신뢰 점수는 Secure By-Design-Upskilling 이니셔티브의 가치를 보여줍니다
조직의 보안 태세를 개선하는 확실한 방법은 개발자에게 필요한 특정 학습 경로를 제공하도록 설계된 기준선과 벤치마크를 포함하는 프레임워크에서 제공되는 보안 코딩 모범 사례에 대한 개발자 기술 향상입니다. 그러나 보안 코딩은 한 번에 해결할 수 있는 문제가 아닙니다. 조직의 DNA에 암호화되어 생활 방식으로 자리 잡아야 합니다. 개발자는 왼쪽으로 이동하거나 왼쪽에서 시작해야 할 뿐만 아니라 계속 왼쪽으로 움직여야 합니다.
단순히 교육을 제공하는 것만으로는 충분하지 않습니다. 조직에서는 개발자가 교육을 완전히 숙지했으며 SDLC(소프트웨어 개발 라이프사이클) 초기 단계부터 일상 업무의 일부로 모범 사례를 따르고 있는지 확인해야 합니다. 내부 표준 및 업계 벤치마크와 비교하여 개발자의 성과를 추적하고 진행 상황을 측정함으로써 교육 투자의 ROI를 효과적으로 측정해야 합니다.
시큐어 코드 워리어스 신뢰 점수는 개별 개발자의 성과에 대한 가시성을 제공하고 데이터를 집계하여 조직의 전체 성과를 평가합니다.개선이 필요한 영역을 식별하는 동시에 기술 향상 프로그램의 효과를 보여줍니다. 또한 일반 데이터 보호 규정(GDPR), 결제 카드 산업 데이터 보안 표준(PCI DSS), 캘리포니아 소비자 개인정보 보호법(CCPA) 또는 기타 규정 등 다양한 규정 준수 요구 사항을 준수할 수 있도록 지원합니다.
우리의 연구에 따르면 보안 코드 교육이 효과가 있는 것으로 나타났습니다. Trust Score는 600개 이상의 조직에서 25만 명 이상의 학습자가 작업에서 얻은 2천만 개 이상의 학습 데이터 포인트를 기반으로 하는 알고리즘을 사용한 결과 취약점을 제거하는 데 효과적이며, 이니셔티브를 더욱 효과적으로 만드는 방법을 보여줍니다.
교육을 통해 보안이 강화됩니다 — 개발자가 교육을 받으면
수년간 SDLC를 시작할 때 보안 모범 사례를 사용하는 것은 소프트웨어 업계에서 대부분 야심찬 일처럼 보였습니다. 언젠가는 좋은 일이지만 오늘날에는 우선 순위가 아닙니다. 하지만 소프트웨어 개발 속도가 계속 빨라지고, 종종 소프트웨어 취약점을 표적으로 삼아 구축되는 정교하고 파괴적인 사이버 위협의 속도도 빨라지면서 보안 코딩은 필수가 되었습니다. 사이버 보안 및 인프라 보안 기관(CISA)은 보안 코드를 전면에 배치합니다. 보안 고려 설계 (Security by Design)로 성장하고 있는 국제 운동입니다.
우리의 연구를 통해 설계 단계에서의 보안(Secure by-Design) 접근 방식과 소프트웨어 취약성 감소 간의 상관 관계가 분명하다는 것이 입증되었습니다.SCW 고객 기반의 취약성 감소 데이터 26%를 분석한 결과, 개발자 교육을 통해 소프트웨어 취약성이 22%에서 84%까지 감소한 것으로 나타났습니다. 이 범위는 관련 기업의 규모(개발자 수가 상대적으로 적은 소규모 기업일수록 더 극적인 범위의 결과를 산출함), 학습 그룹이 특정 문제에 초점을 맞췄는지 여부, 그리고 학습 그룹이 특정 문제에 초점을 맞췄는지 여부 등의 변수에서 비롯되었으며, 이 경우 결함의 비율이 더 높았습니다.
대기업의 결과는 다소 일치했습니다. 개발자가 7,000명 이상인 회사에서는 개발자의 보안 기술 향상으로 인해 취약성이 47%에서 53%까지 감소할 것으로 예상할 수 있습니다. 예를 들어, 10,000명 이상의 개발자가 있는 한 회사(플랫폼에서 최고 성과를 낸 회사도 아니고 벤치마크가 가장 높은 회사도 아닌 회사)의 경우 취약성이 53% 감소했습니다.
물론 가장 효과적인 교육을 위해 광범위하고 획일적인 접근 방식이 필요한 것은 아닙니다. 개발자의 작업 환경과 개발자가 수행하는 개발 유형에 맞게 조정되어야 합니다.
