개발자 토너먼트: 보안 문화 및 참여 개선을 위한 AppSec의 비밀 무기
처음부터 무언가를 만들고, 자신의 기술과 경험을 활용하여 작지만 특별한 마크를 세상에 남기는 것을 상상해 보십시오.혼자서든 팀의 일원이든, 여러분은 무에서 무언가를 만드는 데 마음과 영혼을 쏟습니다.수백 시간, 어쩌면 수천 시간을 들여 아기가 최고의 능력을 발휘할 수 있도록 도와주죠.완수하면 그 성취의 물결이 그 자체로도 보상처럼 느껴질 수 있습니다.
이제 전리품 스포츠가 와서 그다지 좋지 않다고 말한다고 상상해 보세요.아마도 그들은 한 걸음 더 나아가서, 아니, 에너지, 시간, 사랑을 희생했음에도 불구하고 실제로는 사용할 수도 없고 망가졌다고 말할 수도 있습니다.그들은 본질적으로 당신의 아기가 못생겼다고 말했었죠.
위의 시나리오는 긴장감을 불러일으킬 수밖에 없습니다. 결국 자신의 노력이 쪼개지고 부적절하다는 비난을 받기를 누가 원하겠습니까?안타깝게도 많은 개발자들이 AppSec 팀과의 관계를 현실로 볼 수 있습니다.기능적이고 기능이 풍부하며 엄격한 프로젝트 기한 내에 제공되는 소프트웨어를 구축하는 것은 개발자의 일차적인 책임입니다.보안이 우선순위가 되는 경우는 거의 없으며, 심지어 신속한 제공과 혁신을 가로막는 장애물로 보일 수도 있습니다.AppSec은 코드를 꼼꼼하게 검사하고, 펜 테스트를 거친 다음, 이미 커밋된 코드에 보안 취약점이 있다는 나쁜 소식을 보고하는 등 부럽지 않은 작업을 수행합니다.리소스와 시간이 많이 소모되는 환경에서는 비용이 많이 드는 프로세스입니다. 같은 목표를 가지고 있지만 서로 다른 언어를 사용하는 두 팀 사이에 갈등이 생길 수밖에 없기 때문입니다.
이제 보안을 개선할 때가 되었다고 생각하지 않으세요?대화를 바꾸고 모든 것을 좀 더 긍정적으로 만드는 것만큼이나 간단합니다 (재미는 말할 것도 없고요!).양쪽 모두에게, 특히 개발팀 모두에게 말이죠.
교실을 벗어나 게임 아레나로
많은 개발자들이 안전하게 코딩에 대해 많이 배우지 못한 채 직업 교육을 이수하고 있는 상황에서 보안 교육을 처음 접할 때가 바로 취업 시점인 경우가 많습니다.강의실 기반 교육은 자주 사용되는 솔루션 중 하나이지만 기능 제공에 소요되는 소중한 시간을 빼앗아갑니다. 또한 교사와 콘텐츠의 자극이 부족하면 누구나 쉽게 잊어버릴 수 있는 시간 낭비가 될 수 있습니다.동영상 강좌, 서류 기반 시험, 일반 회사 보안 정책 교육도 있습니다. 이 모든 과정이 너무 비구체적이어서 일반 개발자의 일상 업무에서는 쓸모가 없을 수 있습니다.
'체크박스에 체크하고 계속 진행'하는 규정 준수 운동으로 취급되는 경우가 너무 많으며, 반대로 AppSec과 개발팀 간의 균열이 더 커질 뿐인 경우가 너무 많습니다.결국, 우리가 업계에서 그토록 절실히 찾고 있는 보안 문화와 규정 준수에 기존 교육이 긍정적인 영향을 미치는 것 같지는 않습니다. 우리는 같은 실수를 계속 저지릅니다.
일반적인 약점 열거에 따르면 (CWE) 커뮤니티, 700 개 이상 공통 해결해야 할 소프트웨어 보안 약점.SQL 인젝션 같은 일부는 다음과 같습니다. 찌그러지지 않은 바퀴벌레 20 년 이상 존재했음에도 불구하고.우리는 알고 문제 해결 방법, 교육은 개발자들이 이를 방지할 수 있도록 하기 위한 것이며, 펜 테스트와 수동 코드 검토 프로세스를 통해 이러한 위반 사항을 지속적으로 식별할 수 있습니다.
