개발자 주도 보안을 통한 기술적 부채 완화
부채에 대해 이야기해 봅시다.
사이버 범죄가 글로벌 경제가 직면한 주요 문제가 되었다는 사실은 이제 누구나 알고 있습니다.2022년 현재 미국의 데이터 침해로 인한 평균 비용은 944만 달러로 전년도 905만 달러에서 증가했습니다.안전하지 않은 코드로 인한 비용과 누적된 기술적 부채를 무시하지 않는 것이 중요합니다.2022년에 따르면 정보 및 소프트웨어 품질 컨소시엄: 소프트웨어 품질 저하로 인한 비용 보고서에 따르면 미국의 소프트웨어 품질 저하로 인한 비용은 2조 4,100억 달러로 증가했으며 누적된 소프트웨어 기술 부채는 1조 5,200억 달러로 증가한 것으로 추정됩니다.
안전하지 않은 코드를 해결하는 데 드는 급증하는 비용과 그에 따른 기술적 부채는 기존 코드 베이스를 변경하는 데 있어 가장 큰 장애물이 되어 악용 및 외부 위협에 취약하게 되었습니다.소프트웨어 보안 상태가 실존적 위기에 직면해 있습니다. 누적된 기술적 부채를 해소할 뿐만 아니라 보안 태세를 개선해야 한다는 것을 알고 있지만 그 장벽은 엄청납니다.
- 미국에는 약 30만 개의 소프트웨어 개발자 및 IT 관련 일자리가 채워지지 않고 있으며 15% 의 성장률이 예상됩니다.
- 2025년까지 IT 예산의 40% 가 단순히 기술 관련 부채를 유지하는 데 사용될 것으로 예상됩니다.
- 개발자의 주당 평균 근무 시간의 1/3이 기술 부채 해결에 사용됩니다.
빠른 수정은 위험하며 장기적으로 비용이 더 많이 듭니다.
기술 부채란 무엇이며 왜 그렇게 중요한가요?의사 결정권자가 소프트웨어 개발 문제에 대한 보다 포괄적이고 장기적인 해결책 대신 단기적인 해결책을 찾으면 기술 부채가 누적됩니다.여기에는 조직이 나중에 지불해야 하는 상당한 숨겨진 비용이 뒤따릅니다.신용카드의 최대 한도액과 마찬가지로 기술 부채에도 크게 두 가지 요소가 있습니다.
- 주요한 - 소프트웨어를 원하는 수준의 유지 관리 및 보안에 도달하도록 리팩토링하거나 수정하는 데 드는 총 비용을 말합니다.
- 관심 - 개발자가 새로운 기능이 아닌 기술적 문제만을 해결하기 위해 이러한 변경을 위해 소비하는 추가 노력.정확하지 않은 코드에 시간을 할애할 때마다 부채에 이자가 추가됩니다.
새로운 기능, 버그 수정 및 유지 관리 비용이 프로젝트 예산을 초과하여 소프트웨어 응용 프로그램의 가치를 크게 떨어뜨리면 결국 “기술적 파산” 상태에 도달할 수 있습니다.
그러나 삶에서와 마찬가지로 일부 부채 축적은 정상이며 대부분의 경우 어느 정도 예상됩니다.
이상적으로는 모든 소프트웨어 개발자가 코드를 발송하기 전에 버그를 최대한 줄이는 것이 좋습니다.하지만 조직에서는 경쟁력을 갖추기 위해 최소한의 비용으로 기능이나 제품을 신속하게 고객에게 제공하고자 하는 등 어려운 절충점에 직면해 있습니다.결과적으로 개발자의 KPI는 제공 속도와 초기 구축 비용을 기반으로 하기 때문에 애플리케이션의 품질이 떨어집니다.그림에서 빠진 것은 누적된 결함과 잠재적 취약점이 코드에 내장되어 있다는 것입니다.이로 인해 버그가 발생하거나 보안 취약점이 무성할 수 있으며, 심하면 악의적인 공격자의 악용에 노출될 수도 있습니다.
하지만 수수께끼가 있습니다. 막대한 기술적 부채를 축적하지 않고 제품을 신속하게 배송할 수 있는 다른 방법이 있을까요?
결함과 취약점을 발견하고 해결하는 데 드는 비용은 소프트웨어 개발 라이프사이클에서 단일 비용 중 가장 큰 비용입니다.개발 라이프사이클 초기에 문제가 발견될수록 전체 딜리버리의 비용 효율성이 높아집니다.
기술 부채는 보안 부채로 발전할 수 있습니다
많은 개발자들은 이미 검증된 솔루션을 사용하여 빠르고 이상적으로 작업할 수 있도록 오픈 소스 코드를 사용하여 이러한 장단점을 피하려고 합니다.하지만 오픈소스 소프트웨어에 크게 의존하고 있습니다. 종종 자체 위험을 초래합니다.:
- 오픈 소스 구성 요소 중 82% 가 오래된 것으로 확인되었습니다 (예: 패치가 적용되지 않았거나 제대로 지원되지 않음)
- 코드베이스의 75% 가 취약점을 포함하고 있으며 (2018년의 60% 에서 증가), 49% 에는 고위험 취약성이 포함되어 있습니다.
- 코드베이스당 평균 82개의 취약점이 식별되었습니다.
이로 인해 기술 부채의 일부인 보안 부채가 급증합니다.보안 부채는 소프트웨어 애플리케이션에 누적되는 취약점으로 인해 데이터 및 시스템을 공격으로부터 보호하기가 더 어려워지거나 심지어 불가능하게 만드는 현상입니다.