기업은 먼저 개발자가 단순히 코드를 작성하는 것처럼 자연스럽게 보안 코드를 작성할 수 있도록 하기 위해 갖추어야 하는 기본 기술을 확립해야 합니다. 업스킬링 프로그램은 수행하는 작업 유형과 사용하는 언어에 맞는 실제 시나리오를 사용한 실습적이고 민첩한 교육으로 구성되어야 합니다. 또한 교육 세션을 업무 일정에 맞출 수 있을 만큼 유연해야 합니다.
개발자의 경우 기술 집합에는 코드 작성 이상의 작업이 포함됩니다. 개발자는 인공지능 어시스턴트와 타사에서 만든 소프트웨어(예: 오픈 소스 저장소)를 확인할 수 있어야 합니다. 개발자들은 생성형 AI 모델을 적극적으로 활용하며, 일반적으로 이 모델이 더 많은 코드를 더 빠르게 생성할 수 있도록 도와주는 이점을 높이 평가했습니다.그러나 응답자의 76%는 AI가 생성한 코드가 사람이 만든 코드보다 더 안전하다고 답했으며, 56.4%는 여전히 AI가 가끔 또는 자주 오류를 발생시킨다고 답했습니다. 같은 설문조사에서 개발자의 80%가 AI 코드 보안 정책 적용을 건너뛰는 것으로 나타났으며, 이는 AI 코드의 보안 문제가 해결되지 않고 있음을 시사합니다.
설계 시 보안 고려(Secure-by-Design) 접근 방식에서는 개발자가 보안 팀과 별도로 작업하지 않고 보안 팀과 협력하여 SDLC 초기 단계에서 이러한 문제를 해결하고, 코드가 프로덕션에 배포되기 전에 결함을 식별하고 수정합니다.
신뢰 점수는 개인 및 기업의 성과를 측정합니다.
지속적인 교육 실시 또한 중요합니다. 기업은 최고 직급부터 하위 직급까지 전 직급에 적용되는 보안 우선 문화를 채택해야 합니다. 지속적인 개선과 SDLC 전반에 모범 보안 관행을 적용하는 데 중점을 두어야 합니다. 기술과 사이버 범죄자는 진화를 멈추지 않으며, 사이버 보안도 마찬가지입니다. 소프트웨어를 제작하는 조직의 경우 보안 교육을 받은 개발자가 기반이 됩니다.
따라서 훈련이 효과적으로 자리 잡았음을 입증하는 것이 훈련 자체만큼이나 중요합니다. 신뢰 점수는 개발자 개인과 조직 전체의 성과를 파악할 수 있을 뿐만 아니라, 조직이 성과 데이터를 상세히 분석하여 특정 언어, 개발자 팀 또는 소프트웨어 범주에 집중할 수 있도록 합니다. 개별 성과 및 집계된 성과 결과의 데이터는 교육이 개선되어야 할 영역(예: 개발자의 일상적 성과에 원하는 영향을 미치지 못하는지 여부)을 식별하는 데에도 도움이 됩니다.
조직은 Trust Score를 통해 개발자의 성과를 평가하고, 개발자가 필요한 보안 기술을 습득했으며 이를 사용하고 있는지 확인하여 코드 작성 라이선스를 획득했는지 확인할 수 있습니다. 이를 통해 조직은 자격을 갖춘 개발자에게 가장 민감한 데이터와 중요한 소프트웨어 프로젝트에 대한 접근 권한을 자신 있게 부여하고, 아직 준비가 되지 않은 도구를 사용하는 개발자에게는 접근을 거부할 수 있습니다.
변화하는 보안 문화의 증거
사이버 보안은 더 이상 단순한 보안 문제가 아닙니다. 이는 많은 조직의 가장 중요한 자산인 데이터의 무결성에 영향을 미치는 비즈니스 문제입니다. 심각한 침해는 조직의 운영, 평판, 그리고 잠재적으로 조직의 생존력에도 영향을 미칩니다. 점차 더 엄격한 규정을 시행하면서 CISO 및 잠재적으로 다른 고위 경영진을 상대로 소송을 제기할 의향이 있는 규제 기관에서도 사이버 보안의 중요성은 사라지지 않았습니다. 이러한 규제 기관은 우버와 선윈드 사례에서 보듯 형사 고발을 제기할 정도로 엄격해지고 있습니다.
오늘날의 환경에서는 전사적 보안 문화를 채택하는 것이 필수적입니다. 기업 가치의 상당 부분이 데이터, 애플리케이션 및 서비스에 있기 때문에 보안 코딩은 기업 문화의 핵심 요소입니다. 문화를 변화시키는 데 교육이 도움이 되었다는 증거와 함께, 문화적 사고방식의 일부인 표적 교육 및 기술 향상은 조직이 보안 태세를 강화하는 길로 나아갈 수 있게 합니다.
개발자 주도 보안 프로그램에는 가치가 있습니다. 증거는 다음과 같습니다. 신뢰 점수.
