금융 거래를 신뢰에 기반한 경험으로 전환하는 데 도움을 주는 Paysafe는 연간 152B 달러 이상의 거래량을 처리하는 안전하고 원활한 플랫폼을 제공하기 위해서는 기본적인 규정 준수 표준을 충족하는 것 이상의 것이 필요하다는 것을 알고 있습니다. 지난 4년 동안 Paysafe는 Secure Code Warrior 파트너십을 통해 개발자 위험 관리에 대한 총체적인 접근 방식을 지속적으로 추진하고 있으며, 애플리케이션 보안 프로그램은 다음과 같은 전반적인 비즈니스 요구사항에 긍정적인 영향을 미치고 있습니다:    

과제: 페이세이프 전반에 걸친 보안 코드 표준 강화

다국적 온라인 결제 서비스 제공업체인 Paysafe는 보안 코딩을 단순히 PCI DSS 규정 준수 요건을 충족하는 것 이상의 전략적 우선 순위로 인식해 왔습니다. 전문가가 주도하는 공식적인 강의실 교육 세션과 기술 평가가 초기 노력의 일부였지만, Paysafe의 목표는 항상 보안 코딩 이니셔티브의 범위와 규모를 지속적으로 확장하여 애플리케이션 보안에 대한 업계 최고의 접근 방식을 보장하고 엔지니어가 처음부터 안전한 코드를 작성하도록 하는 것이었습니다.

"저희는 단순히 교육을 제공했다는 확인란에 체크하는 것으로 끝나는 것이 아닙니다. 우리의 목표는 직원들에게 지속적인 발전 상황을 알리는 것입니다. 우리는 항상 더 나아지고 더 많은 일을 하기 위해 노력하고 있습니다. 엔지니어링 팀과 보안 팀의 협업을 원합니다. 스스로 개발할 수 있는 팀은 더 많은 정보를 얻고 더 나은 코드를 설계할 수 있습니다."라고 Paysafe의 인력 개발 파트너 보얀 히스토브는 말합니다.

Paysafe의 비전은 소프트웨어 개발 라이프사이클의 모든 단계에 보안 코딩 관행을 도입하는 보안 인식 엔지니어를 양성하여 보안에 대한 인식을 전환하는 것이었습니다. 이를 지원하기 위해 PCI 규정 준수를 위한 감사 증거를 제공할 뿐만 아니라 깊고 지속적인 문화적 변화를 이끌어낼 수 있는 확장 가능하고 참여도가 높으며 지속적인 프로그램이 필요했습니다. 여기에는 게임화된 학습 경험, 정기 tournaments, 상시 교육이 포함되어 개발자의 참여를 유도하고 업계 보안 트렌드의 선두에 서도록 지원했습니다.

솔루션: Secure Code Warrior 통한 최첨단 접근 방식

Paysafe는 보안 코딩 관행을 확장하고, 엔지니어를 참여시키고, 개발 수명 주기 초기에 보안을 내장하기 위해 Secure Code Warrior개발자 위험 관리 플랫폼을 채택했습니다. 보안 챔피언 프로그램은 시간이 지남에 따라 성장했으며, Secure Code Warrior 사이버 위험 예방 목표를 달성하는 데 중요한 역할을 하고 있습니다.

Paysafe는 개발자가 플랫폼에 유기적으로 참여할 수 있도록 하여 개발자의 참여와 흥미를 유도하기 위해 매력적인 상품이 걸린 tournaments 같은 게임형 활동을 장려했습니다. 프로그램 출시 초기에는 PCI 규정 준수 요건을 충족하기 위해 일부 평가를 의무화하고 다른 콘텐츠와 활동은 옵션으로 제공했습니다.

프로그램이 주목을 받자 경영진은 추가 지원을 제공하여 개발 및 인포섹 팀의 목표를 더욱 일치시켰습니다. 이를 통해 Paysafe 팀은 프로그램을 한 단계 더 발전시키고 지정된 KPI와 성공 인센티브가 있는 보다 공식적인 인증 프로그램을 도입할 수 있었습니다. 

프로그램의 다음 단계는 업계 표준인 OWASP 상위 10개 주제에 초점을 맞추었으며, 개발자가 다양한 수준의 성취도를 통해 인증 단계를 밟을 수 있도록 했습니다. 이제 이 프로그램은 새로운 수준의 규모와 성숙도에 도달하여 정규직부터 비정규직에 이르기까지 모든 개발자의 기본 기준을 높였습니다.