가장 악명 높은 사례 중 하나는 신용 보고 대기업인 Equifax입니다. 2017년에 위반되었습니다 널리 사용되는 오픈 소스 웹 애플리케이션 프레임워크인 Apache Struts의 알려진 취약점을 패치하는 데 실패했기 때문입니다.이 패치는 출시된 지 몇 개월이 지났지만 이번 침해로 인해 1억 4,700만 명이 넘는 사람들의 중요한 개인 데이터가 손상되었습니다.
따라서 많은 애플리케이션이 기술적 부채뿐만 아니라 애플리케이션 자체의 보안 약점 및 취약성의 밀도로 인해 임계치에 도달했기 때문에 보안 코딩 관행에 더 많은 관심을 기울여야 합니다.
이로 인해 유형적이든 무형적이든 막대한 손실이 발생할 수 있습니다.
평판 손상:고객의 신뢰 상실은 향후 매우 부정적인 영향을 미칠 수 있습니다.여기에는 브랜드 손상, 판매 손실, 침해로 인한 비용이 많이 드는 법적 문제 등이 포함될 수 있습니다.
규제 및 규정 준수에 미치는 영향:보안 침해로 인해 회사가 기한 및/또는 계약상 의무를 놓칠 수 있는 경우SLA를 준수하지 못하면 회사는 규제 기관과 문제를 일으켜 상당한 벌금이 부과될 수 있습니다.
개선 비용: 장애 또는 운영 중단이 발생한 후에는 생산성 손실을 만회하기 위해 추가 작업이 필요한 경우가 많습니다.
SDLC의 기술 및 보안 부채 방지
많은 조직에서 이미 더 강력한 보안 태세를 구축하기 위해 예산을 변경하고 있습니다.지난 해, 구글은 5년간 100억 달러를 약속했습니다. 사이버 보안 강화 프로그램에 자금을 지원합니다.바이든 행정부도 요청했습니다. 2022년 임의 예산 21억 달러 사이버 보안 및 인프라 보안국 (CISA) 을 위해
개발자의 전문적 성장과 지식을 강화하는 데 도움이 되는 더 많은 리소스와 교육을 제공하는 것이 프로덕션에 출시되는 모든 코드에 대한 품질 표준을 수립하는 첫 번째 단계가 될 수 있습니다.
취약점이나 결함을 발견하고 해결하는 데 드는 비용은 소프트웨어 개발 주기가 늦어질수록 기하급수적으로 증가합니다.지금까지 살펴본 바와 같이 조직은 기술 및 보안 문제를 해결하는 데 너무 많은 시간을 할애하고 있기 때문에 혁신을 포기하고 새로운 기능이나 제품에 시간을 투자함으로써 스스로 손실을 초래하고 있습니다.
2022년에는 개발자 팀 대다수가 DevOps 또는 DevSecOps를 선택한 방법론이라고 말했는데, 그 이유는 놀라운 일이 아닙니다.DevSecOps는 소프트웨어 개발 라이프사이클의 모든 단계에서 보안을 통합하여 더 우수하고 안전한 애플리케이션을 제공합니다.보안 및 개발 팀은 사일로 속에서 계속 작업하며 긴장을 겪고 있지만, 비즈니스의 성공을 위해서는 이러한 변화가 필요하다는 것은 분명합니다.DevOps는 조직이 장벽을 허물고 문화를 재편하려는 방식의 일부입니다.DevSecOps의 기본 목표는 소프트웨어 개발 라이프사이클 초기부터 AppSec/ Security와 개발자 간의 협업을 강화하는 것입니다.
기술적 부채 및 보안 문제를 해결하기 위한 새로운 사고 방식을 구현하는 것이 기념비적인 업적일 필요는 없습니다.조직의 개발자 커뮤니티의 보안 인식과 기술을 향상시키려면 교육을 통해 사전 예방적 사고방식을 확립하는 것이 중요합니다.개발자를 위한 강력한 보안 코딩 교육을 통해 지속적이고, 대화형이며, 관련성이 높고, 상황에 맞는 학습이 필수적입니다.진정한 개발자 주도의 보안 문화를 조성하기 위해 무엇이 필요한지 진정으로 총체적인 접근 방식을 취해야 합니다.개발자 팀을 관리하고 구성하는 일반적인 방식에서 초점을 바꿔야 할 수도 있습니다.
문화를 바꾸는 것은 쉬운 일이 아니지만 Secure Code Warrior는 보안 챔피언을 식별하고 개발자와 조직이 오늘날의 끊임없이 변화하는 보안 문제를 해결하는 데 필요한 적절한 기술을 갖추도록 도와줍니다.
매력적이고 확장 가능한 보안 코드 프로그램을 출시하는 것은 보안에 대한 과거의 사후 대응 방식이 아닌 장기적인 예방적 접근 방식을 취하기 때문에 가치 있는 투자입니다.이는 궁극적으로 침해로 인한 비용이 많이 드는 위험을 완화하고, 개발자에게 취약점을 신속하게 찾아 해결하는 방법을 교육하며, 보다 민첩하게 제품 개발에 집중하고 시장 출시 시간을 단축하는 데 도움이 됩니다.