우리의 연구에 따르면 보안 코드 교육이 효과가 있는 것으로 나타났습니다. Trust Score는 600개 이상의 조직에서 25만 명 이상의 학습자가 작업에서 얻은 2천만 개 이상의 학습 데이터 포인트를 기반으로 하는 알고리즘을 사용한 결과 취약점을 제거하는 데 효과적이며, 이니셔티브를 더욱 효과적으로 만드는 방법을 보여줍니다.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
조직의 보안 태세를 개선하는 확실한 방법은 개발자에게 필요한 특정 학습 경로를 제공하도록 설계된 기준선과 벤치마크를 포함하는 프레임워크에서 제공되는 보안 코딩 모범 사례에 대한 개발자 기술 향상입니다. 그러나 보안 코딩은 한 번에 해결할 수 있는 문제가 아닙니다. 조직의 DNA에 암호화되어 생활 방식으로 자리 잡아야 합니다. 개발자는 왼쪽으로 이동하거나 왼쪽에서 시작해야 할 뿐만 아니라 계속 왼쪽으로 움직여야 합니다.
단순히 교육을 제공하는 것만으로는 충분하지 않습니다. 조직에서는 개발자가 교육을 완전히 숙지했으며 SDLC(소프트웨어 개발 라이프사이클) 초기 단계부터 일상 업무의 일부로 모범 사례를 따르고 있는지 확인해야 합니다. 내부 표준 및 업계 벤치마크와 비교하여 개발자의 성과를 추적하고 진행 상황을 측정함으로써 교육 투자의 ROI를 효과적으로 측정해야 합니다.
시큐어 코드 워리어스 신뢰 점수는 개별 개발자의 성과에 대한 가시성을 제공하고 데이터를 집계하여 조직의 전체 성과를 평가합니다.개선이 필요한 영역을 식별하는 동시에 기술 향상 프로그램의 효과를 보여줍니다. 또한 일반 데이터 보호 규정(GDPR), 결제 카드 산업 데이터 보안 표준(PCI DSS), 캘리포니아 소비자 개인정보 보호법(CCPA) 또는 기타 규정 등 다양한 규정 준수 요구 사항을 준수할 수 있도록 지원합니다.
우리의 연구에 따르면 보안 코드 교육이 효과가 있는 것으로 나타났습니다. Trust Score는 600개 이상의 조직에서 25만 명 이상의 학습자가 작업에서 얻은 2천만 개 이상의 학습 데이터 포인트를 기반으로 하는 알고리즘을 사용한 결과 취약점을 제거하는 데 효과적이며, 이니셔티브를 더욱 효과적으로 만드는 방법을 보여줍니다.
교육을 통해 보안이 강화됩니다 — 개발자가 교육을 받으면
수년간 SDLC를 시작할 때 보안 모범 사례를 사용하는 것은 소프트웨어 업계에서 대부분 야심찬 일처럼 보였습니다. 언젠가는 좋은 일이지만 오늘날에는 우선 순위가 아닙니다. 하지만 소프트웨어 개발 속도가 계속 빨라지고, 종종 소프트웨어 취약점을 표적으로 삼아 구축되는 정교하고 파괴적인 사이버 위협의 속도도 빨라지면서 보안 코딩은 필수가 되었습니다. 사이버 보안 및 인프라 보안 기관(CISA)은 보안 코드를 전면에 배치합니다. 보안 고려 설계 (Security by Design)로 성장하고 있는 국제 운동입니다.
우리의 연구를 통해 설계 단계에서의 보안(Secure by-Design) 접근 방식과 소프트웨어 취약성 감소 간의 상관 관계가 분명하다는 것이 입증되었습니다.SCW 고객 기반의 취약성 감소 데이터 26%를 분석한 결과, 개발자 교육을 통해 소프트웨어 취약성이 22%에서 84%까지 감소한 것으로 나타났습니다. 이 범위는 관련 기업의 규모(개발자 수가 상대적으로 적은 소규모 기업일수록 더 극적인 범위의 결과를 산출함), 학습 그룹이 특정 문제에 초점을 맞췄는지 여부, 그리고 학습 그룹이 특정 문제에 초점을 맞췄는지 여부 등의 변수에서 비롯되었으며, 이 경우 결함의 비율이 더 높았습니다.
대기업의 결과는 다소 일치했습니다. 개발자가 7,000명 이상인 회사에서는 개발자의 보안 기술 향상으로 인해 취약성이 47%에서 53%까지 감소할 것으로 예상할 수 있습니다. 예를 들어, 10,000명 이상의 개발자가 있는 한 회사(플랫폼에서 최고 성과를 낸 회사도 아니고 벤치마크가 가장 높은 회사도 아닌 회사)의 경우 취약성이 53% 감소했습니다.
물론 가장 효과적인 교육을 위해 광범위하고 획일적인 접근 방식이 필요한 것은 아닙니다. 개발자의 작업 환경과 개발자가 수행하는 개발 유형에 맞게 조정되어야 합니다.
