄 수 있습니다. 더 안전한 코드 작성 미래에도 같은 기능을 수행할 수 있도록 말이죠.
기술 향상에 전념한다면 속도만을 기준으로 개발자를 평가하는 기존의 방식을 없애야 합니다.대신 코더는 안전한 코드를 만들 수 있는 능력에 따라 보상을 받아야 하며, 최고의 개발자는 보안 챔피언 이는 나머지 팀원들이 기술을 향상시키는 데 도움이 됩니다.그리고 이러한 챔피언들은 회사의 명성과 금전적 보상을 모두 받을 수 있어야 합니다.또한 개발자는 일반적으로 보안에 대해 긍정적인 경험을 하지 못한다는 점을 기억해야 합니다. 긍정적이고 재미있는 학습과 관심사에 맞는 인센티브로 개발자의 역량을 높이면 지식을 보존하고 기술을 계속 쌓고자 하는 열망을 높이는 데 큰 도움이 됩니다.
기업에서는 여전히 개발자 평가의 한 부분으로 코딩 속도를 포함할 수 있지만, 특히 코더가 새로운 기술을 배우는 경우 보안 애플리케이션을 개발하는 데 시간이 좀 더 걸릴 수 있다는 기대를 가지고 있습니다.
DevSecOps는 점점 더 위험해지는 위협 환경의 어둠의 예술에 대한 궁극적인 방어 수단이 될 수 있습니다.이 새로운 세계의 챔피언, 지속적으로 새 코드를 만드는 개발자는 자신의 작업에 대한 존경과 보상을 받아야 한다는 사실을 잊지 마세요.
전 세계의 다른 개발자들을 상대로 보안 기술을 시험해보고 싶으신가요?확인해 보세요 시큐어 코드 워리어의 데블림픽 2021글로벌 토너먼트에서 주요 상품을 받을 수 있습니다!
사이버 위협 환경은 날이 갈수록 복잡해지고 있습니다.공격자들은 취약한 애플리케이션, 프로그램, 클라우드 인스턴스를 찾기 위해 네트워크를 지속적으로 스캔하고 있습니다. 이달의 최신 버전은 API입니다. 이러한 API는 종종 느슨한 보안 제어 덕분에 쉽게 이길 수 있는 것으로 널리 알려져 있습니다.이러한 애플리케이션은 지속성이 매우 강하기 때문에 배포 후 몇 시간 내에 새 앱이 손상되거나 악용될 수 있습니다.Verizon 2021 데이터 침해 조사 보고서는 위협이 기업 및 조직을 겨냥했다는 점을 분명히 보여줍니다. 더 위험하다 오늘날, 역사상 그 어느 시점보다도.
개발 중인 소프트웨어를 진정으로 강화할 수 있는 유일한 방법은 보안 코드를 기반으로 구축되도록 하는 것뿐이라는 것이 분명해지고 있습니다.다시 말해, 위협 행위자의 침입을 막는 가장 좋은 방법은 애초에 이들이 애플리케이션에 들어갈 수 있는 발판을 차단하는 것입니다.일단 전쟁을 시작하면 대부분의 이점이 공격자에게 치우치게 됩니다.
이 상황은 처음으로 생겨났습니다. 애자일 개발 그리고 DevOps, 그리고 나중에는 전체로 데브섹옵스 무브먼트, 여기서 보안은 개발부터 배포까지 소프트웨어 개발 프로세스에 관련된 모든 사람의 공동 책임입니다.하지만 피라미드의 기반이자 틀림없이 가장 중요한 부분은 개발자입니다.대부분의 개발자는 자신의 역할을 다하고 안전한 코드를 작성하기를 원하지만, 이들이 일하는 조직 중 상당수는 우선 순위의 대대적인 변화에 필요한 변경 사항을 지지하지 않습니다.
설계에 의한 패배
수년 동안 개발자들은 조직에서 가장 중요한 역할은 비즈니스가 중단되지 않고 고객이 잠들지 않는 급변하는 환경에서 앱을 빠르게 구축하고 배포하는 것이라고 들었습니다.개발자가 코드를 더 빨리 작성하고 배포할 수 있는 기능이 많을수록 성능 평가 측면에서 더 가치 있는 것으로 나타났습니다.
