데블리픽스란 무엇인가요?

데브림픽은 개발자의 보안 코드 기술을 테스트하기 위해 애자일 learning platform 에서 Secure Code Warrior 주최하는 연례 글로벌 tournament 행사입니다.

24시간 동안 진행된 tournament 에서 전 세계 개발자들은 자신이 선택한 프로그래밍 언어로 공격 및 방어 코딩 챌린지에서 경쟁했습니다. 개발자들은 다양한 기술 분야에서 동료 개발자들과 경쟁하고 점수를 획득하여 순위표의 최상위에 오를 수 있는 기회를 가졌습니다.

이 보고서에서는 데브옵스 2023 결과에 대한 개요와 함께 수백 명의 개발자가 도전 과제에서 강조한 강점과 기회에 대해 자세히 살펴볼 수 있습니다. 또한 보안 코드 학습을 한 단계 더 발전시킬 수 있도록 각 산업, 언어, 개발자가 해결한 일반적인 CWE(공통 약점 열거)에 대한 트렌드를 강조했습니다.

개발자가 말하는 데브옵스 및 Secure Code Warrior

"Secure Code Warrior 은 다른 참가자들과 경쟁하고 실력을 향상시킬 수 있는 훌륭한 플랫폼입니다."

"Secure Code Warrior 는 대화형 코드 리뷰와 같은 접근 방식을 취합니다." 

"Secure Code Warrior 은 흥미로운 경쟁을 통해 훈련할 수 있는 최고의 플랫폼 중 하나입니다."

"신나고, 스릴 넘치고, 정말 좋았어요!" 

개발자들이 좋아하는 Secure Code Warrior

행사 후 200명 이상의 참가자를 대상으로 설문조사를 실시한 결과, 개발자들이 이 대회를 매우 좋아한다는 것을 알 수 있었습니다.

개발자 참여

데브림픽에 대한 개발자 참여는 매년 지속적으로 증가하여 2023년 데브림픽( tournament)에는 1,000명 이상의 개발자가 참가할 것으로 예상됩니다. 데브림픽은 다양한 산업과 프로그래밍 분야의 보안 전문가와 개발자들로부터 전 세계의 주목을 받았습니다. 작년보다 두 배나 많은 개발자가 참여하면서 개발자들이 안전한 코딩 방법을 배우는 데 더욱 열중하는 추세에 주목하고 있습니다. 보안에 능숙한 개발자 커뮤니티를 성장시킴으로써 데브옵스는 코드를 취약점으로부터 보호하는 첫 번째 방어선으로서 개발자의 가치를 지속적으로 강조하고 있습니다.

‍

데블린 올림픽에 참여한 산업

보안 코드는 모든 산업에 중요하지만 일부 특정 분야에서는 미션 크리티컬한 요소입니다. 은행 및 금융 서비스, 기술 등의 산업이 참여 개발자 수에서 상위권을 차지했습니다. 이는 이러한 산업에서 보안 코드에 대한 지속적인 관심과 강조가 중요하다는 것을 보여줍니다.

‍

산업별 언어

업계마다 다양한 프로그래밍 언어를 사용하며, 그 중 6가지 카테고리(웹, 모바일, 프론트엔드, API, 클라우드, 매시업)에 30개 이상의 언어가 있었습니다. 다음은 각 산업에서 유행하는 언어 중 일부입니다.

‍

멈출 수 없는, 멈추지 않는

데브옵스 플레이어는 평균 3시간 가까이 플랫폼에서 게임을 플레이했으며, 총 게임 플레이 시간은 4,152시간에 달했습니다.

순위표의 맨 위에 있는 일부 개발자는 다음 단계로 나아갔습니다. 플레이 시간이 가장 많은 상위 20명의 플레이어는 평균 14시간 동안 tournament 에서 플레이했습니다. 이것이야말로 헌신적인 플레이입니다!

‍

풀스택 개발자

데브옵스에서는 개발자의 41%가 2개 이상의 언어로 게임을 플레이했으며, 거의 4분의 1이 3개 이상의 언어로 게임을 플레이했습니다.

스택 오버플로에 따르면 2개 이상의 언어로 프로덕션 코드를 커밋하는 개발자는 풀스택 개발자로 간주합니다.

귀사의 교육 프로그램은 개발자가 코드를 커밋하는 모든 기술에 대해 교육을 받도록 보장하나요? 63개 이상의 언어와 프레임워크가 제공되는 Secure Code Warrior 플랫폼에서 모든 것을 해결할 수 있습니다.

‍

‍

기술 스택 트렌드

보안 코드는 공개적으로 액세스할 수 있는 코드에서 가장 중요합니다.