어쩌면 우리는 모든 것을 잘못 보고 있었을 수도 있습니다. 업계로서 우리는 다른 각도에서 실행 가능한 교육을 다루어야 합니다. 개발자들이 그토록 소중히 여기는 놀라운 기술을 활용하는 것입니다.이들은 창의적이고 호기심이 많으며 도전을 좋아하는 문제 해결사입니다.보안 교육을 게임화한다는 것은 해당 언어를 구사하고 실습을 할 수 있도록 하는 것입니다. 그러다 보면 보안에 푹 빠질 수도 있습니다.
조금은 건강한 경쟁
(다소 부정확한) 도구에 대한 핵심 의존도, 값비싼 펜 테스트, 부족한 AppSec 전문가는 우리를 보안 블랙홀에 더 깊이 빠뜨릴 것입니다.온라인에는 우리의 삶과 개인 정보 보호의 많은 부분이 존재하기 때문에 기업들이 데이터를 보호하는 가상 요새 때문에 계속해서 주의를 기울이기만 할 수 있습니다.디지털 혁신으로 인해 소프트웨어에 대한 의존도가 높아짐에 따라, 우리는 줄곧 사무실에서 일해왔던 슈퍼히어로인 개발팀에 의지해야 합니다.
관련 언어 및 프레임워크로 구성된 게임화된 교육은 AppSec 관리자가 비즈니스 내 보안 문화를 혁신하기 시작할 수 있는 강력한 도구입니다.교육을 통해 개발자는 상상 만큼이나 흥미로울 수 있는 재미있는 토너먼트 환경에서 새로 구축한 보안 역량을 발휘할 수 있습니다. 어떻게 하는지 살펴보세요. IAG의 '코드 게임' 얻었다 모두들 조직 내 보안에 대해 이야기합니다.
시큐어 코드 워리어스 토너먼트 모듈 은 단순히 교육 참여도를 약간 제한한 것이 아닙니다. 각 개발자가 자신의 기술을 검증하고, 교육 시작 이후 얼마나 발전했는지 확인하고, 개선이 필요할 수 있는 영역을 식별할 수 있는 플랫폼입니다.경쟁적인 측면은 보안에 긍정적으로 참여하도록 하는 동기 부여 요인으로 작용합니다. 보상과 인정을 통해 팀과 비즈니스 전반에서 강력한 보안 문화가 성장할 수 있도록 지원합니다.
어렵지는 않더라도 힘들 수 있는 일에 약간의 재미를 불어넣으면 부정적인 사고방식을 바꾸고 지속적인 참여를 유도하는 데 큰 도움이 될 수 있습니다.결국, (건전한) 경쟁 환경에서 동료들보다 더 많은 점수를 득점할 수 있다는 영광을 누가 싫어하겠습니까?
챔피언이 여러분 사이를 걷습니다
AppSec과 개발 팀은 서로의 일상 업무에 대해 훨씬 더 많은 통찰력을 얻음으로써 게임화된 교육과 후속 토너먼트는 긍정적인 보안 문화를 조성하는 데 큰 도움이 됩니다.일반적인 취약점을 수정하고 복잡한 문제는 현장에 부족한 AppSec 전문가에게 맡기는 안전한 개발자는 자산입니다.더 나은 관계가 성장하고 번창하며, 동일한 오류가 반복되는 '그라운드호그 데이 (Groundhog Day) '시나리오를 수정하느라 귀중한 보안 예산을 낭비하지 않아도 됩니다.
하지만 또 다른 강력한 부산물이 있습니다. 바로 여러분이 알지 못했던 보안 전문가들의 폭로입니다.토너먼트를 통해 보안에 소질이 있을 뿐만 아니라 보안에 대한 열정을 적극적으로 드러내는 선수를 발굴할 수 있습니다.이러한 챔피언은 모멘텀을 유지하고 팀 간의 연락 창구 역할을 하며 동료를 감독하고 모범 사례 정책을 유지하는 데 매우 중요합니다.표창과 경영진 지원을 포함하는 탄탄한 챔피언 프로그램을 구현하는 것은 조직의 한 획을 그을 수 있을 뿐만 아니라 개인의 이력서와 향후 경력을 위한 강력한 포용력이기도 합니다.
결론은?보안 테스트에서 더 나은 결과를 요구해야 합니다.자주 발생하는 오류는 줄이고, 최전선에 있는 사람들을 위해 더 많은 지원을 제공하세요.개발자 토너먼트를 통해 어떻게 생각보다 빨리 참가할 수 있는지 확인해 보는 건 어떨까요?
이제 보안을 개선할 때가 되었다고 생각하지 않으세요?대화를 바꾸고 모든 것을 좀 더 긍정적으로 만드는 것만큼이나 간단합니다 (재미는 말할 것도 없고요!).양쪽 모두에게, 특히 개발팀 모두에게 말이죠.