보안은 나중에 고려했지만 전혀 고려하지 않았습니다.대신, 이 모든 것은 애플리케이션 보안 (AppSec) 팀이 알아내도록 맡겼습니다.AppSec 팀은 보안 패치를 적용하거나 취약점을 해결하기 위한 코드를 다시 작성하기 위해 완성된 애플리케이션을 다시 개발 단계로 보내는 경우가 많기 때문에 대부분의 개발자들이 싫어했습니다.그리고 개발자가 이미 “완성”된 앱을 개발하는 데 소비하는 매 시간은 새로운 앱과 기능을 만들지 않아 성능 (특히 징벌적인 회사의 눈에는 가치) 이 저하되는 한 시간이었습니다.
그리고 위협 환경으로 인해 대부분의 기업에서 보안의 중요성과 우선 순위가 바뀌었습니다.최근 자료에 따르면 데이터 침해 비용 보고서 IBM과 포네몬 연구소 (Ponemon Institute) 에 따르면 사이버 보안 침해로 인한 평균 비용은 현재 사고당 약 380만 달러이지만 상한선은 아닙니다.네트워크 침해로 인해 한 회사에서만 13억 달러의 손실이 발생했습니다.오늘날의 기업들은 DevSecOps가 제공하는 보안을 원하지만 안타깝게도 이러한 요청에 응답한 개발자에게 보상을 제공하는 데 시간이 오래 걸렸습니다.
개발 팀에게 보안을 고려하라고 말하는 것만으로는 효과가 없습니다. 특히 속도만을 기준으로 인센티브를 받고 있는 경우에는 더욱 그렇습니다.사실 이러한 시스템 내에서 시간을 들여 보안에 대해 배우고 코드를 보호하는 개발자들은 오히려 더 나은 성능 평가와 보안에 대해 잘 알지 못하는 동료들이 계속 받게 되는 수익성 높은 보너스를 놓칠 수 있습니다.마치 회사들이 자신들의 보안 실패를 위해 자신도 모르게 시스템을 조작하는 것과 거의 비슷한데, 이는 결국 개발팀에 대한 인식으로 돌아오게 됩니다.팀을 보안 최전선으로 보지 않는다면 인력을 활용하기 위한 실행 가능한 계획이 실현될 가능성은 거의 없습니다.
그렇다고 해서 훈련이 부족한 것도 아닙니다.매우 숙련된 개발자 중에는 수십 년 동안 코딩 경험이 있는 사람도 있지만, 보안에 관해서는 경험이 거의 없습니다. 결국에는 그럴 필요가 없었습니다.회사에서 숙련된 프로그래머에게 좋은 교육 프로그램을 제공하지 않는 한 개발자가 갑자기 새로운 기술을 습득하고 취약점을 적극적으로 줄이는 의미 있는 방식으로 이를 실행에 옮길 것이라고 기대할 수는 없습니다.
우수한 보안 관행에 대한 개발자 보상
다행인 것은 개발자 중 대다수가 도전적이면서도 보람을 느끼기 때문에, 그리고 자신의 직책에 수반되는 존중을 즐기기 때문에 일을 한다는 것입니다.평생 프로 코더였던 마이클 슈필트 최근에 쓴 글 그와 그의 코딩 동료들이 개발 작업에 참여하도록 동기를 부여하는 모든 것들이죠.네, 그는 이러한 인센티브 중 금전적 보상을 나열했지만, 놀랍게도 목록에 훨씬 못 미쳤습니다.대신 그는 새로운 것을 창조하고, 새로운 기술을 배울 때의 짜릿함, 그리고 자신의 작업이 다른 사람들을 돕는 데 직접적으로 사용될 것이라는 사실에 대한 만족감을 우선시합니다.그는 또한 회사와 커뮤니티 내에서 가치를 느끼고 싶다고 이야기합니다.간단히 말해서 개발자들은 자신의 일에 자부심을 느끼는 많은 좋은 사람들과 같습니다.