모든 업계에서 개발자들은 웹 또는 API 언어를 사용하여 게임을 개발했습니다.

Java Spring과 도커 베이직이 tournament 에서 가장 많이 플레이된 개별 언어로 상위권을 차지했습니다.

‍

‍

‍

보안 챔피언 커뮤니티

올해 데브옵스에는 이미 Secure Code Warrior 고객인 최고 중의 최고들이 참가했으며, 그 결과는 이를 반영합니다! 모든 산업 분야에서 데브옵스 참가자들은 Secure Code Warrior 에서 플랫폼 평가에 대해 언급한 업계 벤치마크보다 훨씬 우수한 성적을 거두었습니다.

Secure Code Warrior 플랫폼에서 헌신적인 개발자 보안 챔피언 커뮤니티를 지속적으로 구축함에 따라 이 숫자는 매년 더 늘어날 것으로 예상됩니다!

주요 취약점 - 웹 및 API

데브림픽에 참여한 개발자들은 주입 결함 및 취약한 서드파티 컴포넌트 부문에서 OWASP 상위 10개 카테고리에서 우수한 기술 수준을 보여주었습니다. 시간이 지남에 따라 이러한 취약점들이 OWASP 상위 10개 목록에서 사라질 것으로 낙관합니다.

대량 할당은 여전히 주요 문제입니다. 이 특정 취약점에 대한 개발자 기술 수준은 가장 낮은 수준 중 하나였습니다. 이 분야에서 자동화된 도구와 테스트가 부족하다는 점을 고려할 때 이는 실질적인 우려 사항이며 면밀히 모니터링해야 합니다. 이 분야에 대한 더 많은 교육은 이 특정 취약점을 처리하는 보안팀의 부담을 덜어주는 데 도움이 될 것입니다.

‍

‍

CWE 가장 위험한 소프트웨어 취약점 25가지

CWE(공통 취약점 열거) 상위 25개 가장 위험한 소프트웨어 취약점 목록은 개발자에게 오늘날 가장 일반적이고 영향력 있는 소프트웨어 취약점 목록을 매년 제공합니다.

#1위 CWE-787 메모리 손상, 9위 CWE-352 교차 사이트 요청 위조, 10위 CWE-434 파일 업로드가 데브옵스 기간 중 가장 낮은 정확도를 기록했습니다. 

3위 SWE-89 SQL 인젝션, 5위 CWE-78 OS 명령어 인젝션, 8위 CWE-22 경로 탐색과 같은 인젝션 관련 취약점은 데브블리픽 기간 동안 가장 높은 점수를 받은 CWE 중 일부였습니다. 개발자의 기술이 향상됨에 따라 이러한 취약점은 CWE 상위 25위 또는 OWASP 상위 10위와 같은 업계 목록에서 순위가 낮아질 것으로 예상됩니다.

‍

약점 순서

‍

결론

2023 데브올림픽은 전 세계 개발자들이 tournament 에 참여하여 배우고, 경쟁을 통해 느끼는 자부심뿐만 아니라 실제 시나리오를 통해 지식을 유지하고 실습에서 응용까지 쉽게 진행할 수 있다는 것을 보여줄 것입니다.

Secure Code Warrior 는 업계를 선도하는 보안 코드 애자일( learning platform )로, 개발자가 보안 코드 작성에 필요한 기술을 구축할 수 있도록 지원합니다.

Secure Code Warrior 를 사용하면 개발팀을 위한 Devlympics와 같은 자체 tournament 를 운영할 수 있습니다. 팀을 모아 소프트웨어 취약점을 찾고, 식별하고, 수정하는 모든 것을 배울 수 있는 재미있는 게임형 대회에 참가하세요.

‍

성장하는 커뮤니티에 참여하세요

저희의 비전은 보안에 능숙한 개발자로 구성된 글로벌 커뮤니티가 예방적이고 안전한 코딩 문화를 수용하도록 장려하는 것입니다. 공격, 위협, 위험의 발생을 최소화하여 보안 복원력을 강화함으로써 변화를 주도하고, 혁신하고, 가속화할 수 있도록 하는 데 중점을 두고 있습니다. 코칭과 멘토링은 개발자 커뮤니티에 참여하는 데 있어 필수적인 부분이라고 생각합니다!

데블린 올림픽 2024에 등록하고 X를 팔로우하여 모든 공지사항을 최신 상태로 유지하세요.

‍

‍

Sage는 급여, 인사 및 재무를 위해 간단하고 사용하기 쉬운 소프트웨어와 서비스를 기업에 제공하는 영국의 다국적 기업용 소프트웨어 회사입니다. 2017년 기준 영국에서 두 번째로 큰 기술 기업이자 세계에서 세 번째로 큰 전사적 자원 관리 소프트웨어 공급업체이며, 전 세계 600만 명 이상의 고객을 보유한 최대 규모의 중소기업 공급업체입니다.