안전하지 않은 코드와 그에 따른 기술적 부채를 해결하는 데 드는 비용은 오늘날 기술이 직면한 가장 큰 장애물 중 하나입니다.확장 가능한 보안 코드 교육 프로그램을 구현하여 소프트웨어 개발 주기 초기에 잘못된 코딩 패턴을 해결하고 취약성을 탐지하여 기술적 부채를 줄이는 데 어떻게 도움이 되는지 알아보십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
테일러 브로드풋-나이마크는 Secure Code Warrior 의 제품 마케팅 매니저입니다. 사이버 보안 및 애자일 학습에 관한 여러 기사를 작성했으며 제품 출시, GTM 전략 및 고객 옹호도 담당하고 있습니다.
부채에 대해 이야기해 봅시다.
사이버 범죄가 글로벌 경제가 직면한 주요 문제가 되었다는 사실은 이제 누구나 알고 있습니다.2022년 현재 미국의 데이터 침해로 인한 평균 비용은 944만 달러로 전년도 905만 달러에서 증가했습니다.안전하지 않은 코드로 인한 비용과 누적된 기술적 부채를 무시하지 않는 것이 중요합니다.2022년에 따르면 정보 및 소프트웨어 품질 컨소시엄: 소프트웨어 품질 저하로 인한 비용 보고서에 따르면 미국의 소프트웨어 품질 저하로 인한 비용은 2조 4,100억 달러로 증가했으며 누적된 소프트웨어 기술 부채는 1조 5,200억 달러로 증가한 것으로 추정됩니다.
안전하지 않은 코드를 해결하는 데 드는 급증하는 비용과 그에 따른 기술적 부채는 기존 코드 베이스를 변경하는 데 있어 가장 큰 장애물이 되어 악용 및 외부 위협에 취약하게 되었습니다.소프트웨어 보안 상태가 실존적 위기에 직면해 있습니다. 누적된 기술적 부채를 해소할 뿐만 아니라 보안 태세를 개선해야 한다는 것을 알고 있지만 그 장벽은 엄청납니다.
- 미국에는 약 30만 개의 소프트웨어 개발자 및 IT 관련 일자리가 채워지지 않고 있으며 15% 의 성장률이 예상됩니다.
- 2025년까지 IT 예산의 40% 가 단순히 기술 관련 부채를 유지하는 데 사용될 것으로 예상됩니다.
- 개발자의 주당 평균 근무 시간의 1/3이 기술 부채 해결에 사용됩니다.
빠른 수정은 위험하며 장기적으로 비용이 더 많이 듭니다.
기술 부채란 무엇이며 왜 그렇게 중요한가요?의사 결정권자가 소프트웨어 개발 문제에 대한 보다 포괄적이고 장기적인 해결책 대신 단기적인 해결책을 찾으면 기술 부채가 누적됩니다.여기에는 조직이 나중에 지불해야 하는 상당한 숨겨진 비용이 뒤따릅니다.신용카드의 최대 한도액과 마찬가지로 기술 부채에도 크게 두 가지 요소가 있습니다.
- 주요한 - 소프트웨어를 원하는 수준의 유지 관리 및 보안에 도달하도록 리팩토링하거나 수정하는 데 드는 총 비용을 말합니다.
- 관심 - 개발자가 새로운 기능이 아닌 기술적 문제만을 해결하기 위해 이러한 변경을 위해 소비하는 추가 노력.정확하지 않은 코드에 시간을 할애할 때마다 부채에 이자가 추가됩니다.
새로운 기능, 버그 수정 및 유지 관리 비용이 프로젝트 예산을 초과하여 소프트웨어 응용 프로그램의 가치를 크게 떨어뜨리면 결국 “기술적 파산” 상태에 도달할 수 있습니다.
그러나 삶에서와 마찬가지로 일부 부채 축적은 정상이며 대부분의 경우 어느 정도 예상됩니다.
이상적으로는 모든 소프트웨어 개발자가 코드를 발송하기 전에 버그를 최대한 줄이는 것이 좋습니다.하지만 조직에서는 경쟁력을 갖추기 위해 최소한의 비용으로 기능이나 제품을 신속하게 고객에게 제공하고자 하는 등 어려운 절충점에 직면해 있습니다.결과적으로 개발자의 KPI는 제공 속도와 초기 구축 비용을 기반으로 하기 때문에 애플리케이션의 품질이 떨어집니다.그림에서 빠진 것은 누적된 결함과 잠재적 취약점이 코드에 내장되어 있다는 것입니다.이로 인해 버그가 발생하거나 보안 취약점이 무성할 수 있으며, 심하면 악의적인 공격자의 악용에 노출될 수도 있습니다.
하지만 수수께끼가 있습니다. 막대한 기술적 부채를 축적하지 않고 제품을 신속하게 배송할 수 있는 다른 방법이 있을까요?
결함과 취약점을 발견하고 해결하는 데 드는 비용은 소프트웨어 개발 라이프사이클에서 단일 비용 중 가장 큰 비용입니다.개발 라이프사이클 초기에 문제가 발견될수록 전체 딜리버리의 비용 효율성이 높아집니다.
기술 부채는 보안 부채로 발전할 수 있습니다
많은 개발자들은 이미 검증된 솔루션을 사용하여 빠르고 이상적으로 작업할 수 있도록 오픈 소스 코드를 사용하여 이러한 장단점을 피하려고 합니다.하지만 오픈소스 소프트웨어에 크게 의존하고 있습니다. 종종 자체 위험을 초래합니다.:
- 오픈 소스 구성 요소 중 82% 가 오래된 것으로 확인되었습니다 (예: 패치가 적용되지 않았거나 제대로 지원되지 않음)
- 코드베이스의 75% 가 취약점을 포함하고 있으며 (2018년의 60% 에서 증가), 49% 에는 고위험 취약성이 포함되어 있습니다.