기업은 먼저 개발자가 단순히 코드를 작성하는 것처럼 자연스럽게 보안 코드를 작성할 수 있도록 하기 위해 갖추어야 하는 기본 기술을 확립해야 합니다. 업스킬링 프로그램은 수행하는 작업 유형과 사용하는 언어에 맞는 실제 시나리오를 사용한 실습적이고 민첩한 교육으로 구성되어야 합니다. 또한 교육 세션을 업무 일정에 맞출 수 있을 만큼 유연해야 합니다.
개발자의 경우 기술 집합에는 코드 작성 이상의 작업이 포함됩니다. 개발자는 인공지능 어시스턴트와 타사에서 만든 소프트웨어(예: 오픈 소스 저장소)를 확인할 수 있어야 합니다. 개발자들은 생성형 AI 모델을 적극적으로 활용하며, 일반적으로 이 모델이 더 많은 코드를 더 빠르게 생성할 수 있도록 도와주는 이점을 높이 평가했습니다.그러나 응답자의 76%는 AI가 생성한 코드가 사람이 만든 코드보다 더 안전하다고 답했으며, 56.4%는 여전히 AI가 가끔 또는 자주 오류를 발생시킨다고 답했습니다. 같은 설문조사에서 개발자의 80%가 AI 코드 보안 정책 적용을 건너뛰는 것으로 나타났으며, 이는 AI 코드의 보안 문제가 해결되지 않고 있음을 시사합니다.
설계 시 보안 고려(Secure-by-Design) 접근 방식에서는 개발자가 보안 팀과 별도로 작업하지 않고 보안 팀과 협력하여 SDLC 초기 단계에서 이러한 문제를 해결하고, 코드가 프로덕션에 배포되기 전에 결함을 식별하고 수정합니다.
신뢰 점수는 개인 및 기업의 성과를 측정합니다.
지속적인 교육 실시 또한 중요합니다. 기업은 최고 직급부터 하위 직급까지 전 직급에 적용되는 보안 우선 문화를 채택해야 합니다. 지속적인 개선과 SDLC 전반에 모범 보안 관행을 적용하는 데 중점을 두어야 합니다. 기술과 사이버 범죄자는 진화를 멈추지 않으며, 사이버 보안도 마찬가지입니다. 소프트웨어를 제작하는 조직의 경우 보안 교육을 받은 개발자가 기반이 됩니다.
따라서 훈련이 효과적으로 자리 잡았음을 입증하는 것이 훈련 자체만큼이나 중요합니다. 신뢰 점수는 개발자 개인과 조직 전체의 성과를 파악할 수 있을 뿐만 아니라, 조직이 성과 데이터를 상세히 분석하여 특정 언어, 개발자 팀 또는 소프트웨어 범주에 집중할 수 있도록 합니다. 개별 성과 및 집계된 성과 결과의 데이터는 교육이 개선되어야 할 영역(예: 개발자의 일상적 성과에 원하는 영향을 미치지 못하는지 여부)을 식별하는 데에도 도움이 됩니다.
조직은 Trust Score를 통해 개발자의 성과를 평가하고, 개발자가 필요한 보안 기술을 습득했으며 이를 사용하고 있는지 확인하여 코드 작성 라이선스를 획득했는지 확인할 수 있습니다. 이를 통해 조직은 자격을 갖춘 개발자에게 가장 민감한 데이터와 중요한 소프트웨어 프로젝트에 대한 접근 권한을 자신 있게 부여하고, 아직 준비가 되지 않은 도구를 사용하는 개발자에게는 접근을 거부할 수 있습니다.
변화하는 보안 문화의 증거
사이버 보안은 더 이상 단순한 보안 문제가 아닙니다. 이는 많은 조직의 가장 중요한 자산인 데이터의 무결성에 영향을 미치는 비즈니스 문제입니다. 심각한 침해는 조직의 운영, 평판, 그리고 잠재적으로 조직의 생존력에도 영향을 미칩니다. 점차 더 엄격한 규정을 시행하면서 CISO 및 잠재적으로 다른 고위 경영진을 상대로 소송을 제기할 의향이 있는 규제 기관에서도 사이버 보안의 중요성은 사라지지 않았습니다. 이러한 규제 기관은 우버와 선윈드 사례에서 보듯 형사 고발을 제기할 정도로 엄격해지고 있습니다.
오늘날의 환경에서는 전사적 보안 문화를 채택하는 것이 필수적입니다. 기업 가치의 상당 부분이 데이터, 애플리케이션 및 서비스에 있기 때문에 보안 코딩은 기업 문화의 핵심 요소입니다. 문화를 변화시키는 데 교육이 도움이 되었다는 증거와 함께, 문화적 사고방식의 일부인 표적 교육 및 기술 향상은 조직이 보안 태세를 강화하는 길로 나아갈 수 있게 합니다.