Directeur général, président et cofondateur
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
처음부터 무언가를 만들고, 자신의 기술과 경험을 활용하여 작지만 특별한 마크를 세상에 남기는 것을 상상해 보십시오.혼자서든 팀의 일원이든, 여러분은 무에서 무언가를 만드는 데 마음과 영혼을 쏟습니다.수백 시간, 어쩌면 수천 시간을 들여 아기가 최고의 능력을 발휘할 수 있도록 도와주죠.완수하면 그 성취의 물결이 그 자체로도 보상처럼 느껴질 수 있습니다.
이제 전리품 스포츠가 와서 그다지 좋지 않다고 말한다고 상상해 보세요.아마도 그들은 한 걸음 더 나아가서, 아니, 에너지, 시간, 사랑을 희생했음에도 불구하고 실제로는 사용할 수도 없고 망가졌다고 말할 수도 있습니다.그들은 본질적으로 당신의 아기가 못생겼다고 말했었죠.
위의 시나리오는 긴장감을 불러일으킬 수밖에 없습니다. 결국 자신의 노력이 쪼개지고 부적절하다는 비난을 받기를 누가 원하겠습니까?안타깝게도 많은 개발자들이 AppSec 팀과의 관계를 현실로 볼 수 있습니다.기능적이고 기능이 풍부하며 엄격한 프로젝트 기한 내에 제공되는 소프트웨어를 구축하는 것은 개발자의 일차적인 책임입니다.보안이 우선순위가 되는 경우는 거의 없으며, 심지어 신속한 제공과 혁신을 가로막는 장애물로 보일 수도 있습니다.AppSec은 코드를 꼼꼼하게 검사하고, 펜 테스트를 거친 다음, 이미 커밋된 코드에 보안 취약점이 있다는 나쁜 소식을 보고하는 등 부럽지 않은 작업을 수행합니다.리소스와 시간이 많이 소모되는 환경에서는 비용이 많이 드는 프로세스입니다. 같은 목표를 가지고 있지만 서로 다른 언어를 사용하는 두 팀 사이에 갈등이 생길 수밖에 없기 때문입니다.
이제 보안을 개선할 때가 되었다고 생각하지 않으세요?대화를 바꾸고 모든 것을 좀 더 긍정적으로 만드는 것만큼이나 간단합니다 (재미는 말할 것도 없고요!).양쪽 모두에게, 특히 개발팀 모두에게 말이죠.
교실을 벗어나 게임 아레나로
많은 개발자들이 안전하게 코딩에 대해 많이 배우지 못한 채 직업 교육을 이수하고 있는 상황에서 보안 교육을 처음 접할 때가 바로 취업 시점인 경우가 많습니다.강의실 기반 교육은 자주 사용되는 솔루션 중 하나이지만 기능 제공에 소요되는 소중한 시간을 빼앗아갑니다. 또한 교사와 콘텐츠의 자극이 부족하면 누구나 쉽게 잊어버릴 수 있는 시간 낭비가 될 수 있습니다.동영상 강좌, 서류 기반 시험, 일반 회사 보안 정책 교육도 있습니다. 이 모든 과정이 너무 비구체적이어서 일반 개발자의 일상 업무에서는 쓸모가 없을 수 있습니다.
'체크박스에 체크하고 계속 진행'하는 규정 준수 운동으로 취급되는 경우가 너무 많으며, 반대로 AppSec과 개발팀 간의 균열이 더 커질 뿐인 경우가 너무 많습니다.결국, 우리가 업계에서 그토록 절실히 찾고 있는 보안 문화와 규정 준수에 기존 교육이 긍정적인 영향을 미치는 것 같지는 않습니다. 우리는 같은 실수를 계속 저지릅니다.
일반적인 약점 열거에 따르면 (CWE) 커뮤니티, 700 개 이상 공통 해결해야 할 소프트웨어 보안 약점.SQL 인젝션 같은 일부는 다음과 같습니다. 찌그러지지 않은 바퀴벌레 20 년 이상 존재했음에도 불구하고.우리는 알고 문제 해결 방법, 교육은 개발자들이 이를 방지할 수 있도록 하기 위한 것이며, 펜 테스트와 수동 코드 검토 프로세스를 통해 이러한 위반 사항을 지속적으로 식별할 수 있습니다.
어쩌면 우리는 모든 것을 잘못 보고 있었을 수도 있습니다. 업계로서 우리는 다른 각도에서 실행 가능한 교육을 다루어야 합니다. 개발자들이 그토록 소중히 여기는 놀라운 기술을 활용하는 것입니다.이들은 창의적이고 호기심이 많으며 도전을 좋아하는 문제 해결사입니다.보안 교육을 게임화한다는 것은 해당 언어를 구사하고 실습을 할 수 있도록 하는 것입니다. 그러다 보면 보안에 푹 빠질 수도 있습니다.