- 코드베이스당 평균 82개의 취약점이 식별되었습니다.
이로 인해 기술 부채의 일부인 보안 부채가 급증합니다.보안 부채는 소프트웨어 애플리케이션에 누적되는 취약점으로 인해 데이터 및 시스템을 공격으로부터 보호하기가 더 어려워지거나 심지어 불가능하게 만드는 현상입니다.
가장 악명 높은 사례 중 하나는 신용 보고 대기업인 Equifax입니다. 2017년에 위반되었습니다 널리 사용되는 오픈 소스 웹 애플리케이션 프레임워크인 Apache Struts의 알려진 취약점을 패치하는 데 실패했기 때문입니다.이 패치는 출시된 지 몇 개월이 지났지만 이번 침해로 인해 1억 4,700만 명이 넘는 사람들의 중요한 개인 데이터가 손상되었습니다.
따라서 많은 애플리케이션이 기술적 부채뿐만 아니라 애플리케이션 자체의 보안 약점 및 취약성의 밀도로 인해 임계치에 도달했기 때문에 보안 코딩 관행에 더 많은 관심을 기울여야 합니다.
이로 인해 유형적이든 무형적이든 막대한 손실이 발생할 수 있습니다.
평판 손상:고객의 신뢰 상실은 향후 매우 부정적인 영향을 미칠 수 있습니다.여기에는 브랜드 손상, 판매 손실, 침해로 인한 비용이 많이 드는 법적 문제 등이 포함될 수 있습니다.
규제 및 규정 준수에 미치는 영향:보안 침해로 인해 회사가 기한 및/또는 계약상 의무를 놓칠 수 있는 경우SLA를 준수하지 못하면 회사는 규제 기관과 문제를 일으켜 상당한 벌금이 부과될 수 있습니다.
개선 비용: 장애 또는 운영 중단이 발생한 후에는 생산성 손실을 만회하기 위해 추가 작업이 필요한 경우가 많습니다.
SDLC의 기술 및 보안 부채 방지
많은 조직에서 이미 더 강력한 보안 태세를 구축하기 위해 예산을 변경하고 있습니다.지난 해, 구글은 5년간 100억 달러를 약속했습니다. 사이버 보안 강화 프로그램에 자금을 지원합니다.바이든 행정부도 요청했습니다. 2022년 임의 예산 21억 달러 사이버 보안 및 인프라 보안국 (CISA) 을 위해
개발자의 전문적 성장과 지식을 강화하는 데 도움이 되는 더 많은 리소스와 교육을 제공하는 것이 프로덕션에 출시되는 모든 코드에 대한 품질 표준을 수립하는 첫 번째 단계가 될 수 있습니다.
취약점이나 결함을 발견하고 해결하는 데 드는 비용은 소프트웨어 개발 주기가 늦어질수록 기하급수적으로 증가합니다.지금까지 살펴본 바와 같이 조직은 기술 및 보안 문제를 해결하는 데 너무 많은 시간을 할애하고 있기 때문에 혁신을 포기하고 새로운 기능이나 제품에 시간을 투자함으로써 스스로 손실을 초래하고 있습니다.
2022년에는 개발자 팀 대다수가 DevOps 또는 DevSecOps를 선택한 방법론이라고 말했는데, 그 이유는 놀라운 일이 아닙니다.DevSecOps는 소프트웨어 개발 라이프사이클의 모든 단계에서 보안을 통합하여 더 우수하고 안전한 애플리케이션을 제공합니다.보안 및 개발 팀은 사일로 속에서 계속 작업하며 긴장을 겪고 있지만, 비즈니스의 성공을 위해서는 이러한 변화가 필요하다는 것은 분명합니다.DevOps는 조직이 장벽을 허물고 문화를 재편하려는 방식의 일부입니다.DevSecOps의 기본 목표는 소프트웨어 개발 라이프사이클 초기부터 AppSec/ Security와 개발자 간의 협업을 강화하는 것입니다.
기술적 부채 및 보안 문제를 해결하기 위한 새로운 사고 방식을 구현하는 것이 기념비적인 업적일 필요는 없습니다.조직의 개발자 커뮤니티의 보안 인식과 기술을 향상시키려면 교육을 통해 사전 예방적 사고방식을 확립하는 것이 중요합니다.개발자를 위한 강력한 보안 코딩 교육을 통해 지속적이고, 대화형이며, 관련성이 높고, 상황에 맞는 학습이 필수적입니다.진정한 개발자 주도의 보안 문화를 조성하기 위해 무엇이 필요한지 진정으로 총체적인 접근 방식을 취해야 합니다.개발자 팀을 관리하고 구성하는 일반적인 방식에서 초점을 바꿔야 할 수도 있습니다.
문화를 바꾸는 것은 쉬운 일이 아니지만 Secure Code Warrior는 보안 챔피언을 식별하고 개발자와 조직이 오늘날의 끊임없이 변화하는 보안 문제를 해결하는 데 필요한 적절한 기술을 갖추도록 도와줍니다.
매력적이고 확장 가능한 보안 코드 프로그램을 출시하는 것은 보안에 대한 과거의 사후 대응 방식이 아닌 장기적인 예방적 접근 방식을 취하기 때문에 가치 있는 투자입니다.이는 궁극적으로 침해로 인한 비용이 많이 드는 위험을 완화하고, 개발자에게 취약점을 신속하게 찾아 해결하는 방법을 교육하며, 보다 민첩하게 제품 개발에 집중하고 시장 출시 시간을 단축하는 데 도움이 됩니다.