개발자 주도 보안 프로그램에는 가치가 있습니다. 증거는 다음과 같습니다. 신뢰 점수.
조직의 보안 태세를 개선하는 확실한 방법은 개발자에게 필요한 특정 학습 경로를 제공하도록 설계된 기준선과 벤치마크를 포함하는 프레임워크에서 제공되는 보안 코딩 모범 사례에 대한 개발자 기술 향상입니다. 그러나 보안 코딩은 한 번에 해결할 수 있는 문제가 아닙니다. 조직의 DNA에 암호화되어 생활 방식으로 자리 잡아야 합니다. 개발자는 왼쪽으로 이동하거나 왼쪽에서 시작해야 할 뿐만 아니라 계속 왼쪽으로 움직여야 합니다.
단순히 교육을 제공하는 것만으로는 충분하지 않습니다. 조직에서는 개발자가 교육을 완전히 숙지했으며 SDLC(소프트웨어 개발 라이프사이클) 초기 단계부터 일상 업무의 일부로 모범 사례를 따르고 있는지 확인해야 합니다. 내부 표준 및 업계 벤치마크와 비교하여 개발자의 성과를 추적하고 진행 상황을 측정함으로써 교육 투자의 ROI를 효과적으로 측정해야 합니다.
시큐어 코드 워리어스 신뢰 점수는 개별 개발자의 성과에 대한 가시성을 제공하고 데이터를 집계하여 조직의 전체 성과를 평가합니다.개선이 필요한 영역을 식별하는 동시에 기술 향상 프로그램의 효과를 보여줍니다. 또한 일반 데이터 보호 규정(GDPR), 결제 카드 산업 데이터 보안 표준(PCI DSS), 캘리포니아 소비자 개인정보 보호법(CCPA) 또는 기타 규정 등 다양한 규정 준수 요구 사항을 준수할 수 있도록 지원합니다.
우리의 연구에 따르면 보안 코드 교육이 효과가 있는 것으로 나타났습니다. Trust Score는 600개 이상의 조직에서 25만 명 이상의 학습자가 작업에서 얻은 2천만 개 이상의 학습 데이터 포인트를 기반으로 하는 알고리즘을 사용한 결과 취약점을 제거하는 데 효과적이며, 이니셔티브를 더욱 효과적으로 만드는 방법을 보여줍니다.
교육을 통해 보안이 강화됩니다 — 개발자가 교육을 받으면
수년간 SDLC를 시작할 때 보안 모범 사례를 사용하는 것은 소프트웨어 업계에서 대부분 야심찬 일처럼 보였습니다. 언젠가는 좋은 일이지만 오늘날에는 우선 순위가 아닙니다. 하지만 소프트웨어 개발 속도가 계속 빨라지고, 종종 소프트웨어 취약점을 표적으로 삼아 구축되는 정교하고 파괴적인 사이버 위협의 속도도 빨라지면서 보안 코딩은 필수가 되었습니다. 사이버 보안 및 인프라 보안 기관(CISA)은 보안 코드를 전면에 배치합니다. 보안 고려 설계 (Security by Design)로 성장하고 있는 국제 운동입니다.
우리의 연구를 통해 설계 단계에서의 보안(Secure by-Design) 접근 방식과 소프트웨어 취약성 감소 간의 상관 관계가 분명하다는 것이 입증되었습니다.SCW 고객 기반의 취약성 감소 데이터 26%를 분석한 결과, 개발자 교육을 통해 소프트웨어 취약성이 22%에서 84%까지 감소한 것으로 나타났습니다. 이 범위는 관련 기업의 규모(개발자 수가 상대적으로 적은 소규모 기업일수록 더 극적인 범위의 결과를 산출함), 학습 그룹이 특정 문제에 초점을 맞췄는지 여부, 그리고 학습 그룹이 특정 문제에 초점을 맞췄는지 여부 등의 변수에서 비롯되었으며, 이 경우 결함의 비율이 더 높았습니다.
대기업의 결과는 다소 일치했습니다. 개발자가 7,000명 이상인 회사에서는 개발자의 보안 기술 향상으로 인해 취약성이 47%에서 53%까지 감소할 것으로 예상할 수 있습니다. 예를 들어, 10,000명 이상의 개발자가 있는 한 회사(플랫폼에서 최고 성과를 낸 회사도 아니고 벤치마크가 가장 높은 회사도 아닌 회사)의 경우 취약성이 53% 감소했습니다.
물론 가장 효과적인 교육을 위해 광범위하고 획일적인 접근 방식이 필요한 것은 아닙니다. 개발자의 작업 환경과 개발자가 수행하는 개발 유형에 맞게 조정되어야 합니다.
