모든 개발자가 예비 고용주에게 물어봐야 할 백만 달러짜리 질문
졸업생이든 베테랑이든 모든 개발자가 반드시 질문해야 할 질문이 있습니다. 그리고 그 답은 중요합니다. 애자일 환경에서는 소프트웨어 엔지니어링에서 얼마나 성공할 수 있을지, 그리고 다음 고용주에게 얼마나 가치 있는 인재가 될지에 직접적인 영향을 미치기 때문에 그 중요성이 더욱 커지고 있습니다.
백만 달러짜리 질문입니다. 사실 이건 수백만 달러짜리 질문이에요!
제가 안전하게 코딩할 수 있도록 도와주겠다고 약속하셨나요?
데이터 침해로 인한 평균 비용은 현재 360만 달러에 달합니다. 올해 회사가 침해를 당할 확률은 4분의 1에 달합니다. 이러한 사실을 감안하면 개발자들이 보안 코딩 및 보안 역량을 자신의 DNA에 녹인 채 대학을 졸업하지 못하는 것에 대해 많은 사람들이 불만을 토로하고 있습니다.
왜냐하면 소프트웨어 엔지니어링은 아직 비교적 젊은 직업이기 때문입니다. 코드를 빠르게 작성하고 우아하고 기능적으로 만드는 방법을 사람들에게 가르치는 데 중점을 두었지만, 코드 보안을 만드는 데에는 거의 초점을 맞추지 않았습니다. 방법론, 기술, 언어 및 기회의 변화 속도는 이러한 주요 기술 격차를 더욱 악화시킬 뿐입니다.
우리는 교육 시스템을 빠르게 바꾸지 않을 것이므로 개발자와 회사 모두 개발자가 직장에서 보안 코딩 기술을 배울 필요가 있다고 기대해야 합니다. 일부 직업에서는 실수를 통해 배울 수 있지만, 다른 직업에서는 불가능할 수도 있습니다. 사이버 보안도 마찬가지입니다.
실무 개발자 보안 교육도 제대로 진행하지 못했다는 사실을 알 수 있습니다. 전 세계에서 발생하는 주요 보안 침해 사고의 대부분은 해커가 컴퓨터 네트워크에 대한 권한을 얻어 귀중한 데이터에 접근하고 수집할 수 있게 하는 코딩 오류로 인해 발생합니다. 버라이존 데이터 침해 조사 보고서(DBIR) 2017에따르면 전체 보안 침해의 30%가 웹 애플리케이션 보안의 취약성으로 인해 직접 발생한 것으로 나타났으며, 이러한 결론은 2013년 이후 DBIR 보고서에서도 일관되게 적용되었습니다.
2017 글로벌 데브섹옵스 스킬 설문조사 2017년 8월에 발표된 이 보고서는 우리가 이미 알고 있는 사실을 확인시켜주었습니다. 데브옵스 전문가의 65%는 IT에 입문할 때 데브섹옵스에 대한 지식을 갖추는 것이 매우 중요하다고 생각하는 반면, 70%는 오늘날의 데브섹옵스 세계에서 성공하기 위해 정규 교육을 통해 필요한 교육을 받지 못하고 있다고 생각합니다.
설문 조사에 참여한 채용 관리자 중 거의 40%가 보안 테스트에 대한 충분한 지식을 갖춘 다목적 고급 개발자를 찾는 것이 가장 어려운 직원이라고 답했습니다. 응답자의 70%는 자신이 받은 보안 교육이 현재 직책에 적합하지 않다고 답했습니다. 실제로 기회가 전혀 주어지지 않았다고 답한 사람은 4% 미만이었습니다.
저는 거의 10년 동안 전문 화이트햇 해커들로 구성된 여러 팀과 함께 일하면서 이 사실을 직접 목격했습니다. 비극적인 시기에 우리는 대기업, 신생 기업, 정부 부서에 침입하여 늘 같은 취약점을 찾아냈습니다.