상황 

Secure Code Warrior 와 협력하기 전에 Sage는 약 10년간 보안 챔피언 네트워크의 윤곽을 잡기 시작했습니다. 보안에 중점을 둔 개발자로 구성된 강력한 네트워크에도 불구하고 교육은 산발적으로 이루어졌고 위험 감소에 초점을 맞춘 구조화되어 있지 않았습니다. 

Sage는 유연한 접근 방식으로 장기간에 걸쳐 관계를 구축하고 보안을 내장하는 데 시간을 투자하는 것이 중요하다는 것을 인식했습니다. Sage의 프로그램은 목표를 위험 감소와 해당 프로그램의 실질적인 영향에 연결했습니다. 특정 사업부와 함께 프로그램을 시범 운영할 때는 위험 감소를 측정하고 이를 다시 비즈니스에 재생하여 개발자와 고위 경영진의 동의를 얻는 방법에 중점을 두었습니다. 

액션

Sage의 사람 중심 보안 책임자인 매즈 하워드는 보안 챔피언의 페르소나를 이해하기 위해 개발자들과 협력했습니다. 그녀는 각 사업부의 개발자를 만나 인터뷰를 진행하여 무엇이 개발자에게 동기를 부여하는지, 어떤 방식으로 학습하는 것을 좋아하는지, 업무에서 어떤 한계를 느끼는지 파악했습니다. 그녀와 그녀의 팀은 개발자 및 팀 리더와 관계를 구축하기 위해 노력했으며, 접근 방식에 있어 유연성을 갖는 것이 중요하다고 강조했습니다.

Mads는 관계 구축 접근 방식을 강조합니다,

"스프린트 주기 동안 교육에 소요되는 시간을 통제하는 사람들인 개발 팀 리더, 엔지니어링 팀 리더, 제품 관리자와의 관계를 구축하는 데 많은 시간을 할애했습니다."

매즈에 따르면, 보안 챔피언 네트워크를 확장하는 것으로 결론이 났습니다,

"보안 챔피언 네트워크는 이 프로그램의 핵심 통제 수단으로 여겨져 왔습니다. 따라서 제품이 이 프로그램을 통과하기 위해서는 보안 챔피언의 역할을 진지하게 받아들이고 이들에게 탄탄한 보안 교육을 제공해야 했습니다." 

Sage의 글로벌 보안 팀의 목표는 복잡한 기술 환경에서 개발자의 학습 요구 사항을 고려한 보안 제어 프로그램을 구현하고 기존 보안 도구와 함께 작동하여 취약성 관리를 지원하는 파트너를 선택하는 것이었습니다. 

교육이 성숙한 보안 제어 프로그램의 중요한 측면으로 인식되는 것이 중요했습니다. 그들은 교육을 통해 위험 감소를 측정하는 데 집중했습니다: 

• 위험 점수 개선
• 취약점 백로그의 취약점 수명 감소
• 해결 시간
• 폐쇄형 취약점 대 개방형 취약점 없음
• Sage 작성 코드의 줄당 이슈 수(타사 제외)

마스를 위해,

"Sage의 다음 단계는 개발자 워크플로우에 내장된 안전한 코딩 프로그램을 통해 업스킬링하면 측정 가능한 위험 감소 효과를 얻을 수 있음을 입증하는 것입니다."

결과

매즈는 자신과 팀에 제공한 파트너십과 가이드( Secure Code Warrior )의 중요성을 강조했습니다,

"솔직히 말해서 Secure Code Warrior 의 지원이 없었다면 다양한 기술 계층이나 개발팀 측면에서 이 정도 수준의 완성도를 갖춘 프로그램을 구축할 수 없었을 것입니다." 

매즈와 그녀의 팀은 인터뷰를 완료하고 개발자의 동의를 얻은 후, 더 광범위한 보안 문화 프로그램의 일환으로 Secure Code Warrior 을 구현하기 시작했습니다. 

매즈에 따르면 그 결과는 다음과 같습니다,

"Sage에는 현재 200명 이상의 보안 챔피언이 프로그램에 등록되어 있으며, 보안 챔피언이 일주일에 3.5시간(또는 업무 시간의 10%)을 기술 구축에 할애하는 경우 보안 코딩 프로그램을 옹호하고, 지속적인 교육을 옹호하고, 이 프로그램이 제공하는 가치를 옹호할 수 있습니다." 

