개발자 위험 관리는 애플리케이션 계층 자체의 비트와 바이트가 아닌 코드 기여자에 초점을 맞춘 애플리케이션 보안에 대한 총체적이고 사전 예방적인 접근 방식입니다.

SDLC 전반에서 개발자 보안 위험을 사전에 측정, 관리 및 완화하여 보안 태세를 개선하고 소프트웨어를 더 빠르게 릴리스하며 취약성을 53% 이상 줄이세요.

개발자 위험 관리의 철학은 코드 기여자의 역량을 강화하고 거버넌스를 적용하여 프로그래밍 방식으로 코딩 기술을 보호함으로써 개발자 주도의 보안 코드 이니셔티브의 혜택과 영향력이 기하급수적으로 증가한다는 것입니다.

미국 정부의 사이버 보안 및 인프라 보안국(CISA)이 포괄적인 보안 설계 지침을 발표한 지 2년이 지났으며, 이는 소프트웨어 제조업체에 영향을 미치는 분수령을 알리는 신호탄이 되었습니다. 처음으로 소프트웨어 품질 및 보안 표준을 높이기 위한 가시적인 최고 수준의 지원이 이루어졌고, 최종 사용자가 아닌 공급업체가 취약점이 없는 코드를 제공하도록 책임을 지는 방향으로 나아갔습니다.

그러나 이러한 원칙을 기업 차원에서 실제로 구현하는 데 대한 합의는 쉽지 않은 것으로 나타났습니다. 보안 전문가들 사이에서는 보안 설계를 구성하는 요소에 대한 합의가 이루어지지 않았으며, 이를 달성하기 위한 표준 경로에 대한 합의도 이루어지지 않은 것으로 보입니다. Secure Code Warrior 는 소프트웨어 구축에 주력하는 기업 보안 전문가를 인터뷰하여 현재 보안 설계 원칙이 보안 태세와 소프트웨어 개발 수명 주기(SDLC)에 어떻게 구현되고 있는지 등 현재 보안 설계 원칙에 대한 접근 방식을 심층적으로 살펴봤습니다. CISA의 지침을 구현하는 데 널리 인정되는 표준이 없고 성공적인 롤아웃을 판단할 수 있는 벤치마크도 없다는 것이 분명해졌습니다. 업계가 보안 책임 강화와 소프트웨어 품질 향상이라는 혜택을 누리기 위해서는 이러한 문제를 신속히 해결해야 합니다. 

‍

이 연구 보고서에서는 Secure Code Warrior 공동 창립자인 피터 댄히우와 마티아스 마두 박사가 전문가 기고자인 크리스 잉글리스 전 미국 국가 사이버 책임자(현 팔라딘 캐피탈 그룹 전략 고문), 데빈 린치 팔라딘 글로벌 연구소 수석 이사와 함께 CISO, 애플리케이션 보안 부사장, 소프트웨어 보안 전문가 등 기업 보안 리더 20여 명을 심층 인터뷰한 주요 결과를 공개합니다:

‍

• 기업에서 직면하는 일반적인 보안 프로그램 문제에 대한 인사이트를 확인하세요;
• 보안 설계 이니셔티브의 역할과 이를 활성화하고 팀 간에 배포하는 방법 등 보안 설계 이니셔티브의 역할에 대해 알아보세요;
• 소프트웨어 개발에서 AI의 역할과 최신 위협 모델링에 대해 알아보세요;
• 모범 사례에 대한 해석과 정밀 데이터 및 벤치마킹이 실행 가능한 보안 설계 전략에 맞춰 업계 전반에서 수행할 수 있는 역할에 대해 설명합니다. 

‍

안전한 코딩을 위한 전문가 지원

SCW 전문 서비스는 프로그램의 모든 단계에 심도 있는 도메인 지식을 제공합니다. 전직 보안 실무자로 구성된 저희 팀은 위험 기반 접근 방식을 사용하여 성공을 가속화합니다.

• 실전에서 검증된 전문 지식에 의존하세요 - 추측이 아닌 실제 인사이트를 제공합니다.
• 개발자 위험 감소를 위한 위험 기반 방법론 적용
• 팀, 도구 및 문화에 맞게 롤아웃 및 교육 맞춤화하기
• 지속적인 검토 및 ROI 추적을 통해 프로그램 발전시키기

이제 막 프로그램을 시작하든 다음 단계로 발전시키든, 더 빠르고 지속적인 영향력을 발휘하여 성공할 수 있도록 도와드리겠습니다.

‍

당사의 콘텐츠는 소프트웨어 개발 라이프사이클의 일부인 모든 페르소나를 위해 신중하게 큐레이션되었습니다. Secure Code Warrior 소프트웨어 개발의 모든 사람이 소프트웨어가 올바르게 생성되고 배포되도록 할 책임이 있다고 믿습니다. 따라서 다음과 같은 역할을 위한 인식 주제부터 심층적인 실습까지 다양한 콘텐츠를 제공합니다:

Secure Code Warrior 소프트웨어 개발 라이프사이클에 관련된 모든 사람을 위해 인식 주제부터 심도 있는 실습까지 다양한 콘텐츠를 제공합니다. 저희는 소프트웨어 개발의 모든 사람이 소프트웨어의 안전한 제작과 배포에 중요한 역할을 한다고 믿습니다. 저희의 콘텐츠는 다양한 역할에 맞게 선별되어 있습니다.

• 소프트웨어 개발자: AI/바이브 코더, 프론트엔드, 백엔드, API 엔지니어, 모바일 엔지니어, 안드로이드/iOS 엔지니어, 임베디드 및 자동차 산업 엔지니어
• 기술 전문가: 개발자, 시스템 관리자, 클라우드 엔지니어, 아키텍트, QA 엔지니어/관리자/테스터,,
• 경영진 및 기타 엔지니어링 관리자, 제품 관리자/프로젝트 관리자/비즈니스 분석가, 데이터 과학자/분석가/엔지니어 

Secure Code Warrior 개발자가 일상 업무에 이러한 기술을 적용할 수 있도록 특정 코딩 언어 및 프레임워크에 대한 실습 연습을 제공합니다. 65개 이상의 코딩 언어/프레임워크와 10.000개 이상의 실습 활동을 지원합니다.

퀘스트는 개발자가 안전한 코딩 기술을 향상시켜 소프트웨어 보안 위험을 완화할 수 있도록 도와주는 learning platform . 엄선된 학습 경로, 실습 과제, 대화형 활동을 통해 개발자가 취약점을 식별하고 예방할 수 있도록 지원합니다.

개발자가 보안 챔피언이 될 수 있도록 지원하여 애플리케이션 보안을 강화하기 위해 OpenText Fortify와 Secure Code Warrior 가 파트너십을 체결했습니다. 이 통합을 통해 대상별 취약성 교육, 신속한 문제 해결, 실습 교육을 통해 개발자가 처음부터 안전한 코드를 작성할 수 있도록 역량을 강화할 수 있습니다.

이 협력은 소프트웨어 개발 라이프사이클에 보안을 포함함으로써 보안 위험을 줄이고 비용을 최소화하며 규정 준수를 간소화하여 기업이 고객의 신뢰를 구축하고 고품질 코드를 더 빠르게 출시할 수 있도록 지원합니다.

파트너십에 대한 자세한 내용은 원페이저에서 확인하세요.