이것이 바로 개발자들이 채용될 때 목소리를 높여야 하는 이유입니다. 예비 고용주가 개발자 보안 교육을 진지하게 받아들이지 않는다면 어떤 회사에 입사를 고려하고 있는지 생각해 보아야 합니다.
두 번째로 물어봐야 할 질문은 배송 계획을 어떻게 세울 것인지입니다. 직접 체험하고 상호작용할 수 있을까요? 슬라이드웨어, 비디오, 클릭 가능한 애니메이션 또는 추상적인 논의를 사용한 취약점에 대한 개발자 보안 교육으로는 코딩에 직접적인 도움이 되지 않을 수 있습니다. 최신 취약점에 대한 최신 정보를 지속적으로 받을 수 있게 해주나요? 배울 수 있는 보안 길드나 커뮤니티가 있나요? 도움이 필요할 때 도움을 받을 수 있는 보안 전문가가 있나요?
보안 코딩 기술을 익히려면 특정 코딩 프레임워크에서의 실습 문제를 통해 지속적으로 학습하고 여러 시나리오에서 다양한 취약점에 직면해야 합니다. 한 가지 예시로 SQL 인젝션에 대해 배울 수 없습니다. 이러한 위험한 코딩 패턴을 알아보려면 다양한 유형의 예제를 여러 번 접해야 합니다.
한 고객은 개발자에게 두 달 동안 매일 단일 챌린지(5분)를 플레이하도록 요구했습니다.교육 전후 기술 테스트 결과 수백 명의 개발자 그룹을 대상으로 보안 코딩 능력이 60% 향상된 것으로 확인되었습니다. 즉, 개발 후반 단계에서 보안 결함을 찾아 수정하는 데 소요되는 자원이 감소하고 장기적으로 상당한 비용 절감 효과를 얻을 수 있습니다. 즉, 해커가 코드를 이용해 회사 데이터를 손상시키지 못할 것입니다.
IDC 조사에 따르면 2014년 전 세계에 1,100만 명의 전문 개발자가 있었습니다. 2015년 버닝 글래스(Burning Glass)는 코딩 기술이 필요한 직종이 700만 개에 달하며 프로그래밍 직종이 시장보다 평균 12% 빠르게 성장하고 있다는 사실을 발견했습니다.
소프트웨어 관련 직업이 많이 있습니다. 따라서 입장을 고수하고 자신의 보안, 보안 및 고객 보안을 책임지기 위해 최선을 다하는 고용주를 선택하십시오. 더 나아가 여러분에게 투자하는 회사를 선택하세요.
졸업생이든 베테랑이든 모든 개발자가 반드시 질문해야 할 질문이 있습니다. 그리고 그 답은 중요합니다. 애자일 환경에서는 소프트웨어 엔지니어링에서 얼마나 성공할 수 있을지, 그리고 다음 고용주에게 얼마나 가치 있는 인재가 될지에 직접적인 영향을 미치기 때문에 그 중요성이 더욱 커지고 있습니다.
백만 달러짜리 질문입니다. 사실 이건 수백만 달러짜리 질문이에요!
제가 안전하게 코딩할 수 있도록 도와주겠다고 약속하셨나요?
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
졸업생이든 베테랑이든 모든 개발자가 반드시 질문해야 할 질문이 있습니다. 그리고 그 답은 중요합니다. 애자일 환경에서는 소프트웨어 엔지니어링에서 얼마나 성공할 수 있을지, 그리고 다음 고용주에게 얼마나 가치 있는 인재가 될지에 직접적인 영향을 미치기 때문에 그 중요성이 더욱 커지고 있습니다.
백만 달러짜리 질문입니다. 사실 이건 수백만 달러짜리 질문이에요!
제가 안전하게 코딩할 수 있도록 도와주겠다고 약속하셨나요?
데이터 침해로 인한 평균 비용은 현재 360만 달러에 달합니다. 올해 회사가 침해를 당할 확률은 4분의 1에 달합니다. 이러한 사실을 감안하면 개발자들이 보안 코딩 및 보안 역량을 자신의 DNA에 녹인 채 대학을 졸업하지 못하는 것에 대해 많은 사람들이 불만을 토로하고 있습니다.