위험 감소에 대한 고위 리더의 동의와 측정 가능한 목표를 통해 Mads는 플랫폼 사용자 수와 플레이 시간뿐만 아니라 취약점 수정 시간, 취약점 수명, 고객을 위해 구축된 새로운 기능과 비교하여 취약점 감소에 대한 전체적인 관점을 제공하기 위해 성공을 측정하기 시작할 수 있었습니다. 한 팀의 경우 취약점을 수정하는 데 걸리는 평균 시간이 82% 감소하는 등 그 영향이 매우 컸습니다.. 

그러나 하워드는 더 중요한 것은 정량화할 수 없는 것, 즉 프로그램에 참여하려는 팀의 참여와 헌신, 의지가 중요하다고 덧붙였습니다.

주요 내용

Sage의 경험은 잘 계획되고 실행된 보안 교육의 관련성, 유연하고 통합된 접근 방식의 중요성을 강조하며, 이는 강력하고 안전한 코딩 프로그램을 목표로 하는 모든 조직이 배울 가치가 있는 교훈입니다. 매즈에 따르면 개발자와 대립하는 것이 아니라 개발자와 협력하는 것이 성공적인 보안 제어 프로그램을 구현하고 보안을 회사 문화에 포함시키는 열쇠라는 점을 기억하는 것이 중요하다고 합니다. 

• 보안 문화 조성은 하루아침에 이루어지지 않습니다. 오랜 기간에 걸쳐 관계를 구축하고 보안을 내재화하는 데 시간을 투자하고 리소스를 투입하는 것이 중요합니다. 
• 모든 것을 위험 감소로 연결하고 보안 코딩 프로그램의 실질적인 영향에 집중하세요.
• 이러한 위험 감소를 측정하여 비즈니스에 다시 적용하는 방법에 집중하여 개발자와 고위 경영진 모두에게 프로그램이 영향력 있고 성공적인 것으로 인식되도록 하세요. 

보안 챔피언이 되고자 하는 개발자를 위해 그녀와 그녀의 팀은 다음과 같은 조언도 제공했습니다: 

• 주변에 보안에 관심이 있는 사람들과 네트워크를 구축하고 컨퍼런스 및 강연에 참여하세요. 관심 있는 주제에 대해 배우는 데 시간을 투자하세요. 
• 조직의 문화는 하루아침에 바뀌지 않으며, 발전하고 성숙하는 데 시간이 걸린다는 점을 명심하세요. 

‍

비디오 대본

기존의 보안 코드 교육은 개발자들을 하품하게 만듭니다. 그렇죠?

시큐어 코드 워리어 애자일 학습 접근 방식을 통해 개발자는 관련성이 높은 적시 교육을 짧은 마이크로 버스트를 통해 빠르게 학습할 수 있습니다.

코딩 랩을 통해 개발자는 브라우저에서 실행되는 완전한 인터랙티브 IDE 환경에서 직접 실습하며 학습할 수 있습니다.

개발자는 코드를 작성하고 실제 취약점을 수정합니다.

코딩 실습은 학생들에게 필요한 실시간 상황별 피드백을 자동으로 제공합니다. 시뮬레이션된 IDE 내부의 이러한 실용적인 학습 접근 방식은 직원들의 참여를 유지하고 일상 업무와 훨씬 더 연관성이 높습니다. 그 결과 위험을 줄이고, 비용이 많이 드는 재작업을 방지하며, 취약점을 더 빠르게 수정하는 등 측정 가능한 생산성 향상이 이루어집니다.

코딩 실습은 다른 보안 교육 옵션과 크게 다릅니다. 개발자가 새로운 가상 머신을 스핀업할 필요가 없습니다.

개발자가 잘 알고 사랑하는 UI로 실습 교육을 제공합니다.

제안된 코드 스니펫과 개발자의 실수를 해결하도록 맞춤화된 단계별 답변을 통해 개발자가 앞으로 나아갈 수 있도록 도와줍니다.

또한 개발자가 비효율적인 강의실과 규정 준수 중심의 교육을 받지 않아도 됩니다. 그렇기 때문에 secure code warrior 고객은 위험 감소, 비용이 많이 드는 재작업 방지, 취약점 수정 속도 향상 등의 측면에서 2~3배의 측정 가능한 생산성 향상을 경험하고 있습니다.

지금 바로 데모를 예약하여 코딩 실습을 직접 체험해 보세요.

‍

비디오 대본

애플리케이션의 보안을 유지하는 일은 날로 어려워지고 비용도 증가하고 있습니다. 보안 침해는 그 어느 때보다 빈번하고 비용이 많이 들며, 규정 준수는 계속해서 복잡해지고, 보안 코드 학습에 대한 기존의 접근 방식은 개발자의 참여를 유도하거나 위험 프로필을 줄이는 데 실패하고 있습니다.

