데블리픽스란 무엇인가요? 데브림픽은 개발자의 보안 코드 기술을 테스트하기 위해 애자일 learning platform 에서 Secure Code Warrior 주최하는 연례 글로벌 tournament 행사입니다. 24시간 동안 진행된 tournament 에서 전 세계 개발자들은 자신이 선택한 프로그래밍 언어로 공격 및 방어 코딩 챌린지에서 경쟁했습니다. 개발자들은 다양한 기술 분야에서 동료 개발자들과 경쟁하고 점수를 획득하여 순위표의 최상위에 오를 수 있는 기회를 가졌습니다.
이 보고서에서는 데브옵스 2023 결과에 대한 개요와 함께 수백 명의 개발자가 도전 과제에서 강조한 강점과 기회에 대해 자세히 살펴볼 수 있습니다. 또한 보안 코드 학습을 한 단계 더 발전시킬 수 있도록 각 산업, 언어, 개발자가 해결한 일반적인 CWE(공통 약점 열거)에 대한 트렌드를 강조했습니다.
개발자가 말하는 데브옵스 및 Secure Code Warrior "Secure Code Warrior 은 다른 참가자들과 경쟁하고 실력을 향상시킬 수 있는 훌륭한 플랫폼입니다." "Secure Code Warrior 는 대화형 코드 리뷰와 같은 접근 방식을 취합니다." "Secure Code Warrior 은 흥미로운 경쟁을 통해 훈련할 수 있는 최고의 플랫폼 중 하나입니다." "신나고, 스릴 넘치고, 정말 좋았어요!" 개발자들이 좋아하는 Secure Code Warrior 행사 후 200명 이상의 참가자를 대상으로 설문조사를 실시한 결과, 개발자들이 이 대회를 매우 좋아한다는 것을 알 수 있었습니다.
개발자 참여 데브림픽에 대한 개발자 참여는 매년 지속적으로 증가하여 2023년 데브림픽( tournament)에는 1,000명 이상의 개발자가 참가할 것으로 예상됩니다. 데브림픽은 다양한 산업과 프로그래밍 분야의 보안 전문가와 개발자들로부터 전 세계의 주목을 받았습니다. 작년보다 두 배나 많은 개발자가 참여하면서 개발자들이 안전한 코딩 방법을 배우는 데 더욱 열중하는 추세에 주목하고 있습니다. 보안에 능숙한 개발자 커뮤니티를 성장시킴으로써 데브옵스는 코드를 취약점으로부터 보호하는 첫 번째 방어선으로서 개발자의 가치를 지속적으로 강조하고 있습니다.
데블린 올림픽에 참여한 산업 보안 코드는 모든 산업에 중요하지만 일부 특정 분야에서는 미션 크리티컬한 요소입니다. 은행 및 금융 서비스 , 기술 등의 산업이 참여 개발자 수에서 상위권을 차지했습니다. 이는 이러한 산업에서 보안 코드에 대한 지속적인 관심과 강조가 중요하다는 것을 보여줍니다.
산업별 언어 업계마다 다양한 프로그래밍 언어를 사용하며, 그 중 6가지 카테고리(웹, 모바일, 프론트엔드, API, 클라우드, 매시업)에 30개 이상의 언어가 있었습니다. 다음은 각 산업에서 유행하는 언어 중 일부입니다.
멈출 수 없는, 멈추지 않는 데브옵스 플레이어는 평균 3시간 가까이 플랫폼에서 게임을 플레이했으며, 총 게임 플레이 시간은 4,152시간에 달했습니다.
순위표의 맨 위에 있는 일부 개발자는 다음 단계로 나아갔습니다. 플레이 시간이 가장 많은 상위 20명의 플레이어는 평균 14시간 동안 tournament 에서 플레이했습니다. 이것이야말로 헌신적인 플레이입니다!
풀스택 개발자 데브옵스에서는 개발자의 41%가 2개 이상의 언어로 게임을 플레이했으며, 거의 4분의 1이 3개 이상의 언어로 게임을 플레이했습니다.
스택 오버플로에 따르면 2개 이상의 언어로 프로덕션 코드를 커밋하는 개발자는 풀스택 개발자로 간주합니다.
귀사의 교육 프로그램은 개발자가 코드를 커밋하는 모든 기술에 대해 교육을 받도록 보장하나요? 63개 이상의 언어와 프레임워크가 제공되는 Secure Code Warrior 플랫폼에서 모든 것을 해결할 수 있습니다.