왜냐하면 소프트웨어 엔지니어링은 아직 비교적 젊은 직업이기 때문입니다. 코드를 빠르게 작성하고 우아하고 기능적으로 만드는 방법을 사람들에게 가르치는 데 중점을 두었지만, 코드 보안을 만드는 데에는 거의 초점을 맞추지 않았습니다. 방법론, 기술, 언어 및 기회의 변화 속도는 이러한 주요 기술 격차를 더욱 악화시킬 뿐입니다.
우리는 교육 시스템을 빠르게 바꾸지 않을 것이므로 개발자와 회사 모두 개발자가 직장에서 보안 코딩 기술을 배울 필요가 있다고 기대해야 합니다. 일부 직업에서는 실수를 통해 배울 수 있지만, 다른 직업에서는 불가능할 수도 있습니다. 사이버 보안도 마찬가지입니다.
실무 개발자 보안 교육도 제대로 진행하지 못했다는 사실을 알 수 있습니다. 전 세계에서 발생하는 주요 보안 침해 사고의 대부분은 해커가 컴퓨터 네트워크에 대한 권한을 얻어 귀중한 데이터에 접근하고 수집할 수 있게 하는 코딩 오류로 인해 발생합니다. 버라이존 데이터 침해 조사 보고서(DBIR) 2017에따르면 전체 보안 침해의 30%가 웹 애플리케이션 보안의 취약성으로 인해 직접 발생한 것으로 나타났으며, 이러한 결론은 2013년 이후 DBIR 보고서에서도 일관되게 적용되었습니다.
2017 글로벌 데브섹옵스 스킬 설문조사 2017년 8월에 발표된 이 보고서는 우리가 이미 알고 있는 사실을 확인시켜주었습니다. 데브옵스 전문가의 65%는 IT에 입문할 때 데브섹옵스에 대한 지식을 갖추는 것이 매우 중요하다고 생각하는 반면, 70%는 오늘날의 데브섹옵스 세계에서 성공하기 위해 정규 교육을 통해 필요한 교육을 받지 못하고 있다고 생각합니다.
설문 조사에 참여한 채용 관리자 중 거의 40%가 보안 테스트에 대한 충분한 지식을 갖춘 다목적 고급 개발자를 찾는 것이 가장 어려운 직원이라고 답했습니다. 응답자의 70%는 자신이 받은 보안 교육이 현재 직책에 적합하지 않다고 답했습니다. 실제로 기회가 전혀 주어지지 않았다고 답한 사람은 4% 미만이었습니다.
저는 거의 10년 동안 전문 화이트햇 해커들로 구성된 여러 팀과 함께 일하면서 이 사실을 직접 목격했습니다. 비극적인 시기에 우리는 대기업, 신생 기업, 정부 부서에 침입하여 늘 같은 취약점을 찾아냈습니다.
이것이 바로 개발자들이 채용될 때 목소리를 높여야 하는 이유입니다. 예비 고용주가 개발자 보안 교육을 진지하게 받아들이지 않는다면 어떤 회사에 입사를 고려하고 있는지 생각해 보아야 합니다.
두 번째로 물어봐야 할 질문은 배송 계획을 어떻게 세울 것인지입니다. 직접 체험하고 상호작용할 수 있을까요? 슬라이드웨어, 비디오, 클릭 가능한 애니메이션 또는 추상적인 논의를 사용한 취약점에 대한 개발자 보안 교육으로는 코딩에 직접적인 도움이 되지 않을 수 있습니다. 최신 취약점에 대한 최신 정보를 지속적으로 받을 수 있게 해주나요? 배울 수 있는 보안 길드나 커뮤니티가 있나요? 도움이 필요할 때 도움을 받을 수 있는 보안 전문가가 있나요?
보안 코딩 기술을 익히려면 특정 코딩 프레임워크에서의 실습 문제를 통해 지속적으로 학습하고 여러 시나리오에서 다양한 취약점에 직면해야 합니다. 한 가지 예시로 SQL 인젝션에 대해 배울 수 없습니다. 이러한 위험한 코딩 패턴을 알아보려면 다양한 유형의 예제를 여러 번 접해야 합니다.