기업은 먼저 개발자가 단순히 코드를 작성하는 것처럼 자연스럽게 보안 코드를 작성할 수 있도록 하기 위해 갖추어야 하는 기본 기술을 확립해야 합니다. 업스킬링 프로그램은 수행하는 작업 유형과 사용하는 언어에 맞는 실제 시나리오를 사용한 실습적이고 민첩한 교육으로 구성되어야 합니다. 또한 교육 세션을 업무 일정에 맞출 수 있을 만큼 유연해야 합니다.
개발자의 경우 기술 집합에는 코드 작성 이상의 작업이 포함됩니다. 개발자는 인공지능 어시스턴트와 타사에서 만든 소프트웨어(예: 오픈 소스 저장소)를 확인할 수 있어야 합니다. 개발자들은 생성형 AI 모델을 적극적으로 활용하며, 일반적으로 이 모델이 더 많은 코드를 더 빠르게 생성할 수 있도록 도와주는 이점을 높이 평가했습니다.그러나 응답자의 76%는 AI가 생성한 코드가 사람이 만든 코드보다 더 안전하다고 답했으며, 56.4%는 여전히 AI가 가끔 또는 자주 오류를 발생시킨다고 답했습니다. 같은 설문조사에서 개발자의 80%가 AI 코드 보안 정책 적용을 건너뛰는 것으로 나타났으며, 이는 AI 코드의 보안 문제가 해결되지 않고 있음을 시사합니다.
설계 시 보안 고려(Secure-by-Design) 접근 방식에서는 개발자가 보안 팀과 별도로 작업하지 않고 보안 팀과 협력하여 SDLC 초기 단계에서 이러한 문제를 해결하고, 코드가 프로덕션에 배포되기 전에 결함을 식별하고 수정합니다.
신뢰 점수는 개인 및 기업의 성과를 측정합니다.
지속적인 교육 실시 또한 중요합니다. 기업은 최고 직급부터 하위 직급까지 전 직급에 적용되는 보안 우선 문화를 채택해야 합니다. 지속적인 개선과 SDLC 전반에 모범 보안 관행을 적용하는 데 중점을 두어야 합니다. 기술과 사이버 범죄자는 진화를 멈추지 않으며, 사이버 보안도 마찬가지입니다. 소프트웨어를 제작하는 조직의 경우 보안 교육을 받은 개발자가 기반이 됩니다.
따라서 훈련이 효과적으로 자리 잡았음을 입증하는 것이 훈련 자체만큼이나 중요합니다. 신뢰 점수는 개발자 개인과 조직 전체의 성과를 파악할 수 있을 뿐만 아니라, 조직이 성과 데이터를 상세히 분석하여 특정 언어, 개발자 팀 또는 소프트웨어 범주에 집중할 수 있도록 합니다. 개별 성과 및 집계된 성과 결과의 데이터는 교육이 개선되어야 할 영역(예: 개발자의 일상적 성과에 원하는 영향을 미치지 못하는지 여부)을 식별하는 데에도 도움이 됩니다.
조직은 Trust Score를 통해 개발자의 성과를 평가하고, 개발자가 필요한 보안 기술을 습득했으며 이를 사용하고 있는지 확인하여 코드 작성 라이선스를 획득했는지 확인할 수 있습니다. 이를 통해 조직은 자격을 갖춘 개발자에게 가장 민감한 데이터와 중요한 소프트웨어 프로젝트에 대한 접근 권한을 자신 있게 부여하고, 아직 준비가 되지 않은 도구를 사용하는 개발자에게는 접근을 거부할 수 있습니다.
변화하는 보안 문화의 증거
사이버 보안은 더 이상 단순한 보안 문제가 아닙니다. 이는 많은 조직의 가장 중요한 자산인 데이터의 무결성에 영향을 미치는 비즈니스 문제입니다. 심각한 침해는 조직의 운영, 평판, 그리고 잠재적으로 조직의 생존력에도 영향을 미칩니다. 점차 더 엄격한 규정을 시행하면서 CISO 및 잠재적으로 다른 고위 경영진을 상대로 소송을 제기할 의향이 있는 규제 기관에서도 사이버 보안의 중요성은 사라지지 않았습니다. 이러한 규제 기관은 우버와 선윈드 사례에서 보듯 형사 고발을 제기할 정도로 엄격해지고 있습니다.
오늘날의 환경에서는 전사적 보안 문화를 채택하는 것이 필수적입니다. 기업 가치의 상당 부분이 데이터, 애플리케이션 및 서비스에 있기 때문에 보안 코딩은 기업 문화의 핵심 요소입니다. 문화를 변화시키는 데 교육이 도움이 되었다는 증거와 함께, 문화적 사고방식의 일부인 표적 교육 및 기술 향상은 조직이 보안 태세를 강화하는 길로 나아갈 수 있게 합니다.
개발자 주도 보안 프로그램에는 가치가 있습니다. 증거는 다음과 같습니다. 신뢰 점수.