Secure code warrior 는 업계에서 가장 심층적이고 최신의 보안 콘텐츠를 제공하는 보안 코드 교육용 애자일( learning platform )입니다.

애자일 배포 관행이 작업을 여러 단계로 나누어 소프트웨어 개발에 혁신을 가져온 것처럼, Secure code warrior 은 애자일 학습 원칙을 보안 코드 교육에 통합하여 개발자가 새로운 기술을 더 빨리 내재화하고 사용할 수 있도록 합니다.

저희 플랫폼은 개발자의 워크플로에 직접 내장된 학습 콘텐츠의 마이크로버스트를 제공합니다.

학습 경험은 개발자의 개발자 도구 키트에 통합되어 GitHub, Jira 등에서 필요한 시점에 바로 사용할 수 있습니다.

애자일 학습 접근 방식을 사용하여 SCW는 교육 지침, 비디오, 실습 과제 또는 브라우저 ID E 학습 경험 코딩 랩을 통해 개발자에게 다양한 학습 경로를 제공합니다. 인터랙티브 tournaments 및 리더보드를 통해 개발자 커뮤니티의 흥미와 참여를 유도하고 보안 우선 학습 문화를 장려하며, secure code warrior 및 애자일 학습 접근 방식을 통해 개발자는 이미 매일 사용하는 개발 도구 내에서 흐름을 방해하지 않고 실제 일상 업무의 맥락에서 수행하면서 학습하기 때문에 새로운 기술을 더 빠르고 효과적으로 내재화할 수 있습니다.

따라서 secure code warrior 고객은 여러 측면에서 2~3배의 비즈니스 이득을 보고 있습니다.

Secure code warrior 는 보안 코드 교육 분야의 리더이자 애자일 학습 원칙을 기반으로 구축된 유일한 플랫폼입니다. 지금 데모를 예약하고 자세히 알아보세요.

배경

글로벌 SASE 리더인 Netskope는 조직이 제로 트러스트 원칙과 AI/ML 혁신을 적용하여 데이터를 보호하고 사이버 위협을 방어할 수 있도록 지원합니다. 빠르고 사용하기 쉬운 Netskope 플랫폼은 어디서나 사람, 디바이스, 데이터에 최적화된 액세스와 실시간 보안을 제공합니다. Netskope는 고객이 위험을 줄이고 성능을 가속화하며 모든 클라우드, 웹 및 비공개 애플리케이션 활동에 대한 탁월한 가시성을 확보할 수 있도록 지원합니다. 수천 명의 고객이 진화하는 위협, 새로운 위험, 기술 변화, 조직 및 네트워크 변화, 새로운 규제 요건을 해결하기 위해 Netskope와 강력한 NewEdge 네트워크를 신뢰하고 있습니다.

상황

클라우드 컴퓨팅과 인공지능의 혁신 속도로 인해 소프트웨어 개발 라이프사이클이 크게 빨라졌습니다. Netskope의 CISO인 제임스 로빈슨은 소수의 언어로만 제공되는 보안 개발에 관한 동영상으로 규정 준수 목표를 달성하여 개발자를 교육하는 방식이 오늘날의 시장에서 지속 가능하지 않다는 것을 인식했습니다. 조직에 새로운 언어가 빠르게 도입되고 빠르게 변화하는 상황에서 넷스코프 개발자들이 새로운 언어와 기술을 빠르게 습득하는 동시에 보안에 대한 숙련도를 유지하는 데 어려움을 겪게 되었습니다.

넷스코프는 개발자가 받을 수 있는 언어와 범위를 넓히기 위해 더 많은 사용자 지정 연결을 만들려고 시도했지만 여전히 참여도가 매우 낮았고 곧 교육이 생산성에 문제를 일으키기 시작했습니다. 제임스는 보다 실습적인 학습 접근 방식을 통해 개발자들이 이 주제에 흥미를 가질 수 있도록 접근 방식을 바꾸고 싶었습니다.

액션

매년 실시되거나 임시로 제공되는 교육은 코드 스캐너와 같은 다양한 SAST 도구와 인프라를 전체적으로 다루지 못했으며, Netskope의 CI 및 CD 보안 단계에 통합할 수 없었습니다. 넷스코프는 보안에 대한 개발자의 참여를 분석 및 테스트 프로세스에 통합할 수 있어야 했습니다. 이를 통해 규정 준수 요구 사항을 보완하는 보안 개발 교육을 위한 기준을 마련할 수 있었습니다.