Shpilt와 같은 개발자는 위협 행위자가 코드를 손상시키고 이를 사용하여 회사 또는 도움을 주려는 바로 그 사용자에게 해를 끼치는 것을 원하지 않습니다.하지만 지원 없이는 보안 우선순위를 갑자기 바꿀 수는 없습니다.그렇지 않으면 시스템이 이들에게 불리하게 작용할 것 같습니다.
개발 팀이 사이버 보안 능력을 향상시키려면 먼저 필요한 기술을 배워야 합니다.스캐폴드 러닝과 Just-In-Time (Just-In-Time) 교육 같은 도구를 활용하면 이 프로세스의 어려움을 훨씬 덜 수 있고 올바른 상황에서 기존 지식을 기반으로 구축하는 데 도움이 됩니다.
JIt의 원칙은 개발자에게 적절한 시간에 올바른 지식을 제공하는 것입니다. 예를 들어 JIT 개발자 교육 도구가 프로그래머가 안전하지 않은 코드를 만들거나 실수로 애플리케이션에 취약점을 도입하는 것을 감지하면 이를 활성화하고 개발자에게 해당 문제를 해결하는 방법과 방법을 보여줄 수 있습니다. 더 안전한 코드 작성 미래에도 같은 기능을 수행할 수 있도록 말이죠.
기술 향상에 전념한다면 속도만을 기준으로 개발자를 평가하는 기존의 방식을 없애야 합니다.대신 코더는 안전한 코드를 만들 수 있는 능력에 따라 보상을 받아야 하며, 최고의 개발자는 보안 챔피언 이는 나머지 팀원들이 기술을 향상시키는 데 도움이 됩니다.그리고 이러한 챔피언들은 회사의 명성과 금전적 보상을 모두 받을 수 있어야 합니다.또한 개발자는 일반적으로 보안에 대해 긍정적인 경험을 하지 못한다는 점을 기억해야 합니다. 긍정적이고 재미있는 학습과 관심사에 맞는 인센티브로 개발자의 역량을 높이면 지식을 보존하고 기술을 계속 쌓고자 하는 열망을 높이는 데 큰 도움이 됩니다.
기업에서는 여전히 개발자 평가의 한 부분으로 코딩 속도를 포함할 수 있지만, 특히 코더가 새로운 기술을 배우는 경우 보안 애플리케이션을 개발하는 데 시간이 좀 더 걸릴 수 있다는 기대를 가지고 있습니다.
DevSecOps는 점점 더 위험해지는 위협 환경의 어둠의 예술에 대한 궁극적인 방어 수단이 될 수 있습니다.이 새로운 세계의 챔피언, 지속적으로 새 코드를 만드는 개발자는 자신의 작업에 대한 존경과 보상을 받아야 한다는 사실을 잊지 마세요.
전 세계의 다른 개발자들을 상대로 보안 기술을 시험해보고 싶으신가요?확인해 보세요 시큐어 코드 워리어의 데블림픽 2021글로벌 토너먼트에서 주요 상품을 받을 수 있습니다!
아래 링크를 클릭하고 이 리소스의 PDF를 다운로드하십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
사이버 위협 환경은 날이 갈수록 복잡해지고 있습니다.공격자들은 취약한 애플리케이션, 프로그램, 클라우드 인스턴스를 찾기 위해 네트워크를 지속적으로 스캔하고 있습니다. 이달의 최신 버전은 API입니다. 이러한 API는 종종 느슨한 보안 제어 덕분에 쉽게 이길 수 있는 것으로 널리 알려져 있습니다.이러한 애플리케이션은 지속성이 매우 강하기 때문에 배포 후 몇 시간 내에 새 앱이 손상되거나 악용될 수 있습니다.Verizon 2021 데이터 침해 조사 보고서는 위협이 기업 및 조직을 겨냥했다는 점을 분명히 보여줍니다. 더 위험하다 오늘날, 역사상 그 어느 시점보다도.
개발 중인 소프트웨어를 진정으로 강화할 수 있는 유일한 방법은 보안 코드를 기반으로 구축되도록 하는 것뿐이라는 것이 분명해지고 있습니다.다시 말해, 위협 행위자의 침입을 막는 가장 좋은 방법은 애초에 이들이 애플리케이션에 들어갈 수 있는 발판을 차단하는 것입니다.일단 전쟁을 시작하면 대부분의 이점이 공격자에게 치우치게 됩니다.