아래 링크를 클릭하고 이 리소스의 PDF를 다운로드하십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
조직의 보안 태세를 개선하는 확실한 방법은 개발자에게 필요한 특정 학습 경로를 제공하도록 설계된 기준선과 벤치마크를 포함하는 프레임워크에서 제공되는 보안 코딩 모범 사례에 대한 개발자 기술 향상입니다. 그러나 보안 코딩은 한 번에 해결할 수 있는 문제가 아닙니다. 조직의 DNA에 암호화되어 생활 방식으로 자리 잡아야 합니다. 개발자는 왼쪽으로 이동하거나 왼쪽에서 시작해야 할 뿐만 아니라 계속 왼쪽으로 움직여야 합니다.
단순히 교육을 제공하는 것만으로는 충분하지 않습니다. 조직에서는 개발자가 교육을 완전히 숙지했으며 SDLC(소프트웨어 개발 라이프사이클) 초기 단계부터 일상 업무의 일부로 모범 사례를 따르고 있는지 확인해야 합니다. 내부 표준 및 업계 벤치마크와 비교하여 개발자의 성과를 추적하고 진행 상황을 측정함으로써 교육 투자의 ROI를 효과적으로 측정해야 합니다.
시큐어 코드 워리어스 신뢰 점수는 개별 개발자의 성과에 대한 가시성을 제공하고 데이터를 집계하여 조직의 전체 성과를 평가합니다.개선이 필요한 영역을 식별하는 동시에 기술 향상 프로그램의 효과를 보여줍니다. 또한 일반 데이터 보호 규정(GDPR), 결제 카드 산업 데이터 보안 표준(PCI DSS), 캘리포니아 소비자 개인정보 보호법(CCPA) 또는 기타 규정 등 다양한 규정 준수 요구 사항을 준수할 수 있도록 지원합니다.
우리의 연구에 따르면 보안 코드 교육이 효과가 있는 것으로 나타났습니다. Trust Score는 600개 이상의 조직에서 25만 명 이상의 학습자가 작업에서 얻은 2천만 개 이상의 학습 데이터 포인트를 기반으로 하는 알고리즘을 사용한 결과 취약점을 제거하는 데 효과적이며, 이니셔티브를 더욱 효과적으로 만드는 방법을 보여줍니다.
교육을 통해 보안이 강화됩니다 — 개발자가 교육을 받으면
수년간 SDLC를 시작할 때 보안 모범 사례를 사용하는 것은 소프트웨어 업계에서 대부분 야심찬 일처럼 보였습니다. 언젠가는 좋은 일이지만 오늘날에는 우선 순위가 아닙니다. 하지만 소프트웨어 개발 속도가 계속 빨라지고, 종종 소프트웨어 취약점을 표적으로 삼아 구축되는 정교하고 파괴적인 사이버 위협의 속도도 빨라지면서 보안 코딩은 필수가 되었습니다. 사이버 보안 및 인프라 보안 기관(CISA)은 보안 코드를 전면에 배치합니다. 보안 고려 설계 (Security by Design)로 성장하고 있는 국제 운동입니다.
우리의 연구를 통해 설계 단계에서의 보안(Secure by-Design) 접근 방식과 소프트웨어 취약성 감소 간의 상관 관계가 분명하다는 것이 입증되었습니다.SCW 고객 기반의 취약성 감소 데이터 26%를 분석한 결과, 개발자 교육을 통해 소프트웨어 취약성이 22%에서 84%까지 감소한 것으로 나타났습니다. 이 범위는 관련 기업의 규모(개발자 수가 상대적으로 적은 소규모 기업일수록 더 극적인 범위의 결과를 산출함), 학습 그룹이 특정 문제에 초점을 맞췄는지 여부, 그리고 학습 그룹이 특정 문제에 초점을 맞췄는지 여부 등의 변수에서 비롯되었으며, 이 경우 결함의 비율이 더 높았습니다.
대기업의 결과는 다소 일치했습니다. 개발자가 7,000명 이상인 회사에서는 개발자의 보안 기술 향상으로 인해 취약성이 47%에서 53%까지 감소할 것으로 예상할 수 있습니다. 예를 들어, 10,000명 이상의 개발자가 있는 한 회사(플랫폼에서 최고 성과를 낸 회사도 아니고 벤치마크가 가장 높은 회사도 아닌 회사)의 경우 취약성이 53% 감소했습니다.
물론 가장 효과적인 교육을 위해 광범위하고 획일적인 접근 방식이 필요한 것은 아닙니다. 개발자의 작업 환경과 개발자가 수행하는 개발 유형에 맞게 조정되어야 합니다.
