개발자가 첫 번째 위험 또는 방어선입니까?당사의 시큐어 코딩 체크리스트와 비교하여 귀사를 평가해 주세요

공공 조직이든 상업 조직이든 상관없이 우리가 보장할 수 있는 것은 두 가지입니다.첫째, 그들의 제품과 서비스는 점점 더 디지털화되고 있습니다. 즉, 코드 라인을 만드는 소프트웨어 개발자들이 참여한다는 뜻입니다.둘째, 이러한 디지털 비즈니스는 더욱 역동적이고 글로벌 환경에서 운영되는 기존 및 비전통적 경쟁업체로부터 압박을 받고 있습니다.

이러한 환경에서 CIO는 새로운 혁신가가 되어 권력과 영향력을 행사할 수 있는 위치에 있습니다.그러나 시장 출시를 가속화하고 품질을 개선하며 유연성을 높여야 한다는 강한 압력으로 인해 개발팀은 복잡하고 분산되어 있으며, 이로 인해 발생할 수 있는 취약점을 인식하지 못한 채 특징과 기능을 빠르게 개발하는 데 집중하게 되었습니다.

그 어느 때보다 새로운 작업 방식이 필요합니다.Equifax의 최근 보안 침해 이후 발생한 핵 피해만 살펴보면 되는데, 이는 암호화가 안전하지 않아 발생한 결과입니다.CIO와 CISO는 개발 팀이 최전방 위험선인지, 아니면 회사의 보안 챔피언인지, 회사의 진정한 “1차 방어선”인지 신중하게 생각해야 합니다.

이 보안 코딩 체크리스트는 CIO와 CISO가 개발 팀을 더 빠르고, 더 좋고, 안전한 코드로 혁신하는 데 도움을 줄 수 있는 보안 코딩 챔피언으로 만들었는지 여부를 고려할 수 있도록 작성했습니다.

1.최고 경영진이 기존 네트워크 보안으로는 충분하지 않다는 것을 알고 있습니까?

전통적인 보안 조치를 사용하여 네트워크 계층을 보호하는 것만으로는 더 이상 충분하지 않으며 어쨌든 준 전문 해커에 대해서도 거의 성공하지 못했습니다.Verizon의 2017년 데이터 침해 조사 보고서에 따르면 많은 관련 보고서 중 오늘날 데이터 침해 사고의 35% 가 웹 애플리케이션 취약점으로 인한 것으로 나타났습니다.웹 애플리케이션 보안은 네트워크 보안만큼이나 중요합니다.

2.처음부터 보안에 대해 생각하고 계신가요?

현재 애플리케이션 보안 도구는 소프트웨어 개발 수명 주기 (SDLC) 에서 오른쪽에서 왼쪽으로 이동하는 데 중점을 둡니다.이 접근 방식은 탐지 및 대응을 지원합니다. 즉, 보안 팀은 작성된 코드의 취약점을 탐지하고 대응하여 수정합니다.미국표준기술연구소 (NIST) 에 따르면 IDE에서 코드를 작성할 때 커밋된 코드의 취약점을 탐지하고 수정하는 것이 취약점을 방지하는 데 드는 비용보다 30배 더 많은 비용이 듭니다.문제를 해결하는 데 걸리는 시간 지연은 말할 것도 없습니다.보안 코드 챔피언은 SDLC의 맨 왼쪽부터 개발자에게 보안 코딩을 지속적으로 교육하는 데 중점을 둡니다. 이를 통해 조직의 최전방 방어선이 되어 애초에 취약점을 방지할 수 있습니다.

3.단순히 지식을 제공하는 데 그치지 않고 실제로 보안 기술을 쌓고 계신가요?

대부분의 교육 솔루션 (온라인 및 강의실) 은 기술 구축보다는 지식 구축에 중점을 둡니다.개발자가 안전한 코드를 작성하려면 보안 코딩 기술을 배우고 익히는 데 적극적으로 참여할 수 있는 실습 학습을 정기적으로 이용할 수 있어야 합니다.개발자들은 실제 코드와 고유한 언어/프레임워크를 통해 최근에 발견된 취약점에 대해 배워야 합니다.이러한 학습 경험은 코드에서 알려진 취약점을 찾아 식별하고 수정하는 방법을 이해하는 데 도움이 될 것입니다.

4.실시간 지표로 보안 코딩 기술을 측정하시나요?