조금은 건강한 경쟁
(다소 부정확한) 도구에 대한 핵심 의존도, 값비싼 펜 테스트, 부족한 AppSec 전문가는 우리를 보안 블랙홀에 더 깊이 빠뜨릴 것입니다.온라인에는 우리의 삶과 개인 정보 보호의 많은 부분이 존재하기 때문에 기업들이 데이터를 보호하는 가상 요새 때문에 계속해서 주의를 기울이기만 할 수 있습니다.디지털 혁신으로 인해 소프트웨어에 대한 의존도가 높아짐에 따라, 우리는 줄곧 사무실에서 일해왔던 슈퍼히어로인 개발팀에 의지해야 합니다.
관련 언어 및 프레임워크로 구성된 게임화된 교육은 AppSec 관리자가 비즈니스 내 보안 문화를 혁신하기 시작할 수 있는 강력한 도구입니다.교육을 통해 개발자는 상상 만큼이나 흥미로울 수 있는 재미있는 토너먼트 환경에서 새로 구축한 보안 역량을 발휘할 수 있습니다. 어떻게 하는지 살펴보세요. IAG의 '코드 게임' 얻었다 모두들 조직 내 보안에 대해 이야기합니다.
시큐어 코드 워리어스 토너먼트 모듈 은 단순히 교육 참여도를 약간 제한한 것이 아닙니다. 각 개발자가 자신의 기술을 검증하고, 교육 시작 이후 얼마나 발전했는지 확인하고, 개선이 필요할 수 있는 영역을 식별할 수 있는 플랫폼입니다.경쟁적인 측면은 보안에 긍정적으로 참여하도록 하는 동기 부여 요인으로 작용합니다. 보상과 인정을 통해 팀과 비즈니스 전반에서 강력한 보안 문화가 성장할 수 있도록 지원합니다.
어렵지는 않더라도 힘들 수 있는 일에 약간의 재미를 불어넣으면 부정적인 사고방식을 바꾸고 지속적인 참여를 유도하는 데 큰 도움이 될 수 있습니다.결국, (건전한) 경쟁 환경에서 동료들보다 더 많은 점수를 득점할 수 있다는 영광을 누가 싫어하겠습니까?
챔피언이 여러분 사이를 걷습니다
AppSec과 개발 팀은 서로의 일상 업무에 대해 훨씬 더 많은 통찰력을 얻음으로써 게임화된 교육과 후속 토너먼트는 긍정적인 보안 문화를 조성하는 데 큰 도움이 됩니다.일반적인 취약점을 수정하고 복잡한 문제는 현장에 부족한 AppSec 전문가에게 맡기는 안전한 개발자는 자산입니다.더 나은 관계가 성장하고 번창하며, 동일한 오류가 반복되는 '그라운드호그 데이 (Groundhog Day) '시나리오를 수정하느라 귀중한 보안 예산을 낭비하지 않아도 됩니다.
하지만 또 다른 강력한 부산물이 있습니다. 바로 여러분이 알지 못했던 보안 전문가들의 폭로입니다.토너먼트를 통해 보안에 소질이 있을 뿐만 아니라 보안에 대한 열정을 적극적으로 드러내는 선수를 발굴할 수 있습니다.이러한 챔피언은 모멘텀을 유지하고 팀 간의 연락 창구 역할을 하며 동료를 감독하고 모범 사례 정책을 유지하는 데 매우 중요합니다.표창과 경영진 지원을 포함하는 탄탄한 챔피언 프로그램을 구현하는 것은 조직의 한 획을 그을 수 있을 뿐만 아니라 개인의 이력서와 향후 경력을 위한 강력한 포용력이기도 합니다.
결론은?보안 테스트에서 더 나은 결과를 요구해야 합니다.자주 발생하는 오류는 줄이고, 최전선에 있는 사람들을 위해 더 많은 지원을 제공하세요.개발자 토너먼트를 통해 어떻게 생각보다 빨리 참가할 수 있는지 확인해 보는 건 어떨까요?
처음부터 무언가를 만들고, 자신의 기술과 경험을 활용하여 작지만 특별한 마크를 세상에 남기는 것을 상상해 보십시오.혼자서든 팀의 일원이든, 여러분은 무에서 무언가를 만드는 데 마음과 영혼을 쏟습니다.수백 시간, 어쩌면 수천 시간을 들여 아기가 최고의 능력을 발휘할 수 있도록 도와주죠.완수하면 그 성취의 물결이 그 자체로도 보상처럼 느껴질 수 있습니다.