부채에 대해 이야기해 봅시다.
사이버 범죄가 글로벌 경제가 직면한 주요 문제가 되었다는 사실은 이제 누구나 알고 있습니다.2022년 현재 미국의 데이터 침해로 인한 평균 비용은 944만 달러로 전년도 905만 달러에서 증가했습니다.안전하지 않은 코드로 인한 비용과 누적된 기술적 부채를 무시하지 않는 것이 중요합니다.2022년에 따르면 정보 및 소프트웨어 품질 컨소시엄: 소프트웨어 품질 저하로 인한 비용 보고서에 따르면 미국의 소프트웨어 품질 저하로 인한 비용은 2조 4,100억 달러로 증가했으며 누적된 소프트웨어 기술 부채는 1조 5,200억 달러로 증가한 것으로 추정됩니다.
안전하지 않은 코드를 해결하는 데 드는 급증하는 비용과 그에 따른 기술적 부채는 기존 코드 베이스를 변경하는 데 있어 가장 큰 장애물이 되어 악용 및 외부 위협에 취약하게 되었습니다.소프트웨어 보안 상태가 실존적 위기에 직면해 있습니다. 누적된 기술적 부채를 해소할 뿐만 아니라 보안 태세를 개선해야 한다는 것을 알고 있지만 그 장벽은 엄청납니다.
- 미국에는 약 30만 개의 소프트웨어 개발자 및 IT 관련 일자리가 채워지지 않고 있으며 15% 의 성장률이 예상됩니다.
- 2025년까지 IT 예산의 40% 가 단순히 기술 관련 부채를 유지하는 데 사용될 것으로 예상됩니다.
- 개발자의 주당 평균 근무 시간의 1/3이 기술 부채 해결에 사용됩니다.
빠른 수정은 위험하며 장기적으로 비용이 더 많이 듭니다.
기술 부채란 무엇이며 왜 그렇게 중요한가요?의사 결정권자가 소프트웨어 개발 문제에 대한 보다 포괄적이고 장기적인 해결책 대신 단기적인 해결책을 찾으면 기술 부채가 누적됩니다.여기에는 조직이 나중에 지불해야 하는 상당한 숨겨진 비용이 뒤따릅니다.신용카드의 최대 한도액과 마찬가지로 기술 부채에도 크게 두 가지 요소가 있습니다.
- 주요한 - 소프트웨어를 원하는 수준의 유지 관리 및 보안에 도달하도록 리팩토링하거나 수정하는 데 드는 총 비용을 말합니다.
- 관심 - 개발자가 새로운 기능이 아닌 기술적 문제만을 해결하기 위해 이러한 변경을 위해 소비하는 추가 노력.정확하지 않은 코드에 시간을 할애할 때마다 부채에 이자가 추가됩니다.
새로운 기능, 버그 수정 및 유지 관리 비용이 프로젝트 예산을 초과하여 소프트웨어 응용 프로그램의 가치를 크게 떨어뜨리면 결국 “기술적 파산” 상태에 도달할 수 있습니다.
그러나 삶에서와 마찬가지로 일부 부채 축적은 정상이며 대부분의 경우 어느 정도 예상됩니다.
이상적으로는 모든 소프트웨어 개발자가 코드를 발송하기 전에 버그를 최대한 줄이는 것이 좋습니다.하지만 조직에서는 경쟁력을 갖추기 위해 최소한의 비용으로 기능이나 제품을 신속하게 고객에게 제공하고자 하는 등 어려운 절충점에 직면해 있습니다.결과적으로 개발자의 KPI는 제공 속도와 초기 구축 비용을 기반으로 하기 때문에 애플리케이션의 품질이 떨어집니다.그림에서 빠진 것은 누적된 결함과 잠재적 취약점이 코드에 내장되어 있다는 것입니다.이로 인해 버그가 발생하거나 보안 취약점이 무성할 수 있으며, 심하면 악의적인 공격자의 악용에 노출될 수도 있습니다.
하지만 수수께끼가 있습니다. 막대한 기술적 부채를 축적하지 않고 제품을 신속하게 배송할 수 있는 다른 방법이 있을까요?
결함과 취약점을 발견하고 해결하는 데 드는 비용은 소프트웨어 개발 라이프사이클에서 단일 비용 중 가장 큰 비용입니다.개발 라이프사이클 초기에 문제가 발견될수록 전체 딜리버리의 비용 효율성이 높아집니다.
기술 부채는 보안 부채로 발전할 수 있습니다
많은 개발자들은 이미 검증된 솔루션을 사용하여 빠르고 이상적으로 작업할 수 있도록 오픈 소스 코드를 사용하여 이러한 장단점을 피하려고 합니다.하지만 오픈소스 소프트웨어에 크게 의존하고 있습니다. 종종 자체 위험을 초래합니다.:
- 오픈 소스 구성 요소 중 82% 가 오래된 것으로 확인되었습니다 (예: 패치가 적용되지 않았거나 제대로 지원되지 않음)
- 코드베이스의 75% 가 취약점을 포함하고 있으며 (2018년의 60% 에서 증가), 49% 에는 고위험 취약성이 포함되어 있습니다.
- 코드베이스당 평균 82개의 취약점이 식별되었습니다.