왼쪽 시프트

넷스코프는 '왼쪽 이동'에 대해 논의하기 시작하면서 왼쪽 이동이 실제로 무엇을 의미할까라는 질문을 던졌습니다. 얼마나 멀리 이동해야 할까요? 경영진은 내부적으로 "셀프 서비스 도입"으로 명칭을 변경하기로 결정했습니다. 이를 통해 원칙적으로 개발자가 보안 코드 교육에 대해 능동적으로 대처할 수 있는 역량을 강화할 수 있었습니다. 와 협력하여 Secure Code Warrior와 협력하여 개발자가 보안 콘텐츠를 보고 액세스할 수 있는 프로그램을 구축하여 개발자가 검증되지 않은 솔루션으로 방황하지 않도록 했습니다.

실행 가능성 및 가치

의 맞춤형 콘텐츠와 무수히 많은 실습 학습 활동은 Secure Code Warrior 의 맞춤형 콘텐츠와 수많은 실습 활동은 보안 팀과 개발자 팀 간에 더욱 개방적이고 생산적인 대화의 장을 열었습니다. 개발자들이 규정 준수를 넘어 가치를 실현하기 시작하자 보안에 대한 참여와 흥미가 높아졌습니다. 또한 프로그램을 보완하기 위해 더 많은 교육 콘텐츠를 제작하기 위해 중요하고 반복적인 취약점을 살펴볼 수 있는 기회가 열렸습니다.

결과

프로그램을 출시한 후 넷스코프는 개발자들이 플랫폼에서 최대한의 가치를 얻을 수 있도록 부지런히 피드백을 수집했습니다. 그 결과는 압도적으로 긍정적이었습니다.

넷스코프의 부 CISO인 제임스 로빈슨은 다음과 같이 말합니다:

저희 개발자 팀은 Secure Code Warrior의 플랫폼 덕분에 개발자에게 학습 경로를 더 빨리 제공하는 보다 매력적인 셀프 서비스 학습 접근 방식을 수용하여 성공적으로 좌측으로 전환했습니다. 더 중요한 것은, 우리가 더 나은 투자 수익률 더 높은 참여도와 이러한 노력이 더 이상 규정 준수를 위한 의무적인 활동으로 느껴지지 않기 때문입니다. 이 모든 것의 부산물은 개발자가 보안 챔피언이 될 수 있도록 지원하고 있다는 것입니다."

주요 내용

• 강력한 애플리케이션 보안 팀에 투자하지 않는 조직은코드를 통해 더 많은 위험이 유입되도록 허용합니다 . 이는 궁극적으로 취약점을 수정하고 보안 문제를 해결하는 데 시간과 비용을 낭비하게 됩니다.↪CF_200D↩
• 한 시간 동안 진행되는 규정 준수 중심의 연례 교육 대신 매달 관련 콘텐츠를 통해 몇 가지 핵심 내용만 학습하면 시간을 절약할 수 있는 프로그램을 활용하세요. 개발자 교육을 통해 절약한 시간은 애초에 도입되지 말았어야 할 취약점을 수정하는 데 필요한 재작업의 감소로 나타납니다.↪CF_200D↩
• 대규모 클라우드 솔루션을 코딩해야 하는 새로운 의무가 생겼습니다. 몇 년 전만 해도 개발자는 하나의 프로그래밍 언어를 통해 코드 보안에 전적으로 투자해야 한다는 기대가 있었습니다. 하지만 오늘날의 하이테크 시장에서는 더 이상 그렇지 않습니다. 기업이 구축하고자 하는 클라우드 인프라와 애플리케이션에 가장 적합한 여러 언어를 선택해야 합니다.

상황

Workday가 애자일 학습을 도입하기 전에는 Secure Code Warrior 을 통해 애자일 학습을 구현하기 전에는 몇 가지 의사 코드 예제와 함께 OWASP 상위 10개 취약점을 다룬 파워포인트 프레젠테이션 녹화물로 구성된 사내 courses 를 활용하고 있었습니다. 보안 개발자 교육 프로그램 관리자 알렉스 우다는 이러한 방식이 자신의 팀과 보안 팀 전체가 Workday의 전반적인 보안 태세를 개선하려는 목표를 달성하는 데 도움이 되지 않는다는 것을 깨달았습니다. 개발자들이 빠르게 교육에 참여하지 않게 되자, 개발자들의 피드백을 요청하기로 결정하고 계속해서 제기되는 두 가지 항목이 있다는 점에 주목했습니다:

1. 더 많은 실습 유형의 교육 필요성 
2. 더 많은 언어별 콘텐츠의 필요성
   

액션 

알렉스와 그의 팀은 개발자와 협력하면서 개발자의 동의를 얻어 매력적이고 성공적인 보안 코드 학습 프로그램을 만들기 위해 두 가지 주요 우선순위를 파악했습니다.