이 상황은 처음으로 생겨났습니다. 애자일 개발 그리고 DevOps, 그리고 나중에는 전체로 데브섹옵스 무브먼트, 여기서 보안은 개발부터 배포까지 소프트웨어 개발 프로세스에 관련된 모든 사람의 공동 책임입니다.하지만 피라미드의 기반이자 틀림없이 가장 중요한 부분은 개발자입니다.대부분의 개발자는 자신의 역할을 다하고 안전한 코드를 작성하기를 원하지만, 이들이 일하는 조직 중 상당수는 우선 순위의 대대적인 변화에 필요한 변경 사항을 지지하지 않습니다.
설계에 의한 패배
수년 동안 개발자들은 조직에서 가장 중요한 역할은 비즈니스가 중단되지 않고 고객이 잠들지 않는 급변하는 환경에서 앱을 빠르게 구축하고 배포하는 것이라고 들었습니다.개발자가 코드를 더 빨리 작성하고 배포할 수 있는 기능이 많을수록 성능 평가 측면에서 더 가치 있는 것으로 나타났습니다.
보안은 나중에 고려했지만 전혀 고려하지 않았습니다.대신, 이 모든 것은 애플리케이션 보안 (AppSec) 팀이 알아내도록 맡겼습니다.AppSec 팀은 보안 패치를 적용하거나 취약점을 해결하기 위한 코드를 다시 작성하기 위해 완성된 애플리케이션을 다시 개발 단계로 보내는 경우가 많기 때문에 대부분의 개발자들이 싫어했습니다.그리고 개발자가 이미 “완성”된 앱을 개발하는 데 소비하는 매 시간은 새로운 앱과 기능을 만들지 않아 성능 (특히 징벌적인 회사의 눈에는 가치) 이 저하되는 한 시간이었습니다.
그리고 위협 환경으로 인해 대부분의 기업에서 보안의 중요성과 우선 순위가 바뀌었습니다.최근 자료에 따르면 데이터 침해 비용 보고서 IBM과 포네몬 연구소 (Ponemon Institute) 에 따르면 사이버 보안 침해로 인한 평균 비용은 현재 사고당 약 380만 달러이지만 상한선은 아닙니다.네트워크 침해로 인해 한 회사에서만 13억 달러의 손실이 발생했습니다.오늘날의 기업들은 DevSecOps가 제공하는 보안을 원하지만 안타깝게도 이러한 요청에 응답한 개발자에게 보상을 제공하는 데 시간이 오래 걸렸습니다.
개발 팀에게 보안을 고려하라고 말하는 것만으로는 효과가 없습니다. 특히 속도만을 기준으로 인센티브를 받고 있는 경우에는 더욱 그렇습니다.사실 이러한 시스템 내에서 시간을 들여 보안에 대해 배우고 코드를 보호하는 개발자들은 오히려 더 나은 성능 평가와 보안에 대해 잘 알지 못하는 동료들이 계속 받게 되는 수익성 높은 보너스를 놓칠 수 있습니다.마치 회사들이 자신들의 보안 실패를 위해 자신도 모르게 시스템을 조작하는 것과 거의 비슷한데, 이는 결국 개발팀에 대한 인식으로 돌아오게 됩니다.팀을 보안 최전선으로 보지 않는다면 인력을 활용하기 위한 실행 가능한 계획이 실현될 가능성은 거의 없습니다.
그렇다고 해서 훈련이 부족한 것도 아닙니다.매우 숙련된 개발자 중에는 수십 년 동안 코딩 경험이 있는 사람도 있지만, 보안에 관해서는 경험이 거의 없습니다. 결국에는 그럴 필요가 없었습니다.회사에서 숙련된 프로그래머에게 좋은 교육 프로그램을 제공하지 않는 한 개발자가 갑자기 새로운 기술을 습득하고 취약점을 적극적으로 줄이는 의미 있는 방식으로 이를 실행에 옮길 것이라고 기대할 수는 없습니다.