한 고객은 개발자에게 두 달 동안 매일 단일 챌린지(5분)를 플레이하도록 요구했습니다.교육 전후 기술 테스트 결과 수백 명의 개발자 그룹을 대상으로 보안 코딩 능력이 60% 향상된 것으로 확인되었습니다. 즉, 개발 후반 단계에서 보안 결함을 찾아 수정하는 데 소요되는 자원이 감소하고 장기적으로 상당한 비용 절감 효과를 얻을 수 있습니다. 즉, 해커가 코드를 이용해 회사 데이터를 손상시키지 못할 것입니다.
IDC 조사에 따르면 2014년 전 세계에 1,100만 명의 전문 개발자가 있었습니다. 2015년 버닝 글래스(Burning Glass)는 코딩 기술이 필요한 직종이 700만 개에 달하며 프로그래밍 직종이 시장보다 평균 12% 빠르게 성장하고 있다는 사실을 발견했습니다.
소프트웨어 관련 직업이 많이 있습니다. 따라서 입장을 고수하고 자신의 보안, 보안 및 고객 보안을 책임지기 위해 최선을 다하는 고용주를 선택하십시오. 더 나아가 여러분에게 투자하는 회사를 선택하세요.
졸업생이든 베테랑이든 모든 개발자가 반드시 질문해야 할 질문이 있습니다. 그리고 그 답은 중요합니다. 애자일 환경에서는 소프트웨어 엔지니어링에서 얼마나 성공할 수 있을지, 그리고 다음 고용주에게 얼마나 가치 있는 인재가 될지에 직접적인 영향을 미치기 때문에 그 중요성이 더욱 커지고 있습니다.
백만 달러짜리 질문입니다. 사실 이건 수백만 달러짜리 질문이에요!
제가 안전하게 코딩할 수 있도록 도와주겠다고 약속하셨나요?
졸업생이든 베테랑이든 모든 개발자가 반드시 질문해야 할 질문이 있습니다. 그리고 그 답은 중요합니다. 애자일 환경에서는 소프트웨어 엔지니어링에서 얼마나 성공할 수 있을지, 그리고 다음 고용주에게 얼마나 가치 있는 인재가 될지에 직접적인 영향을 미치기 때문에 그 중요성이 더욱 커지고 있습니다.
백만 달러짜리 질문입니다. 사실 이건 수백만 달러짜리 질문이에요!
제가 안전하게 코딩할 수 있도록 도와주겠다고 약속하셨나요?
데이터 침해로 인한 평균 비용은 현재 360만 달러에 달합니다. 올해 회사가 침해를 당할 확률은 4분의 1에 달합니다. 이러한 사실을 감안하면 개발자들이 보안 코딩 및 보안 역량을 자신의 DNA에 녹인 채 대학을 졸업하지 못하는 것에 대해 많은 사람들이 불만을 토로하고 있습니다.
왜냐하면 소프트웨어 엔지니어링은 아직 비교적 젊은 직업이기 때문입니다. 코드를 빠르게 작성하고 우아하고 기능적으로 만드는 방법을 사람들에게 가르치는 데 중점을 두었지만, 코드 보안을 만드는 데에는 거의 초점을 맞추지 않았습니다. 방법론, 기술, 언어 및 기회의 변화 속도는 이러한 주요 기술 격차를 더욱 악화시킬 뿐입니다.
우리는 교육 시스템을 빠르게 바꾸지 않을 것이므로 개발자와 회사 모두 개발자가 직장에서 보안 코딩 기술을 배울 필요가 있다고 기대해야 합니다. 일부 직업에서는 실수를 통해 배울 수 있지만, 다른 직업에서는 불가능할 수도 있습니다. 사이버 보안도 마찬가지입니다.