명확성과 단순성 

대부분의 개발자는 보안에 대한 지식을 가지고 업무에 임하지 않습니다. 답답하거나 시간이 많이 걸리는 작업은 개발자로 하여금 미봉책과 해킹을 찾게 만듭니다. Workday가 SCW에 주목한 점은 개발자가 프로세스를 명확하게 이해하고 소유하며 워크플로에 통합할 수 있다는 점입니다.

실행 가능성 및 가치 

개발자는 무엇보다도 코드베이스/라이프사이클에 영향을 미치는 사항을 신속하게 조치할 수 있기를 원합니다. 그러기 위해서는 개발자가 그렇게 하는 방법에 대한 교육을 받아야 합니다. 개발자가 보안과 같은 주제에 관심을 갖도록 하려면 이러한 주제의 가치를 강조하세요.

프로그램 구조화 측면에서 알렉스와 그의 팀은 먼저 보안 챔피언으로 구성된 파일럿 그룹으로부터 플랫폼에 대한 피드백을 수집하고 고객 성공 관리자와 협력하여 제안 사항을 구현했습니다. 그런 다음 Alex와 팀은 SAST 도구와 인시던트 및 보안 이벤트 수에 대한 다양한 메트릭을 검토하여 현재 환경에서 가장 높은 위험이 무엇인지, 업계 전반에서 어떤 일이 일어나고 있는지 평가했습니다. 처음에는 OWASP 상위 10위와 가장 일반적이고 위험도가 높은 취약점(
)에 집중했습니다.

"개발자에게 이러한 학습과 기관을 제공함으로써 SCW는 소프트웨어 보안을 적극적으로 개선할 수 있도록 만들었습니다. 코드 작성뿐만 아니라 성장 기회와 커리어 기회도 얻을 수 있습니다. 보안 프로그램은 회사 전체가 힘을 합쳐 지원하는 분야이기 때문에 개발자가 학습과 개발을 위한 시간을 확보할 수 있었습니다. 일주일에 두 시간씩 일정 기간 동안 학습하는 것은 일관성 있게 근육을 키우는 데 도움이 됩니다."
‍

결과

전통적으로 보안은 개발 프로세스의 마지막 단계에 있다고 생각하기 쉽습니다. 보안팀과 협력하는 Workday의 개발자는 이제 보안을 개발 주기의 중요한 구성 요소로 인식합니다. 개발자는 SDLC 초기에 보안 항목을 신속하게 조치할 수 있으며, 이는 이 프로그램의 가장 큰 효과였습니다. 더블린에 위치한 한 팀의 경우, 개발자들은 하루 평균 31.08건에 달하던 4662건의 보안 이슈를 약 18개월 만에 0건으로 줄였습니다.

Alex는 이 프로그램의 성장에 대해 "최고의 보안 챔피언들과 함께 시작한 후 눈덩이처럼 불어난 효과"라고 설명했습니다. 경영진에게 프로그램과 그 혜택을 알리고 멤버십을 계속 늘리면서 입소문을 통해 거의 자연스럽게 성장했습니다. 교육 관점에서, 우리의 목표는 개발자가 코드를 안전하게 개발하는 데 필요한 기술을 제공하는 것입니다. 이는 Workday가 계속 성장하고 있기 때문에 특히 중요합니다."

주요 내용

Alex는 "보안을 성공적으로 확장하려면 개발자가 소프트웨어 개발의 설계 단계에서 보안 위험을 식별하는 데 도움이 되는 보안 마인드를 가져야 합니다. 이는 개발자가 시간과 비용을 절약하고 마음의 고통을 덜어줄 수 있도록 권한을 부여하는 이니셔티브에 부합합니다. 보안 코드 학습을 더 잘 수행할수록 스캔 및 펜테스트 결과에서 발견되는 취약점이 줄어듭니다."

개발자에게는 보안에 대해 배울 때 재미있게 배우는 것이 중요합니다
SCW는 보안이 얼마나 흥미로울 수 있는지 잘 보여줍니다. 보안 학습에 참여하게 된다면 완전히 받아들이세요. 개발 프로세스의 일부이자 경력 성장의 일부로 생각하세요.

개발자가 보안에 대해 궁금한 점이 있으면 팀에 문의하도록 장려하세요
대화를 나누고 협업을 시작하세요.↪CF_200D↩

보안을 프로젝트의 블랙박스 또는 볼트온으로 간주하는 것은 구식이며 궁극적으로 소프트웨어에 해를끼칩니다
보안을 개발 프로세스의 일부로 수용하는 것은 TDD, 애자일, 린팅을 수용하는 것과 같은 방식으로 고객에게 제공되는 소프트웨어의 흐름을 개선하고 품질을 높일 수 있습니다.