기술 스택 트렌드 보안 코드는 공개적으로 액세스할 수 있는 코드에서 가장 중요합니다.
모든 업계에서 개발자들은 웹 또는 API 언어를 사용하여 게임을 개발했습니다.
Java Spring과 도커 베이직이 tournament 에서 가장 많이 플레이된 개별 언어로 상위권을 차지했습니다.
보안 챔피언 커뮤니티 올해 데브옵스에는 이미 Secure Code Warrior 고객인 최고 중의 최고들이 참가했으며, 그 결과는 이를 반영합니다! 모든 산업 분야에서 데브옵스 참가자들은 Secure Code Warrior 에서 플랫폼 평가에 대해 언급한 업계 벤치마크보다 훨씬 우수한 성적을 거두었습니다.
Secure Code Warrior 플랫폼에서 헌신적인 개발자 보안 챔피언 커뮤니티를 지속적으로 구축함에 따라 이 숫자는 매년 더 늘어날 것으로 예상됩니다!
주요 취약점 - 웹 및 API 데브림픽에 참여한 개발자들은 주입 결함 및 취약한 서드파티 컴포넌트 부문에서 OWASP 상위 10개 카테고리에서 우수한 기술 수준을 보여주었습니다. 시간이 지남에 따라 이러한 취약점들이 OWASP 상위 10개 목록에서 사라질 것으로 낙관합니다.
대량 할당은 여전히 주요 문제입니다. 이 특정 취약점에 대한 개발자 기술 수준은 가장 낮은 수준 중 하나였습니다. 이 분야에서 자동화된 도구와 테스트가 부족하다는 점을 고려할 때 이는 실질적인 우려 사항이며 면밀히 모니터링해야 합니다. 이 분야에 대한 더 많은 교육은 이 특정 취약점을 처리하는 보안팀의 부담을 덜어주는 데 도움이 될 것입니다.
CWE 가장 위험한 소프트웨어 취약점 25가지 CWE(공통 취약점 열거) 상위 25개 가장 위험한 소프트웨어 취약점 목록은 개발자에게 오늘날 가장 일반적이고 영향력 있는 소프트웨어 취약점 목록을 매년 제공합니다.
#1위 CWE-787 메모리 손상, 9위 CWE-352 교차 사이트 요청 위조, 10위 CWE-434 파일 업로드가 데브옵스 기간 중 가장 낮은 정확도를 기록했습니다.
3위 SWE-89 SQL 인젝션, 5위 CWE-78 OS 명령어 인젝션, 8위 CWE-22 경로 탐색과 같은 인젝션 관련 취약점은 데브블리픽 기간 동안 가장 높은 점수를 받은 CWE 중 일부였습니다. 개발자의 기술이 향상됨에 따라 이러한 취약점은 CWE 상위 25위 또는 OWASP 상위 10위와 같은 업계 목록에서 순위가 낮아질 것으로 예상됩니다.
약점 순서
결론 2023 데브올림픽은 전 세계 개발자들이 tournament 에 참여하여 배우고, 경쟁을 통해 느끼는 자부심뿐만 아니라 실제 시나리오를 통해 지식을 유지하고 실습에서 응용까지 쉽게 진행할 수 있다는 것을 보여줄 것입니다.
Secure Code Warrior 는 업계를 선도하는 보안 코드 애자일( learning platform )로, 개발자가 보안 코드 작성에 필요한 기술을 구축할 수 있도록 지원합니다.
Secure Code Warrior 를 사용하면 개발팀을 위한 Devlympics와 같은 자체 tournament 를 운영할 수 있습니다. 팀을 모아 소프트웨어 취약점을 찾고, 식별하고, 수정하는 모든 것을 배울 수 있는 재미있는 게임형 대회에 참가하세요.
성장하는 커뮤니티에 참여하세요 저희의 비전은 보안에 능숙한 개발자로 구성된 글로벌 커뮤니티가 예방적이고 안전한 코딩 문화를 수용하도록 장려하는 것입니다. 공격, 위협, 위험의 발생을 최소화하여 보안 복원력을 강화함으로써 변화를 주도하고, 혁신하고, 가속화할 수 있도록 하는 데 중점을 두고 있습니다. 코칭과 멘토링은 개발자 커뮤니티에 참여하는 데 있어 필수적인 부분이라고 생각합니다!
데블린 올림픽 2024에 등록하고 X를 팔로우하여 모든 공지사항을 최신 상태로 유지하세요.