실무 개발자 보안 교육도 제대로 진행하지 못했다는 사실을 알 수 있습니다. 전 세계에서 발생하는 주요 보안 침해 사고의 대부분은 해커가 컴퓨터 네트워크에 대한 권한을 얻어 귀중한 데이터에 접근하고 수집할 수 있게 하는 코딩 오류로 인해 발생합니다. 버라이존 데이터 침해 조사 보고서(DBIR) 2017에따르면 전체 보안 침해의 30%가 웹 애플리케이션 보안의 취약성으로 인해 직접 발생한 것으로 나타났으며, 이러한 결론은 2013년 이후 DBIR 보고서에서도 일관되게 적용되었습니다.
2017 글로벌 데브섹옵스 스킬 설문조사 2017년 8월에 발표된 이 보고서는 우리가 이미 알고 있는 사실을 확인시켜주었습니다. 데브옵스 전문가의 65%는 IT에 입문할 때 데브섹옵스에 대한 지식을 갖추는 것이 매우 중요하다고 생각하는 반면, 70%는 오늘날의 데브섹옵스 세계에서 성공하기 위해 정규 교육을 통해 필요한 교육을 받지 못하고 있다고 생각합니다.
설문 조사에 참여한 채용 관리자 중 거의 40%가 보안 테스트에 대한 충분한 지식을 갖춘 다목적 고급 개발자를 찾는 것이 가장 어려운 직원이라고 답했습니다. 응답자의 70%는 자신이 받은 보안 교육이 현재 직책에 적합하지 않다고 답했습니다. 실제로 기회가 전혀 주어지지 않았다고 답한 사람은 4% 미만이었습니다.
저는 거의 10년 동안 전문 화이트햇 해커들로 구성된 여러 팀과 함께 일하면서 이 사실을 직접 목격했습니다. 비극적인 시기에 우리는 대기업, 신생 기업, 정부 부서에 침입하여 늘 같은 취약점을 찾아냈습니다.
이것이 바로 개발자들이 채용될 때 목소리를 높여야 하는 이유입니다. 예비 고용주가 개발자 보안 교육을 진지하게 받아들이지 않는다면 어떤 회사에 입사를 고려하고 있는지 생각해 보아야 합니다.
두 번째로 물어봐야 할 질문은 배송 계획을 어떻게 세울 것인지입니다. 직접 체험하고 상호작용할 수 있을까요? 슬라이드웨어, 비디오, 클릭 가능한 애니메이션 또는 추상적인 논의를 사용한 취약점에 대한 개발자 보안 교육으로는 코딩에 직접적인 도움이 되지 않을 수 있습니다. 최신 취약점에 대한 최신 정보를 지속적으로 받을 수 있게 해주나요? 배울 수 있는 보안 길드나 커뮤니티가 있나요? 도움이 필요할 때 도움을 받을 수 있는 보안 전문가가 있나요?
보안 코딩 기술을 익히려면 특정 코딩 프레임워크에서의 실습 문제를 통해 지속적으로 학습하고 여러 시나리오에서 다양한 취약점에 직면해야 합니다. 한 가지 예시로 SQL 인젝션에 대해 배울 수 없습니다. 이러한 위험한 코딩 패턴을 알아보려면 다양한 유형의 예제를 여러 번 접해야 합니다.
한 고객은 개발자에게 두 달 동안 매일 단일 챌린지(5분)를 플레이하도록 요구했습니다.교육 전후 기술 테스트 결과 수백 명의 개발자 그룹을 대상으로 보안 코딩 능력이 60% 향상된 것으로 확인되었습니다. 즉, 개발 후반 단계에서 보안 결함을 찾아 수정하는 데 소요되는 자원이 감소하고 장기적으로 상당한 비용 절감 효과를 얻을 수 있습니다. 즉, 해커가 코드를 이용해 회사 데이터를 손상시키지 못할 것입니다.
IDC 조사에 따르면 2014년 전 세계에 1,100만 명의 전문 개발자가 있었습니다. 2015년 버닝 글래스(Burning Glass)는 코딩 기술이 필요한 직종이 700만 개에 달하며 프로그래밍 직종이 시장보다 평균 12% 빠르게 성장하고 있다는 사실을 발견했습니다.