"지난 4년간 SCW와 구축한 파트너십을 매우 소중하게 생각합니다. 우리는 함께 목표에 맞는 애플리케이션 보안 교육을 제공하고 보안 팀과 엔지니어링 팀 간의 관계를 더욱 공고히 할 수 있었으며, 보안 코드를 처음부터 가능한 한 빨리 개발하겠다는 공동의 약속을 바탕으로 SDLC를 조기에 구축했습니다."라고 Paysafe의 최고 정보 보안 책임자인 앨런 오스본(Alan Osborne)이 말합니다.

CISO, CTO 및 엔지니어링 전반의 경영진의 지속적인 지원과 조율에 힘입어 Paysafe는 Secure Code Warrior 파트너십을 맺고 프로그램을 지속적으로 발전시켜 왔습니다. 현재 이 프로그램은 비즈니스 요구사항과 긴밀하게 연계되어 가시적인 성과를 제공하고 있으며 내부 팀에게 관련성과 참여도를 유지하고 있습니다.

결과: 조직 전반의 보안 코드를 위한 새로운 표준

Paysafe의 애플리케이션 보안 이니셔티브는 4년 전 여정을 시작한 이래로 개선되었습니다. Secure Code Warrior 파트너십을 통해 Paysafe는 개발자 위험 관리에 대한 총체적인 접근 방식이 조직 전체에 미칠 수 있는 엄청난 영향력을 입증했습니다. 

Paysafe의 SAST 스캔 데이터 분석에 따르면 Secure Code Warrior 훈련받은 팀이 개발한 애플리케이션은 개발 초기 단계 스캔에서 발견된 취약점이 눈에 띄게 감소한 것으로 나타났습니다. 개발자가 SCW 플랫폼에 더 적극적으로 참여한 팀에서는 첫 번째 스캔에서 발견된 취약점의 수가 더 많이 감소했습니다. 

Secure Code Warrior 가장 높은 수준의 활동과 참여를 보인 팀은 초기 개발 단계에서 발견된 취약점이 전년 대비 크게 감소하여 안전한 코딩 습관을 강화하는 데 있어 지속적인 기술 기반 교육의 부가가치가 있음을 강조했습니다. 처음부터 보안 코드를 작성함으로써 해당 팀과 SDLC를 따르는 다른 팀들은 상당한 시간을 절약할 수 있었습니다. 초기 개발 단계에서 코드 취약성을 방지함으로써 코드 취약성을 식별하고, 기록하고, 재작업할 필요가 없어져 수천 시간의 개발 시간이 절약되었습니다. 그 결과 개발자 생산성이 45% 향상되어 보안 코드 업스킬링의 이점을 입증하고 일상적인 개발 프로세스를 개선하는 데 도움이 되었습니다. 엔지니어링 팀과 앱보안 팀 모두에게 윈윈입니다.

보안 코드에 대한 Paysafe의 헌신 덕분에 은행 및 금융 서비스 벤치마크에서 SCW Trust ^Score® 4위를 달성할 수 있었습니다. 이는 자랑스러운 성과이지만, 보안 코드 이니셔티브에 대한 Paysafe의 노력은 여기서 멈추지 않습니다. Secure Code Warrior 파트너십을 통해 얻은 성과에 고무된 Paysafe는 프로그램을 더욱 발전시키고자 합니다.

"Secure Code Warrior 개발자의 생산성을 높이고, 제품 및 개선 사항을 시장에 출시하는 능력을 가속화하며, 시간이 지남에 따라 비용과 위험을 크게 줄이는 데 도움이 되었습니다."라고 Paysafe의 최고 정보 보안 책임자인 Alan Osborne은 말합니다. "우리는 향상된 개발자 교육을 통해 보안 코딩이 단순히 '있으면 좋은 것'이 아니라 개발자의 기술, 경험 및 역량을 강화하는 동시에 실질적인 ROI를 제공하는 입증된 투자라는 것을 입증했습니다."

다음으로, Paysafe는 거버넌스 및 위험 관리 조치를 프로세스에 추가로 통합하여 Secure Code Warrior 표준을 더욱 운영하고자 하며, SCW Trust Agent와 오랜 파트너십을 강화하고 사이버 보안 우수성을 위한 노력을 입증하고자 합니다.

개발자 위험 관리는 애플리케이션 계층 자체의 비트와 바이트가 아닌 코드 기여자에 초점을 맞춘 애플리케이션 보안에 대한 총체적이고 사전 예방적인 접근 방식입니다.