개발자의 보안 코딩 기술이 향상되고 있음을 개발자와 조직에 증명할 수 있는 증거를 만드는 것이 중요합니다.측정할 수 없는 것은 개선할 수 없습니다.평가를 통해 개발 팀의 진행 상황을 실시간으로 파악하고 보안 코딩의 강점과 약점을 벤치마킹할 수 있어야 합니다.

5.아웃소싱 공급업체가 보안 코딩 기술을 적용한다고 확신하십니까?

많은 조직이 대규모 육상 또는 해양 개발 주택에 개발 작업을 위탁하기로 결정합니다.최상의 경우, 조직이 보안에 대해 요구하는 유일한 형태의 보증은 결과물의 “보안”을 요구하는 계약서의 진술입니다.이러한 개발 업체의 기술을 사전에 검증하고 보안 코딩 모범 사례를 따르지 않는 소프트웨어로 끝내는 사람은 거의 없습니다.최악의 시나리오는 해당 업체에 대해 모르고 애플리케이션을 실행에 옮기는 것입니다.가장 일반적인 시나리오는 전담 전문가에 의해 픽업되고 (비용을 지불해야 함), 실제 적용이 지연되고 이러한 보안 취약점을 수정하기 위해 누가 비용을 지불해야 하는지에 대한 계약상의 논의에 직면하게 되는 것입니다.현명하게 미리 계획을 세우고 다음 애플리케이션을 구축할 개발자의 애플리케이션 보안 기술을 평가하십시오.

6.개발자들이 가장 일반적인 보안 취약점을 알고 있습니까?

악용되는 웹 애플리케이션 취약성의 85.5% 는 단지 10개의 알려진 취약점에 기인합니다. "OWASP Top 10에 속합니다.애플리케이션 보안 교육을 받으려면 최소한 이러한 취약성 유형을 비롯하여 더 많은 취약성 유형을 다루어야 합니다.개발자가 완료하는 과제는 새로운 코딩 프레임워크나 새로운 취약성 유형에 대한 새로운 과제로 지속적으로 수정 및 업데이트되어야 합니다.

7.사내 보안 전문가가 있나요?

개발자 중심의 모든 조직은 개발 팀 내에서 보안을 옹호할 사람에게 투자해야 합니다.이들의 목적은 보안에 대해 궁금한 점이 있는 모든 사람을 위한 지원 담당자 역할을 하는 동시에 팀 내에서 보안 코딩 및 보안 아키텍처 관행을 옹호하는 것입니다.

8.개발자들이 보안 코딩을 더 쉽게 할 수 있는 도구에 투자하셨나요?

애플리케이션이 많이 변경되거나 애자일 개발이 실행되는 환경에서는 속도와 규모를 따라잡기 위해 보안의 일부를 자동화하는 것이 필수적입니다.개발 수명 주기의 각 단계마다 어드바이저, 품질 게이트 또는 탐지 도구 역할을 하는 도구가 있습니다.특정 유형의 보안 버그에 초점을 맞추고 개발자가 코드를 작성하는 동안 맞춤법 검사기 역할을 하는 IDE 플러그인이 있어야 합니다.코드 저장소에 코드를 제출할 때 특정 유형의 약점을 찾아내는 빌드 프로세스와 통합되는 도구도 있습니다.또한 코드에 대한 자동 테스트를 실행하여 소프트웨어가 프로덕션 단계에 들어갔을 때 해킹 기법을 시뮬레이션하는 도구도 있습니다.모두 나름의 장점과 문제점이 있으며, 보안 문제가 없음을 100% 보장할 수는 없습니다.가장 중요한 원칙은 약점을 조기에 포착할수록 비즈니스에 미치는 영향을 최소화하면서 약점을 더 빠르고 저렴하게 해결할 수 있다는 것입니다.

CIO가 엔터프라이즈 애자일 역량을 적극적으로 구축함에 따라 보안 코딩 기술은 혁신의 무기가 될 것이며 이러한 기술을 갖추지 못하면 파괴의 도구가 될 것입니다.이 중요한 기능을 건너뛰기 전에 한 번 더 생각해 보십시오.

귀하의 조직은 어떻게 이 체크리스트를 위반했나요?

CIO가 엔터프라이즈 애자일 역량을 적극적으로 구축함에 따라 보안 코딩 기술은 혁신의 무기가 될 것이며 이러한 기술을 갖추지 못하면 파괴의 도구가 될 것입니다.이 중요한 기능을 건너뛰기 전에 한 번 더 생각해 보십시오.