이로 인해 기술 부채의 일부인 보안 부채가 급증합니다.보안 부채는 소프트웨어 애플리케이션에 누적되는 취약점으로 인해 데이터 및 시스템을 공격으로부터 보호하기가 더 어려워지거나 심지어 불가능하게 만드는 현상입니다.
가장 악명 높은 사례 중 하나는 신용 보고 대기업인 Equifax입니다. 2017년에 위반되었습니다 널리 사용되는 오픈 소스 웹 애플리케이션 프레임워크인 Apache Struts의 알려진 취약점을 패치하는 데 실패했기 때문입니다.이 패치는 출시된 지 몇 개월이 지났지만 이번 침해로 인해 1억 4,700만 명이 넘는 사람들의 중요한 개인 데이터가 손상되었습니다.
따라서 많은 애플리케이션이 기술적 부채뿐만 아니라 애플리케이션 자체의 보안 약점 및 취약성의 밀도로 인해 임계치에 도달했기 때문에 보안 코딩 관행에 더 많은 관심을 기울여야 합니다.
이로 인해 유형적이든 무형적이든 막대한 손실이 발생할 수 있습니다.
평판 손상:고객의 신뢰 상실은 향후 매우 부정적인 영향을 미칠 수 있습니다.여기에는 브랜드 손상, 판매 손실, 침해로 인한 비용이 많이 드는 법적 문제 등이 포함될 수 있습니다.
규제 및 규정 준수에 미치는 영향:보안 침해로 인해 회사가 기한 및/또는 계약상 의무를 놓칠 수 있는 경우SLA를 준수하지 못하면 회사는 규제 기관과 문제를 일으켜 상당한 벌금이 부과될 수 있습니다.
개선 비용: 장애 또는 운영 중단이 발생한 후에는 생산성 손실을 만회하기 위해 추가 작업이 필요한 경우가 많습니다.
SDLC의 기술 및 보안 부채 방지
많은 조직에서 이미 더 강력한 보안 태세를 구축하기 위해 예산을 변경하고 있습니다.지난 해, 구글은 5년간 100억 달러를 약속했습니다. 사이버 보안 강화 프로그램에 자금을 지원합니다.바이든 행정부도 요청했습니다. 2022년 임의 예산 21억 달러 사이버 보안 및 인프라 보안국 (CISA) 을 위해
개발자의 전문적 성장과 지식을 강화하는 데 도움이 되는 더 많은 리소스와 교육을 제공하는 것이 프로덕션에 출시되는 모든 코드에 대한 품질 표준을 수립하는 첫 번째 단계가 될 수 있습니다.
취약점이나 결함을 발견하고 해결하는 데 드는 비용은 소프트웨어 개발 주기가 늦어질수록 기하급수적으로 증가합니다.지금까지 살펴본 바와 같이 조직은 기술 및 보안 문제를 해결하는 데 너무 많은 시간을 할애하고 있기 때문에 혁신을 포기하고 새로운 기능이나 제품에 시간을 투자함으로써 스스로 손실을 초래하고 있습니다.
2022년에는 개발자 팀 대다수가 DevOps 또는 DevSecOps를 선택한 방법론이라고 말했는데, 그 이유는 놀라운 일이 아닙니다.DevSecOps는 소프트웨어 개발 라이프사이클의 모든 단계에서 보안을 통합하여 더 우수하고 안전한 애플리케이션을 제공합니다.보안 및 개발 팀은 사일로 속에서 계속 작업하며 긴장을 겪고 있지만, 비즈니스의 성공을 위해서는 이러한 변화가 필요하다는 것은 분명합니다.DevOps는 조직이 장벽을 허물고 문화를 재편하려는 방식의 일부입니다.DevSecOps의 기본 목표는 소프트웨어 개발 라이프사이클 초기부터 AppSec/ Security와 개발자 간의 협업을 강화하는 것입니다.
기술적 부채 및 보안 문제를 해결하기 위한 새로운 사고 방식을 구현하는 것이 기념비적인 업적일 필요는 없습니다.조직의 개발자 커뮤니티의 보안 인식과 기술을 향상시키려면 교육을 통해 사전 예방적 사고방식을 확립하는 것이 중요합니다.개발자를 위한 강력한 보안 코딩 교육을 통해 지속적이고, 대화형이며, 관련성이 높고, 상황에 맞는 학습이 필수적입니다.진정한 개발자 주도의 보안 문화를 조성하기 위해 무엇이 필요한지 진정으로 총체적인 접근 방식을 취해야 합니다.개발자 팀을 관리하고 구성하는 일반적인 방식에서 초점을 바꿔야 할 수도 있습니다.
문화를 바꾸는 것은 쉬운 일이 아니지만 Secure Code Warrior는 보안 챔피언을 식별하고 개발자와 조직이 오늘날의 끊임없이 변화하는 보안 문제를 해결하는 데 필요한 적절한 기술을 갖추도록 도와줍니다.
매력적이고 확장 가능한 보안 코드 프로그램을 출시하는 것은 보안에 대한 과거의 사후 대응 방식이 아닌 장기적인 예방적 접근 방식을 취하기 때문에 가치 있는 투자입니다.이는 궁극적으로 침해로 인한 비용이 많이 드는 위험을 완화하고, 개발자에게 취약점을 신속하게 찾아 해결하는 방법을 교육하며, 보다 민첩하게 제품 개발에 집중하고 시장 출시 시간을 단축하는 데 도움이 됩니다.