소프트웨어 관련 직업이 많이 있습니다. 따라서 입장을 고수하고 자신의 보안, 보안 및 고객 보안을 책임지기 위해 최선을 다하는 고용주를 선택하십시오. 더 나아가 여러분에게 투자하는 회사를 선택하세요.
졸업생이든 베테랑이든 모든 개발자가 반드시 질문해야 할 질문이 있습니다. 그리고 그 답은 중요합니다. 애자일 환경에서는 소프트웨어 엔지니어링에서 얼마나 성공할 수 있을지, 그리고 다음 고용주에게 얼마나 가치 있는 인재가 될지에 직접적인 영향을 미치기 때문에 그 중요성이 더욱 커지고 있습니다.
백만 달러짜리 질문입니다. 사실 이건 수백만 달러짜리 질문이에요!
제가 안전하게 코딩할 수 있도록 도와주겠다고 약속하셨나요?
아래 링크를 클릭하고 이 리소스의 PDF를 다운로드하십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
졸업생이든 베테랑이든 모든 개발자가 반드시 질문해야 할 질문이 있습니다. 그리고 그 답은 중요합니다. 애자일 환경에서는 소프트웨어 엔지니어링에서 얼마나 성공할 수 있을지, 그리고 다음 고용주에게 얼마나 가치 있는 인재가 될지에 직접적인 영향을 미치기 때문에 그 중요성이 더욱 커지고 있습니다.
백만 달러짜리 질문입니다. 사실 이건 수백만 달러짜리 질문이에요!
제가 안전하게 코딩할 수 있도록 도와주겠다고 약속하셨나요?
데이터 침해로 인한 평균 비용은 현재 360만 달러에 달합니다. 올해 회사가 침해를 당할 확률은 4분의 1에 달합니다. 이러한 사실을 감안하면 개발자들이 보안 코딩 및 보안 역량을 자신의 DNA에 녹인 채 대학을 졸업하지 못하는 것에 대해 많은 사람들이 불만을 토로하고 있습니다.
왜냐하면 소프트웨어 엔지니어링은 아직 비교적 젊은 직업이기 때문입니다. 코드를 빠르게 작성하고 우아하고 기능적으로 만드는 방법을 사람들에게 가르치는 데 중점을 두었지만, 코드 보안을 만드는 데에는 거의 초점을 맞추지 않았습니다. 방법론, 기술, 언어 및 기회의 변화 속도는 이러한 주요 기술 격차를 더욱 악화시킬 뿐입니다.
우리는 교육 시스템을 빠르게 바꾸지 않을 것이므로 개발자와 회사 모두 개발자가 직장에서 보안 코딩 기술을 배울 필요가 있다고 기대해야 합니다. 일부 직업에서는 실수를 통해 배울 수 있지만, 다른 직업에서는 불가능할 수도 있습니다. 사이버 보안도 마찬가지입니다.
실무 개발자 보안 교육도 제대로 진행하지 못했다는 사실을 알 수 있습니다. 전 세계에서 발생하는 주요 보안 침해 사고의 대부분은 해커가 컴퓨터 네트워크에 대한 권한을 얻어 귀중한 데이터에 접근하고 수집할 수 있게 하는 코딩 오류로 인해 발생합니다. 버라이존 데이터 침해 조사 보고서(DBIR) 2017에따르면 전체 보안 침해의 30%가 웹 애플리케이션 보안의 취약성으로 인해 직접 발생한 것으로 나타났으며, 이러한 결론은 2013년 이후 DBIR 보고서에서도 일관되게 적용되었습니다.
2017 글로벌 데브섹옵스 스킬 설문조사 2017년 8월에 발표된 이 보고서는 우리가 이미 알고 있는 사실을 확인시켜주었습니다. 데브옵스 전문가의 65%는 IT에 입문할 때 데브섹옵스에 대한 지식을 갖추는 것이 매우 중요하다고 생각하는 반면, 70%는 오늘날의 데브섹옵스 세계에서 성공하기 위해 정규 교육을 통해 필요한 교육을 받지 못하고 있다고 생각합니다.