이제 전리품 스포츠가 와서 그다지 좋지 않다고 말한다고 상상해 보세요.아마도 그들은 한 걸음 더 나아가서, 아니, 에너지, 시간, 사랑을 희생했음에도 불구하고 실제로는 사용할 수도 없고 망가졌다고 말할 수도 있습니다.그들은 본질적으로 당신의 아기가 못생겼다고 말했었죠.
위의 시나리오는 긴장감을 불러일으킬 수밖에 없습니다. 결국 자신의 노력이 쪼개지고 부적절하다는 비난을 받기를 누가 원하겠습니까?안타깝게도 많은 개발자들이 AppSec 팀과의 관계를 현실로 볼 수 있습니다.기능적이고 기능이 풍부하며 엄격한 프로젝트 기한 내에 제공되는 소프트웨어를 구축하는 것은 개발자의 일차적인 책임입니다.보안이 우선순위가 되는 경우는 거의 없으며, 심지어 신속한 제공과 혁신을 가로막는 장애물로 보일 수도 있습니다.AppSec은 코드를 꼼꼼하게 검사하고, 펜 테스트를 거친 다음, 이미 커밋된 코드에 보안 취약점이 있다는 나쁜 소식을 보고하는 등 부럽지 않은 작업을 수행합니다.리소스와 시간이 많이 소모되는 환경에서는 비용이 많이 드는 프로세스입니다. 같은 목표를 가지고 있지만 서로 다른 언어를 사용하는 두 팀 사이에 갈등이 생길 수밖에 없기 때문입니다.
이제 보안을 개선할 때가 되었다고 생각하지 않으세요?대화를 바꾸고 모든 것을 좀 더 긍정적으로 만드는 것만큼이나 간단합니다 (재미는 말할 것도 없고요!).양쪽 모두에게, 특히 개발팀 모두에게 말이죠.
교실을 벗어나 게임 아레나로
많은 개발자들이 안전하게 코딩에 대해 많이 배우지 못한 채 직업 교육을 이수하고 있는 상황에서 보안 교육을 처음 접할 때가 바로 취업 시점인 경우가 많습니다.강의실 기반 교육은 자주 사용되는 솔루션 중 하나이지만 기능 제공에 소요되는 소중한 시간을 빼앗아갑니다. 또한 교사와 콘텐츠의 자극이 부족하면 누구나 쉽게 잊어버릴 수 있는 시간 낭비가 될 수 있습니다.동영상 강좌, 서류 기반 시험, 일반 회사 보안 정책 교육도 있습니다. 이 모든 과정이 너무 비구체적이어서 일반 개발자의 일상 업무에서는 쓸모가 없을 수 있습니다.
'체크박스에 체크하고 계속 진행'하는 규정 준수 운동으로 취급되는 경우가 너무 많으며, 반대로 AppSec과 개발팀 간의 균열이 더 커질 뿐인 경우가 너무 많습니다.결국, 우리가 업계에서 그토록 절실히 찾고 있는 보안 문화와 규정 준수에 기존 교육이 긍정적인 영향을 미치는 것 같지는 않습니다. 우리는 같은 실수를 계속 저지릅니다.
일반적인 약점 열거에 따르면 (CWE) 커뮤니티, 700 개 이상 공통 해결해야 할 소프트웨어 보안 약점.SQL 인젝션 같은 일부는 다음과 같습니다. 찌그러지지 않은 바퀴벌레 20 년 이상 존재했음에도 불구하고.우리는 알고 문제 해결 방법, 교육은 개발자들이 이를 방지할 수 있도록 하기 위한 것이며, 펜 테스트와 수동 코드 검토 프로세스를 통해 이러한 위반 사항을 지속적으로 식별할 수 있습니다.
어쩌면 우리는 모든 것을 잘못 보고 있었을 수도 있습니다. 업계로서 우리는 다른 각도에서 실행 가능한 교육을 다루어야 합니다. 개발자들이 그토록 소중히 여기는 놀라운 기술을 활용하는 것입니다.이들은 창의적이고 호기심이 많으며 도전을 좋아하는 문제 해결사입니다.보안 교육을 게임화한다는 것은 해당 언어를 구사하고 실습을 할 수 있도록 하는 것입니다. 그러다 보면 보안에 푹 빠질 수도 있습니다.