아래 링크를 클릭하고 이 리소스의 PDF를 다운로드하십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약테일러 브로드풋-나이마크는 Secure Code Warrior 의 제품 마케팅 매니저입니다. 사이버 보안 및 애자일 학습에 관한 여러 기사를 작성했으며 제품 출시, GTM 전략 및 고객 옹호도 담당하고 있습니다.
부채에 대해 이야기해 봅시다.
사이버 범죄가 글로벌 경제가 직면한 주요 문제가 되었다는 사실은 이제 누구나 알고 있습니다.2022년 현재 미국의 데이터 침해로 인한 평균 비용은 944만 달러로 전년도 905만 달러에서 증가했습니다.안전하지 않은 코드로 인한 비용과 누적된 기술적 부채를 무시하지 않는 것이 중요합니다.2022년에 따르면 정보 및 소프트웨어 품질 컨소시엄: 소프트웨어 품질 저하로 인한 비용 보고서에 따르면 미국의 소프트웨어 품질 저하로 인한 비용은 2조 4,100억 달러로 증가했으며 누적된 소프트웨어 기술 부채는 1조 5,200억 달러로 증가한 것으로 추정됩니다.
안전하지 않은 코드를 해결하는 데 드는 급증하는 비용과 그에 따른 기술적 부채는 기존 코드 베이스를 변경하는 데 있어 가장 큰 장애물이 되어 악용 및 외부 위협에 취약하게 되었습니다.소프트웨어 보안 상태가 실존적 위기에 직면해 있습니다. 누적된 기술적 부채를 해소할 뿐만 아니라 보안 태세를 개선해야 한다는 것을 알고 있지만 그 장벽은 엄청납니다.
- 미국에는 약 30만 개의 소프트웨어 개발자 및 IT 관련 일자리가 채워지지 않고 있으며 15% 의 성장률이 예상됩니다.
- 2025년까지 IT 예산의 40% 가 단순히 기술 관련 부채를 유지하는 데 사용될 것으로 예상됩니다.
- 개발자의 주당 평균 근무 시간의 1/3이 기술 부채 해결에 사용됩니다.
빠른 수정은 위험하며 장기적으로 비용이 더 많이 듭니다.
기술 부채란 무엇이며 왜 그렇게 중요한가요?의사 결정권자가 소프트웨어 개발 문제에 대한 보다 포괄적이고 장기적인 해결책 대신 단기적인 해결책을 찾으면 기술 부채가 누적됩니다.여기에는 조직이 나중에 지불해야 하는 상당한 숨겨진 비용이 뒤따릅니다.신용카드의 최대 한도액과 마찬가지로 기술 부채에도 크게 두 가지 요소가 있습니다.
- 주요한 - 소프트웨어를 원하는 수준의 유지 관리 및 보안에 도달하도록 리팩토링하거나 수정하는 데 드는 총 비용을 말합니다.
- 관심 - 개발자가 새로운 기능이 아닌 기술적 문제만을 해결하기 위해 이러한 변경을 위해 소비하는 추가 노력.정확하지 않은 코드에 시간을 할애할 때마다 부채에 이자가 추가됩니다.
새로운 기능, 버그 수정 및 유지 관리 비용이 프로젝트 예산을 초과하여 소프트웨어 응용 프로그램의 가치를 크게 떨어뜨리면 결국 “기술적 파산” 상태에 도달할 수 있습니다.
그러나 삶에서와 마찬가지로 일부 부채 축적은 정상이며 대부분의 경우 어느 정도 예상됩니다.
이상적으로는 모든 소프트웨어 개발자가 코드를 발송하기 전에 버그를 최대한 줄이는 것이 좋습니다.하지만 조직에서는 경쟁력을 갖추기 위해 최소한의 비용으로 기능이나 제품을 신속하게 고객에게 제공하고자 하는 등 어려운 절충점에 직면해 있습니다.결과적으로 개발자의 KPI는 제공 속도와 초기 구축 비용을 기반으로 하기 때문에 애플리케이션의 품질이 떨어집니다.그림에서 빠진 것은 누적된 결함과 잠재적 취약점이 코드에 내장되어 있다는 것입니다.이로 인해 버그가 발생하거나 보안 취약점이 무성할 수 있으며, 심하면 악의적인 공격자의 악용에 노출될 수도 있습니다.
하지만 수수께끼가 있습니다. 막대한 기술적 부채를 축적하지 않고 제품을 신속하게 배송할 수 있는 다른 방법이 있을까요?
결함과 취약점을 발견하고 해결하는 데 드는 비용은 소프트웨어 개발 라이프사이클에서 단일 비용 중 가장 큰 비용입니다.개발 라이프사이클 초기에 문제가 발견될수록 전체 딜리버리의 비용 효율성이 높아집니다.
기술 부채는 보안 부채로 발전할 수 있습니다
많은 개발자들은 이미 검증된 솔루션을 사용하여 빠르고 이상적으로 작업할 수 있도록 오픈 소스 코드를 사용하여 이러한 장단점을 피하려고 합니다.하지만 오픈소스 소프트웨어에 크게 의존하고 있습니다. 종종 자체 위험을 초래합니다.:
- 오픈 소스 구성 요소 중 82% 가 오래된 것으로 확인되었습니다 (예: 패치가 적용되지 않았거나 제대로 지원되지 않음)
- 코드베이스의 75% 가 취약점을 포함하고 있으며 (2018년의 60% 에서 증가), 49% 에는 고위험 취약성이 포함되어 있습니다.
- 코드베이스당 평균 82개의 취약점이 식별되었습니다.