SDLC 전반에서 개발자 보안 위험을 사전에 측정, 관리 및 완화하여 보안 태세를 개선하고 소프트웨어를 더 빠르게 릴리스하며 취약성을 53% 이상 줄이세요.

개발자 위험 관리의 철학은 코드 기여자의 역량을 강화하고 거버넌스를 적용하여 프로그래밍 방식으로 코딩 기술을 보호함으로써 개발자 주도의 보안 코드 이니셔티브의 혜택과 영향력이 기하급수적으로 증가한다는 것입니다.

빠르고 안전한 혁신 - Trust Agent: AI

AI 코딩 도구의 광범위한 채택으로 개발 라이프사이클에 새로운 위험 요소가 등장하고 있습니다. 가시성과 거버넌스가 없으면 '섀도 AI'와 안전하지 않은 코드의 유입에 노출될 수 있습니다. 에이전트 신뢰: AI는 보안을 유지하면서 AI 도입을 확실하게 관리하는 데 필요한 심층적인 가시성과 제어 기능을 제공합니다. AI 도구 사용과 개발자의 보안 코딩 기술의 상관관계를 파악하여 커밋 수준에서 위험을 식별하고 완화함으로써 그 어느 때보다 빠르고 안전하게 혁신할 수 있도록 도와주는 솔루션입니다.

지금 한 페이지 분량의 안내서를 다운로드하여 SCW Trust Agent의 사용 방법을 알아보세요: AI를 통해 보안 태세를 강화하고, 개발 수명 주기를 최적화하며, 취약성을 크게 줄일 수 있습니다.

‍

보안 코드 거버넌스를 혁신하세요: 모든 커밋에 대한 제어 및 인사이트 확보 

커밋된 모든 코드 라인이 필요한 보안 코딩 기술을 갖춘 개발자에 의해 뒷받침되고 있다고 확신하시나요? 많은 조직이 이러한 중요한 격차에 직면하여 예방 가능한 취약점을 발견하고 개발 속도를 떨어뜨리고 있습니다. SCW Trust Agent는 코드 리포지토리 전체에 대한 탁월한 가시성을 제공하여 개발자의 보안 숙련도에 따라 커밋을 직접 분석합니다. Trust Agent는 정책 게이트를 통해 코드 기여자가 비즈니스 크리티컬 애플리케이션에 필요한 보안 코드 지식을 갖추도록 보장하는 정책을 통해 커밋 수준에서 거버넌스를 적용할 수 있습니다. 

지금 한 페이지 분량의 백서를 다운로드하여 SCW Trust Agent가 보안 태세를 강화하고, 개발 수명 주기를 최적화하며, 취약성을 크게 줄이는 데 어떻게 도움이 되는지 알아보세요.

조직은 보통 보안 챔피언으로 발전할 수 있는 개발자를 식별하여 유기적으로 위험 프로필을 줄이려는 목표를 가지고 보안에 접근합니다. 그러나 보안 챔피언을 식별하고 육성하는 데 있어 어려운 점은 시간이 지남에 따라 확장할 수 있는 프로그램을 구축하고 개발자가 조직의 전반적인 보안 태세를 강화할 수 있도록 권한을 부여하는 것입니다.

대규모 언어 모델은 속도와 생산성 측면에서 거부할 수 없는 이점을 제공하지만, 기업에는 부인할 수 없는 위험을 초래하기도 합니다. 기존의 보안 가드레일만으로는 이 홍수를 제어하기에 충분하지 않습니다. 개발자는 소프트웨어 개발 수명 주기 초기에 보안 결함을 식별하고 예방하기 위해 정확하고 검증된 보안 기술이 필요합니다.

OpenText Application Security(이전 명칭: Fortify) Secure Code Warrior 개발자가 보안 챔피언이 될 수 있도록 지원함으로써 애플리케이션 보안을 강화하기 위해 파트너십을 체결했습니다. 이 통합을 통해 특정 취약점에 대한 교육, 신속한 해결, 그리고 개발자의 실무 교육을 통해 처음부터 안전한 코드 작성 능력을 향상시킬 수 있습니다.

이 협력은 소프트웨어 개발 라이프사이클에 보안을 포함함으로써 보안 위험을 줄이고 비용을 최소화하며 규정 준수를 간소화하여 기업이 고객의 신뢰를 구축하고 고품질 코드를 더 빠르게 출시할 수 있도록 지원합니다.

파트너십에 대한 자세한 내용은 원페이저에서 확인하세요.