디지털오션, 보안 부채를 줄이기 위해 Secure Code Warrior
DigitalOcean은 개발자가 애플리케이션을 손쉽게 배포, 관리 및 확장할 수 있도록 확장 가능한 컴퓨팅 리소스와 클라우드 솔루션 제품군을 제공합니다. 디지털오션의 제품과 서비스는 개발자와 기업이 세상을 바꾸는 소프트웨어를 개발하는 데 더 많은 시간을 할애할 수 있도록 새로운 제품을 제공하는 데 주력하는 R&D 팀을 통해 제공됩니다.
상황
DigitalOcean은 수년 동안 빠르게 성장해 왔으며, 이러한 성장을 지원하기 위해 엔지니어링 팀이 확장되면서 보안 문제가 발생했습니다. 팀 규모가 커지면서 DigitalOcean은 개발자들이 설계 검토에서 발생하는 일반적인 패턴을 능숙하게 식별하여 이러한 패턴의 재발을 사전에 방지할 수 있는 방법을 모색했습니다. 궁극적으로는 소프트웨어 보안 숙련도를 높이고 코드 보안에 대해 선제적이고 공격적인 사고방식을 갖출 수 있는 프로그램을 원했습니다.
"개발자에게 특화된, 실무에 도움이 되는, 우리 조직이 직면하고 있는 위험에 초점을 맞춘 솔루션이 필요했습니다."
액션
DigitalOcean의 제품 보안 팀은 전체적인 취약성 관리에 중점을 두고 있으며, 개발자가 지식을 배우고, 테스트하고, 적용할 수 있는 실습 솔루션이 필요했고, 이를 통해 조직과 관련된 문제에 대한 보안 역량을 구축할 수 있었습니다.
Secure Code Warrior 을 사용하여 보안 및 디자인 검토 중에 널리 퍼져 있는 것으로 확인된 특정 취약점에 초점을 맞춘 적절한 보안 코딩 프로그램을 맞춤화했습니다.
이러한 기본 사항을 바탕으로 프로그램을 구축함으로써 개발팀은 식별된 문제에 집중할 수 있는 강력한 기반을 마련할 수 있었습니다. Secure Code Warrior 애자일 learning platform 을 통해 개발자는 취약점이 있는 코드를 검토 및 식별하고, 학습 모듈을 통해 '동작 중인 취약점을 확인'함으로써 코드의 영향을 이해할 수 있었습니다. 이러한 조합은 개발자의 보안 태세와 지식 기반을 구축하는 데 효과적이었습니다.
결과
가장 주목할 만한 결과 중 하나는 보안 코딩 관행을 신속하고 정기적으로 강화할 수 있게 되어 팀 전반의 보안 부채가 현저히 감소했다는 것입니다. 전반적으로 DigitalOcean은 SCW 교육을 받은 팀이 보안 문제를 식별하고 완화하는 데 더 능숙해졌을 뿐만 아니라 보안을 손상하지 않고 혁신의 경계를 넓힐 수 있는 자신감을 갖게 되었다는 사실을 발견했습니다.
보안 부채의 감소는 개발자들이 보안 결함을 해결하는 데 소요되는 시간을 줄이고 새로운 기능과 개선 사항을 개발하는 데 더 많은 시간을 할애함으로써 생산성과 효율성 향상으로 이어졌습니다. 또한 이러한 팀의 보안 태세 강화로 DigitalOcean은 고객에게 더 높은 품질의 더 안전한 제품을 제공할 수 있게 되어 업계에서 경쟁력을 강화할 수 있었습니다.
다음 단계
앞으로 DigitalOcean은 보안 교육 및 벤치마킹 역량을 더욱 강화할 수 있는 SCW Trust Score의 잠재력에 대해 기대가 큽니다. SCW Trust Score는 팀과 부서 간에 상세한 비교를 통해 전반적인 보안 상태를 명확하게 파악할 수 있게 해줄 것입니다.
끊임없이 변화하는 보안 환경에 계속 진화하고 적응하면서 DigitalOcean은 엔지니어링 및 개발자 팀이 보안 부채를 계속 줄일 뿐만 아니라 Secure Code Warrior 통해 얻은 보안 잉여를 사용하여 개발자 생산성, 속도 및 혁신의 경계를 넓힐 수 있을 것으로 확신하고 있습니다.