이로 인해 기술 부채의 일부인 보안 부채가 급증합니다.보안 부채는 소프트웨어 애플리케이션에 누적되는 취약점으로 인해 데이터 및 시스템을 공격으로부터 보호하기가 더 어려워지거나 심지어 불가능하게 만드는 현상입니다.
가장 악명 높은 사례 중 하나는 신용 보고 대기업인 Equifax입니다. 2017년에 위반되었습니다 널리 사용되는 오픈 소스 웹 애플리케이션 프레임워크인 Apache Struts의 알려진 취약점을 패치하는 데 실패했기 때문입니다.이 패치는 출시된 지 몇 개월이 지났지만 이번 침해로 인해 1억 4,700만 명이 넘는 사람들의 중요한 개인 데이터가 손상되었습니다.
따라서 많은 애플리케이션이 기술적 부채뿐만 아니라 애플리케이션 자체의 보안 약점 및 취약성의 밀도로 인해 임계치에 도달했기 때문에 보안 코딩 관행에 더 많은 관심을 기울여야 합니다.
이로 인해 유형적이든 무형적이든 막대한 손실이 발생할 수 있습니다.
평판 손상:고객의 신뢰 상실은 향후 매우 부정적인 영향을 미칠 수 있습니다.여기에는 브랜드 손상, 판매 손실, 침해로 인한 비용이 많이 드는 법적 문제 등이 포함될 수 있습니다.
규제 및 규정 준수에 미치는 영향:보안 침해로 인해 회사가 기한 및/또는 계약상 의무를 놓칠 수 있는 경우SLA를 준수하지 못하면 회사는 규제 기관과 문제를 일으켜 상당한 벌금이 부과될 수 있습니다.
개선 비용: 장애 또는 운영 중단이 발생한 후에는 생산성 손실을 만회하기 위해 추가 작업이 필요한 경우가 많습니다.
SDLC의 기술 및 보안 부채 방지
많은 조직에서 이미 더 강력한 보안 태세를 구축하기 위해 예산을 변경하고 있습니다.지난 해, 구글은 5년간 100억 달러를 약속했습니다. 사이버 보안 강화 프로그램에 자금을 지원합니다.바이든 행정부도 요청했습니다. 2022년 임의 예산 21억 달러 사이버 보안 및 인프라 보안국 (CISA) 을 위해
개발자의 전문적 성장과 지식을 강화하는 데 도움이 되는 더 많은 리소스와 교육을 제공하는 것이 프로덕션에 출시되는 모든 코드에 대한 품질 표준을 수립하는 첫 번째 단계가 될 수 있습니다.
취약점이나 결함을 발견하고 해결하는 데 드는 비용은 소프트웨어 개발 주기가 늦어질수록 기하급수적으로 증가합니다.지금까지 살펴본 바와 같이 조직은 기술 및 보안 문제를 해결하는 데 너무 많은 시간을 할애하고 있기 때문에 혁신을 포기하고 새로운 기능이나 제품에 시간을 투자함으로써 스스로 손실을 초래하고 있습니다.
2022년에는 개발자 팀 대다수가 DevOps 또는 DevSecOps를 선택한 방법론이라고 말했는데, 그 이유는 놀라운 일이 아닙니다.DevSecOps는 소프트웨어 개발 라이프사이클의 모든 단계에서 보안을 통합하여 더 우수하고 안전한 애플리케이션을 제공합니다.보안 및 개발 팀은 사일로 속에서 계속 작업하며 긴장을 겪고 있지만, 비즈니스의 성공을 위해서는 이러한 변화가 필요하다는 것은 분명합니다.DevOps는 조직이 장벽을 허물고 문화를 재편하려는 방식의 일부입니다.DevSecOps의 기본 목표는 소프트웨어 개발 라이프사이클 초기부터 AppSec/ Security와 개발자 간의 협업을 강화하는 것입니다.
기술적 부채 및 보안 문제를 해결하기 위한 새로운 사고 방식을 구현하는 것이 기념비적인 업적일 필요는 없습니다.조직의 개발자 커뮤니티의 보안 인식과 기술을 향상시키려면 교육을 통해 사전 예방적 사고방식을 확립하는 것이 중요합니다.개발자를 위한 강력한 보안 코딩 교육을 통해 지속적이고, 대화형이며, 관련성이 높고, 상황에 맞는 학습이 필수적입니다.진정한 개발자 주도의 보안 문화를 조성하기 위해 무엇이 필요한지 진정으로 총체적인 접근 방식을 취해야 합니다.개발자 팀을 관리하고 구성하는 일반적인 방식에서 초점을 바꿔야 할 수도 있습니다.
문화를 바꾸는 것은 쉬운 일이 아니지만 Secure Code Warrior는 보안 챔피언을 식별하고 개발자와 조직이 오늘날의 끊임없이 변화하는 보안 문제를 해결하는 데 필요한 적절한 기술을 갖추도록 도와줍니다.
매력적이고 확장 가능한 보안 코드 프로그램을 출시하는 것은 보안에 대한 과거의 사후 대응 방식이 아닌 장기적인 예방적 접근 방식을 취하기 때문에 가치 있는 투자입니다.이는 궁극적으로 침해로 인한 비용이 많이 드는 위험을 완화하고, 개발자에게 취약점을 신속하게 찾아 해결하는 방법을 교육하며, 보다 민첩하게 제품 개발에 집중하고 시장 출시 시간을 단축하는 데 도움이 됩니다.
%20(1).avif)
.avif)