설문 조사에 참여한 채용 관리자 중 거의 40%가 보안 테스트에 대한 충분한 지식을 갖춘 다목적 고급 개발자를 찾는 것이 가장 어려운 직원이라고 답했습니다. 응답자의 70%는 자신이 받은 보안 교육이 현재 직책에 적합하지 않다고 답했습니다. 실제로 기회가 전혀 주어지지 않았다고 답한 사람은 4% 미만이었습니다.
저는 거의 10년 동안 전문 화이트햇 해커들로 구성된 여러 팀과 함께 일하면서 이 사실을 직접 목격했습니다. 비극적인 시기에 우리는 대기업, 신생 기업, 정부 부서에 침입하여 늘 같은 취약점을 찾아냈습니다.
이것이 바로 개발자들이 채용될 때 목소리를 높여야 하는 이유입니다. 예비 고용주가 개발자 보안 교육을 진지하게 받아들이지 않는다면 어떤 회사에 입사를 고려하고 있는지 생각해 보아야 합니다.
두 번째로 물어봐야 할 질문은 배송 계획을 어떻게 세울 것인지입니다. 직접 체험하고 상호작용할 수 있을까요? 슬라이드웨어, 비디오, 클릭 가능한 애니메이션 또는 추상적인 논의를 사용한 취약점에 대한 개발자 보안 교육으로는 코딩에 직접적인 도움이 되지 않을 수 있습니다. 최신 취약점에 대한 최신 정보를 지속적으로 받을 수 있게 해주나요? 배울 수 있는 보안 길드나 커뮤니티가 있나요? 도움이 필요할 때 도움을 받을 수 있는 보안 전문가가 있나요?
보안 코딩 기술을 익히려면 특정 코딩 프레임워크에서의 실습 문제를 통해 지속적으로 학습하고 여러 시나리오에서 다양한 취약점에 직면해야 합니다. 한 가지 예시로 SQL 인젝션에 대해 배울 수 없습니다. 이러한 위험한 코딩 패턴을 알아보려면 다양한 유형의 예제를 여러 번 접해야 합니다.
한 고객은 개발자에게 두 달 동안 매일 단일 챌린지(5분)를 플레이하도록 요구했습니다.교육 전후 기술 테스트 결과 수백 명의 개발자 그룹을 대상으로 보안 코딩 능력이 60% 향상된 것으로 확인되었습니다. 즉, 개발 후반 단계에서 보안 결함을 찾아 수정하는 데 소요되는 자원이 감소하고 장기적으로 상당한 비용 절감 효과를 얻을 수 있습니다. 즉, 해커가 코드를 이용해 회사 데이터를 손상시키지 못할 것입니다.
IDC 조사에 따르면 2014년 전 세계에 1,100만 명의 전문 개발자가 있었습니다. 2015년 버닝 글래스(Burning Glass)는 코딩 기술이 필요한 직종이 700만 개에 달하며 프로그래밍 직종이 시장보다 평균 12% 빠르게 성장하고 있다는 사실을 발견했습니다.
소프트웨어 관련 직업이 많이 있습니다. 따라서 입장을 고수하고 자신의 보안, 보안 및 고객 보안을 책임지기 위해 최선을 다하는 고용주를 선택하십시오. 더 나아가 여러분에게 투자하는 회사를 선택하세요.
졸업생이든 베테랑이든 모든 개발자가 반드시 질문해야 할 질문이 있습니다. 그리고 그 답은 중요합니다. 애자일 환경에서는 소프트웨어 엔지니어링에서 얼마나 성공할 수 있을지, 그리고 다음 고용주에게 얼마나 가치 있는 인재가 될지에 직접적인 영향을 미치기 때문에 그 중요성이 더욱 커지고 있습니다.
백만 달러짜리 질문입니다. 사실 이건 수백만 달러짜리 질문이에요!
제가 안전하게 코딩할 수 있도록 도와주겠다고 약속하셨나요?
%20(1).avif)
.avif)