기업은 먼저 개발자가 단순히 코드를 작성하는 것처럼 자연스럽게 보안 코드를 작성할 수 있도록 하기 위해 갖추어야 하는 기본 기술을 확립해야 합니다. 업스킬링 프로그램은 수행하는 작업 유형과 사용하는 언어에 맞는 실제 시나리오를 사용한 실습적이고 민첩한 교육으로 구성되어야 합니다. 또한 교육 세션을 업무 일정에 맞출 수 있을 만큼 유연해야 합니다.
개발자의 경우 기술 집합에는 코드 작성 이상의 작업이 포함됩니다. 개발자는 인공지능 어시스턴트와 타사에서 만든 소프트웨어(예: 오픈 소스 저장소)를 확인할 수 있어야 합니다. 개발자들은 생성형 AI 모델을 적극적으로 활용하며, 일반적으로 이 모델이 더 많은 코드를 더 빠르게 생성할 수 있도록 도와주는 이점을 높이 평가했습니다.그러나 응답자의 76%는 AI가 생성한 코드가 사람이 만든 코드보다 더 안전하다고 답했으며, 56.4%는 여전히 AI가 가끔 또는 자주 오류를 발생시킨다고 답했습니다. 같은 설문조사에서 개발자의 80%가 AI 코드 보안 정책 적용을 건너뛰는 것으로 나타났으며, 이는 AI 코드의 보안 문제가 해결되지 않고 있음을 시사합니다.
설계 시 보안 고려(Secure-by-Design) 접근 방식에서는 개발자가 보안 팀과 별도로 작업하지 않고 보안 팀과 협력하여 SDLC 초기 단계에서 이러한 문제를 해결하고, 코드가 프로덕션에 배포되기 전에 결함을 식별하고 수정합니다.
신뢰 점수는 개인 및 기업의 성과를 측정합니다.
지속적인 교육 실시 또한 중요합니다. 기업은 최고 직급부터 하위 직급까지 전 직급에 적용되는 보안 우선 문화를 채택해야 합니다. 지속적인 개선과 SDLC 전반에 모범 보안 관행을 적용하는 데 중점을 두어야 합니다. 기술과 사이버 범죄자는 진화를 멈추지 않으며, 사이버 보안도 마찬가지입니다. 소프트웨어를 제작하는 조직의 경우 보안 교육을 받은 개발자가 기반이 됩니다.
따라서 훈련이 효과적으로 자리 잡았음을 입증하는 것이 훈련 자체만큼이나 중요합니다. 신뢰 점수는 개발자 개인과 조직 전체의 성과를 파악할 수 있을 뿐만 아니라, 조직이 성과 데이터를 상세히 분석하여 특정 언어, 개발자 팀 또는 소프트웨어 범주에 집중할 수 있도록 합니다. 개별 성과 및 집계된 성과 결과의 데이터는 교육이 개선되어야 할 영역(예: 개발자의 일상적 성과에 원하는 영향을 미치지 못하는지 여부)을 식별하는 데에도 도움이 됩니다.
조직은 Trust Score를 통해 개발자의 성과를 평가하고, 개발자가 필요한 보안 기술을 습득했으며 이를 사용하고 있는지 확인하여 코드 작성 라이선스를 획득했는지 확인할 수 있습니다. 이를 통해 조직은 자격을 갖춘 개발자에게 가장 민감한 데이터와 중요한 소프트웨어 프로젝트에 대한 접근 권한을 자신 있게 부여하고, 아직 준비가 되지 않은 도구를 사용하는 개발자에게는 접근을 거부할 수 있습니다.
변화하는 보안 문화의 증거
사이버 보안은 더 이상 단순한 보안 문제가 아닙니다. 이는 많은 조직의 가장 중요한 자산인 데이터의 무결성에 영향을 미치는 비즈니스 문제입니다. 심각한 침해는 조직의 운영, 평판, 그리고 잠재적으로 조직의 생존력에도 영향을 미칩니다. 점차 더 엄격한 규정을 시행하면서 CISO 및 잠재적으로 다른 고위 경영진을 상대로 소송을 제기할 의향이 있는 규제 기관에서도 사이버 보안의 중요성은 사라지지 않았습니다. 이러한 규제 기관은 우버와 선윈드 사례에서 보듯 형사 고발을 제기할 정도로 엄격해지고 있습니다.
오늘날의 환경에서는 전사적 보안 문화를 채택하는 것이 필수적입니다. 기업 가치의 상당 부분이 데이터, 애플리케이션 및 서비스에 있기 때문에 보안 코딩은 기업 문화의 핵심 요소입니다. 문화를 변화시키는 데 교육이 도움이 되었다는 증거와 함께, 문화적 사고방식의 일부인 표적 교육 및 기술 향상은 조직이 보안 태세를 강화하는 길로 나아갈 수 있게 합니다.
개발자 주도 보안 프로그램에는 가치가 있습니다. 증거는 다음과 같습니다. 신뢰 점수.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약다운로드
%20(1).avif)
.avif)