조금은 건강한 경쟁
(다소 부정확한) 도구에 대한 핵심 의존도, 값비싼 펜 테스트, 부족한 AppSec 전문가는 우리를 보안 블랙홀에 더 깊이 빠뜨릴 것입니다.온라인에는 우리의 삶과 개인 정보 보호의 많은 부분이 존재하기 때문에 기업들이 데이터를 보호하는 가상 요새 때문에 계속해서 주의를 기울이기만 할 수 있습니다.디지털 혁신으로 인해 소프트웨어에 대한 의존도가 높아짐에 따라, 우리는 줄곧 사무실에서 일해왔던 슈퍼히어로인 개발팀에 의지해야 합니다.
관련 언어 및 프레임워크로 구성된 게임화된 교육은 AppSec 관리자가 비즈니스 내 보안 문화를 혁신하기 시작할 수 있는 강력한 도구입니다.교육을 통해 개발자는 상상 만큼이나 흥미로울 수 있는 재미있는 토너먼트 환경에서 새로 구축한 보안 역량을 발휘할 수 있습니다. 어떻게 하는지 살펴보세요. IAG의 '코드 게임' 얻었다 모두들 조직 내 보안에 대해 이야기합니다.
시큐어 코드 워리어스 토너먼트 모듈 은 단순히 교육 참여도를 약간 제한한 것이 아닙니다. 각 개발자가 자신의 기술을 검증하고, 교육 시작 이후 얼마나 발전했는지 확인하고, 개선이 필요할 수 있는 영역을 식별할 수 있는 플랫폼입니다.경쟁적인 측면은 보안에 긍정적으로 참여하도록 하는 동기 부여 요인으로 작용합니다. 보상과 인정을 통해 팀과 비즈니스 전반에서 강력한 보안 문화가 성장할 수 있도록 지원합니다.
어렵지는 않더라도 힘들 수 있는 일에 약간의 재미를 불어넣으면 부정적인 사고방식을 바꾸고 지속적인 참여를 유도하는 데 큰 도움이 될 수 있습니다.결국, (건전한) 경쟁 환경에서 동료들보다 더 많은 점수를 득점할 수 있다는 영광을 누가 싫어하겠습니까?
챔피언이 여러분 사이를 걷습니다
AppSec과 개발 팀은 서로의 일상 업무에 대해 훨씬 더 많은 통찰력을 얻음으로써 게임화된 교육과 후속 토너먼트는 긍정적인 보안 문화를 조성하는 데 큰 도움이 됩니다.일반적인 취약점을 수정하고 복잡한 문제는 현장에 부족한 AppSec 전문가에게 맡기는 안전한 개발자는 자산입니다.더 나은 관계가 성장하고 번창하며, 동일한 오류가 반복되는 '그라운드호그 데이 (Groundhog Day) '시나리오를 수정하느라 귀중한 보안 예산을 낭비하지 않아도 됩니다.
하지만 또 다른 강력한 부산물이 있습니다. 바로 여러분이 알지 못했던 보안 전문가들의 폭로입니다.토너먼트를 통해 보안에 소질이 있을 뿐만 아니라 보안에 대한 열정을 적극적으로 드러내는 선수를 발굴할 수 있습니다.이러한 챔피언은 모멘텀을 유지하고 팀 간의 연락 창구 역할을 하며 동료를 감독하고 모범 사례 정책을 유지하는 데 매우 중요합니다.표창과 경영진 지원을 포함하는 탄탄한 챔피언 프로그램을 구현하는 것은 조직의 한 획을 그을 수 있을 뿐만 아니라 개인의 이력서와 향후 경력을 위한 강력한 포용력이기도 합니다.
결론은?보안 테스트에서 더 나은 결과를 요구해야 합니다.자주 발생하는 오류는 줄이고, 최전선에 있는 사람들을 위해 더 많은 지원을 제공하세요.개발자 토너먼트를 통해 어떻게 생각보다 빨리 참가할 수 있는지 확인해 보는 건 어떨까요?
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Consulter le rapportVeuillez prendre rendez-vous pour une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
처음부터 무언가를 만들고, 자신의 기술과 경험을 활용하여 작지만 특별한 마크를 세상에 남기는 것을 상상해 보십시오.혼자서든 팀의 일원이든, 여러분은 무에서 무언가를 만드는 데 마음과 영혼을 쏟습니다.수백 시간, 어쩌면 수천 시간을 들여 아기가 최고의 능력을 발휘할 수 있도록 도와주죠.완수하면 그 성취의 물결이 그 자체로도 보상처럼 느껴질 수 있습니다.
이제 전리품 스포츠가 와서 그다지 좋지 않다고 말한다고 상상해 보세요.아마도 그들은 한 걸음 더 나아가서, 아니, 에너지, 시간, 사랑을 희생했음에도 불구하고 실제로는 사용할 수도 없고 망가졌다고 말할 수도 있습니다.그들은 본질적으로 당신의 아기가 못생겼다고 말했었죠.