우수한 보안 관행에 대한 개발자 보상
다행인 것은 개발자 중 대다수가 도전적이면서도 보람을 느끼기 때문에, 그리고 자신의 직책에 수반되는 존중을 즐기기 때문에 일을 한다는 것입니다.평생 프로 코더였던 마이클 슈필트 최근에 쓴 글 그와 그의 코딩 동료들이 개발 작업에 참여하도록 동기를 부여하는 모든 것들이죠.네, 그는 이러한 인센티브 중 금전적 보상을 나열했지만, 놀랍게도 목록에 훨씬 못 미쳤습니다.대신 그는 새로운 것을 창조하고, 새로운 기술을 배울 때의 짜릿함, 그리고 자신의 작업이 다른 사람들을 돕는 데 직접적으로 사용될 것이라는 사실에 대한 만족감을 우선시합니다.그는 또한 회사와 커뮤니티 내에서 가치를 느끼고 싶다고 이야기합니다.간단히 말해서 개발자들은 자신의 일에 자부심을 느끼는 많은 좋은 사람들과 같습니다.
Shpilt와 같은 개발자는 위협 행위자가 코드를 손상시키고 이를 사용하여 회사 또는 도움을 주려는 바로 그 사용자에게 해를 끼치는 것을 원하지 않습니다.하지만 지원 없이는 보안 우선순위를 갑자기 바꿀 수는 없습니다.그렇지 않으면 시스템이 이들에게 불리하게 작용할 것 같습니다.
개발 팀이 사이버 보안 능력을 향상시키려면 먼저 필요한 기술을 배워야 합니다.스캐폴드 러닝과 Just-In-Time (Just-In-Time) 교육 같은 도구를 활용하면 이 프로세스의 어려움을 훨씬 덜 수 있고 올바른 상황에서 기존 지식을 기반으로 구축하는 데 도움이 됩니다.
JIt의 원칙은 개발자에게 적절한 시간에 올바른 지식을 제공하는 것입니다. 예를 들어 JIT 개발자 교육 도구가 프로그래머가 안전하지 않은 코드를 만들거나 실수로 애플리케이션에 취약점을 도입하는 것을 감지하면 이를 활성화하고 개발자에게 해당 문제를 해결하는 방법과 방법을 보여줄 수 있습니다. 더 안전한 코드 작성 미래에도 같은 기능을 수행할 수 있도록 말이죠.
기술 향상에 전념한다면 속도만을 기준으로 개발자를 평가하는 기존의 방식을 없애야 합니다.대신 코더는 안전한 코드를 만들 수 있는 능력에 따라 보상을 받아야 하며, 최고의 개발자는 보안 챔피언 이는 나머지 팀원들이 기술을 향상시키는 데 도움이 됩니다.그리고 이러한 챔피언들은 회사의 명성과 금전적 보상을 모두 받을 수 있어야 합니다.또한 개발자는 일반적으로 보안에 대해 긍정적인 경험을 하지 못한다는 점을 기억해야 합니다. 긍정적이고 재미있는 학습과 관심사에 맞는 인센티브로 개발자의 역량을 높이면 지식을 보존하고 기술을 계속 쌓고자 하는 열망을 높이는 데 큰 도움이 됩니다.
기업에서는 여전히 개발자 평가의 한 부분으로 코딩 속도를 포함할 수 있지만, 특히 코더가 새로운 기술을 배우는 경우 보안 애플리케이션을 개발하는 데 시간이 좀 더 걸릴 수 있다는 기대를 가지고 있습니다.
DevSecOps는 점점 더 위험해지는 위협 환경의 어둠의 예술에 대한 궁극적인 방어 수단이 될 수 있습니다.이 새로운 세계의 챔피언, 지속적으로 새 코드를 만드는 개발자는 자신의 작업에 대한 존경과 보상을 받아야 한다는 사실을 잊지 마세요.
전 세계의 다른 개발자들을 상대로 보안 기술을 시험해보고 싶으신가요?확인해 보세요 시큐어 코드 워리어의 데블림픽 2021글로벌 토너먼트에서 주요 상품을 받을 수 있습니다!
%20(1).avif)
.avif)