‍

규정 준수는 우수한 보안의 결과이지 그 반대가 아닙니다. 개발자가 적극적으로 개념을 학습하고 일상 업무에 적용한다면 보안은 회사 문화 내에서 총체적으로 발전할 것입니다.

넷스코프( Secure Code Warrior)의 콘텐츠의 유연성과 대화형 실습 접근 방식을 활용하여 개발자 중심 보안에 대한 프로그래밍 방식의 접근 방식을 만드는 동시에 업계 규정 준수 요구 사항을 충족한 방법을 알아보세요.

사이버 보안 인식의 달을 맞이하여 이번 웨비나에서는 다음과 같은 내용을 다룹니다:

• 넷스코프의 주요 비즈니스 동인과 SCW 및 애자일 보안 코드 학습을 위한 비즈니스 사례를 구축한 방법
• 프로그램을 시작하기 위해 어떤 조치를 취했으며 목표는 무엇이었나요?
• 개발자와 파트너 관계를 맺고 개발자의 참여를 성공 요인으로 측정하는 방법
• 넷스코프의 워리어 프로그램이 2년간 SCW의 교육 참여를 두 배로 늘린 방법

"왼쪽으로 이동"이라는 개념은 2000년대 초반부터 사이버 보안 업계에서 논의되어 왔습니다. 애자일(Agile)과 개발 방법론인 데브옵스(DevOps)가 발전하면서 처음 등장한 이 개념은 전 세계의 디지털 발자국이 커지면서 대규모 사이버 공격의 위협이 커지자 방어 전략이 필요해졌습니다.

안전한 소프트웨어 배포를 혁신하겠다는 '좌클릭' 운동이 시작된 지 20년이 다 되어가지만, 여전히 안전하지 않은 코드의 홍수, 낮은 수준의 조직 보안 인식, 해마다 규모와 위력이 증가하는 사이버 범죄에 직면해 있습니다. 2025년까지 사이버 공격으로 인해 전 세계적으로 연간 10조 5,000억 달러의 비용이 발생할 것으로 예상됩니다.

사이버 보안 기술 격차가 점점 더 벌어지면서 숙련된 보안 인력이 꽤 오랫동안 부족해졌고, 이는 대부분의 보안 리더와 CISO에게 중요한 고충이지만, 상황이 기적적으로 바뀌기를 인내심을 갖고 기다릴 여유가 없습니다. 현재의 접근 방식은 결함이 있으며, 우리 앞에 있는 리소스를 활성화하고 활용해야 하며, 보안에 숙련된 개발자를 통해 진정한 해결이 가능합니다.

이 백서에서는 보안 전문가이자 Secure Code Warrior CTO 겸 공동 창립자인 마티아스 마두 박사가 설명합니다:

• 개발 코호트를 대상으로 효과적인 보안 교육 및 지원을 제공하는 데 필요한 6가지 요소입니다.
• 엔터프라이즈 수준에서 보안 프로그램을 구현하는 10명의 경영진으로부터 얻은 교훈.
• 성공을 향한 여정에서 피해야 할 일반적인 함정.

‍

데브섹옵스, 지속적 배포, 그 어느 때보다 더 많은 데이터가 필요한 이 시대에, 현명한 조직은 여러분과 같은 개발자가 프로덕션에 적용되기 전에 일반적인 취약점을 제거하는 데 도움을 주는 보안에 능숙한 슈퍼스타로 성장할 수 있도록 지원하고 있습니다. 성가시고 눈에 띄는 버그가 없는 고품질 코드를 제작하면 최종 사용자에게 더 안전할 뿐만 아니라 재작업과 업무 중단도 줄어듭니다. 다음 장에서는 애플리케이션 프로그래밍 인터페이스(API)와 관련된 최악의 보안 버그 몇 가지를 집중적으로 다룹니다. 이러한 버그는 2023년에 새롭게 발표될 OWASP(Open Web Application Security Project)의 상위 API 취약성 목록에 포함될 정도로 널리 퍼져 있습니다. 최신 컴퓨팅 인프라에서 API가 얼마나 중요한지 고려할 때, 이러한 문제는 애플리케이션과 프로그램에서 어떤 대가를 치르더라도 막아야 하는 중요한 문제입니다.

완전히 새로워진 이 전자책에서 자세한 내용을 살펴보세요:

• 상위 10개의 API 취약점 각각이 작동하는 방식과 공격자가 이를 악용하는 방법
• 어떻게 생겼는지, 좋은 코딩 패턴으로 문제를 해결하는 방법(실제 실습 과제 링크 포함!)
• 일상 업무에서 혁신의 속도에 맞춰 보안을 탐색하는 방법.

‍