위의 시나리오는 긴장감을 불러일으킬 수밖에 없습니다. 결국 자신의 노력이 쪼개지고 부적절하다는 비난을 받기를 누가 원하겠습니까?안타깝게도 많은 개발자들이 AppSec 팀과의 관계를 현실로 볼 수 있습니다.기능적이고 기능이 풍부하며 엄격한 프로젝트 기한 내에 제공되는 소프트웨어를 구축하는 것은 개발자의 일차적인 책임입니다.보안이 우선순위가 되는 경우는 거의 없으며, 심지어 신속한 제공과 혁신을 가로막는 장애물로 보일 수도 있습니다.AppSec은 코드를 꼼꼼하게 검사하고, 펜 테스트를 거친 다음, 이미 커밋된 코드에 보안 취약점이 있다는 나쁜 소식을 보고하는 등 부럽지 않은 작업을 수행합니다.리소스와 시간이 많이 소모되는 환경에서는 비용이 많이 드는 프로세스입니다. 같은 목표를 가지고 있지만 서로 다른 언어를 사용하는 두 팀 사이에 갈등이 생길 수밖에 없기 때문입니다.
이제 보안을 개선할 때가 되었다고 생각하지 않으세요?대화를 바꾸고 모든 것을 좀 더 긍정적으로 만드는 것만큼이나 간단합니다 (재미는 말할 것도 없고요!).양쪽 모두에게, 특히 개발팀 모두에게 말이죠.
교실을 벗어나 게임 아레나로
많은 개발자들이 안전하게 코딩에 대해 많이 배우지 못한 채 직업 교육을 이수하고 있는 상황에서 보안 교육을 처음 접할 때가 바로 취업 시점인 경우가 많습니다.강의실 기반 교육은 자주 사용되는 솔루션 중 하나이지만 기능 제공에 소요되는 소중한 시간을 빼앗아갑니다. 또한 교사와 콘텐츠의 자극이 부족하면 누구나 쉽게 잊어버릴 수 있는 시간 낭비가 될 수 있습니다.동영상 강좌, 서류 기반 시험, 일반 회사 보안 정책 교육도 있습니다. 이 모든 과정이 너무 비구체적이어서 일반 개발자의 일상 업무에서는 쓸모가 없을 수 있습니다.
'체크박스에 체크하고 계속 진행'하는 규정 준수 운동으로 취급되는 경우가 너무 많으며, 반대로 AppSec과 개발팀 간의 균열이 더 커질 뿐인 경우가 너무 많습니다.결국, 우리가 업계에서 그토록 절실히 찾고 있는 보안 문화와 규정 준수에 기존 교육이 긍정적인 영향을 미치는 것 같지는 않습니다. 우리는 같은 실수를 계속 저지릅니다.
일반적인 약점 열거에 따르면 (CWE) 커뮤니티, 700 개 이상 공통 해결해야 할 소프트웨어 보안 약점.SQL 인젝션 같은 일부는 다음과 같습니다. 찌그러지지 않은 바퀴벌레 20 년 이상 존재했음에도 불구하고.우리는 알고 문제 해결 방법, 교육은 개발자들이 이를 방지할 수 있도록 하기 위한 것이며, 펜 테스트와 수동 코드 검토 프로세스를 통해 이러한 위반 사항을 지속적으로 식별할 수 있습니다.
어쩌면 우리는 모든 것을 잘못 보고 있었을 수도 있습니다. 업계로서 우리는 다른 각도에서 실행 가능한 교육을 다루어야 합니다. 개발자들이 그토록 소중히 여기는 놀라운 기술을 활용하는 것입니다.이들은 창의적이고 호기심이 많으며 도전을 좋아하는 문제 해결사입니다.보안 교육을 게임화한다는 것은 해당 언어를 구사하고 실습을 할 수 있도록 하는 것입니다. 그러다 보면 보안에 푹 빠질 수도 있습니다.
조금은 건강한 경쟁
(다소 부정확한) 도구에 대한 핵심 의존도, 값비싼 펜 테스트, 부족한 AppSec 전문가는 우리를 보안 블랙홀에 더 깊이 빠뜨릴 것입니다.온라인에는 우리의 삶과 개인 정보 보호의 많은 부분이 존재하기 때문에 기업들이 데이터를 보호하는 가상 요새 때문에 계속해서 주의를 기울이기만 할 수 있습니다.디지털 혁신으로 인해 소프트웨어에 대한 의존도가 높아짐에 따라, 우리는 줄곧 사무실에서 일해왔던 슈퍼히어로인 개발팀에 의지해야 합니다.
관련 언어 및 프레임워크로 구성된 게임화된 교육은 AppSec 관리자가 비즈니스 내 보안 문화를 혁신하기 시작할 수 있는 강력한 도구입니다.교육을 통해 개발자는 상상 만큼이나 흥미로울 수 있는 재미있는 토너먼트 환경에서 새로 구축한 보안 역량을 발휘할 수 있습니다. 어떻게 하는지 살펴보세요. IAG의 '코드 게임' 얻었다 모두들 조직 내 보안에 대해 이야기합니다.
시큐어 코드 워리어스 토너먼트 모듈 은 단순히 교육 참여도를 약간 제한한 것이 아닙니다. 각 개발자가 자신의 기술을 검증하고, 교육 시작 이후 얼마나 발전했는지 확인하고, 개선이 필요할 수 있는 영역을 식별할 수 있는 플랫폼입니다.경쟁적인 측면은 보안에 긍정적으로 참여하도록 하는 동기 부여 요인으로 작용합니다. 보상과 인정을 통해 팀과 비즈니스 전반에서 강력한 보안 문화가 성장할 수 있도록 지원합니다.
어렵지는 않더라도 힘들 수 있는 일에 약간의 재미를 불어넣으면 부정적인 사고방식을 바꾸고 지속적인 참여를 유도하는 데 큰 도움이 될 수 있습니다.결국, (건전한) 경쟁 환경에서 동료들보다 더 많은 점수를 득점할 수 있다는 영광을 누가 싫어하겠습니까?
챔피언이 여러분 사이를 걷습니다
AppSec과 개발 팀은 서로의 일상 업무에 대해 훨씬 더 많은 통찰력을 얻음으로써 게임화된 교육과 후속 토너먼트는 긍정적인 보안 문화를 조성하는 데 큰 도움이 됩니다.일반적인 취약점을 수정하고 복잡한 문제는 현장에 부족한 AppSec 전문가에게 맡기는 안전한 개발자는 자산입니다.더 나은 관계가 성장하고 번창하며, 동일한 오류가 반복되는 '그라운드호그 데이 (Groundhog Day) '시나리오를 수정하느라 귀중한 보안 예산을 낭비하지 않아도 됩니다.
하지만 또 다른 강력한 부산물이 있습니다. 바로 여러분이 알지 못했던 보안 전문가들의 폭로입니다.토너먼트를 통해 보안에 소질이 있을 뿐만 아니라 보안에 대한 열정을 적극적으로 드러내는 선수를 발굴할 수 있습니다.이러한 챔피언은 모멘텀을 유지하고 팀 간의 연락 창구 역할을 하며 동료를 감독하고 모범 사례 정책을 유지하는 데 매우 중요합니다.표창과 경영진 지원을 포함하는 탄탄한 챔피언 프로그램을 구현하는 것은 조직의 한 획을 그을 수 있을 뿐만 아니라 개인의 이력서와 향후 경력을 위한 강력한 포용력이기도 합니다.
결론은?보안 테스트에서 더 나은 결과를 요구해야 합니다.자주 발생하는 오류는 줄이고, 최전선에 있는 사람들을 위해 더 많은 지원을 제공하세요.개발자 토너먼트를 통해 어떻게 생각보다 빨리 참가할 수 있는지 확인해 보는 건 어떨까요?
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.TéléchargerRessources utiles pour débuter
Thèmes et contenus de la formation sur les codes de sécurité
Le contenu le plus pertinent du secteur évolue constamment pour s'adapter à l'environnement de développement logiciel en constante évolution, en tenant compte du rôle des clients. Des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité, tous les rôles sont couverts, de l'IA à l'injection XQuery. Veuillez consulter le catalogue de contenu pour découvrir ce qui est proposé par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources utiles pour débuter
Cybermon est de retour : la mission IA de défaite du boss est désormais disponible à la demande.
Cybermon 2025 Bit The Boss est désormais disponible toute l'année sur SCW. Renforcez le développement de l'IA de sécurité à grande échelle en déployant des défis de sécurité IA/LLM avancés.
Explication de la loi sur la cyber-résilience : l'importance de la conception sécurisée dans le développement de logiciels
Découvrez les exigences de la loi européenne sur la résilience des réseaux et des services (CRA), son champ d'application et comment votre équipe d'ingénieurs peut se préparer en toute sécurité grâce à la conception, aux pratiques, à la prévention des vulnérabilités et à la mise en place d'un environnement de développement.
Facteur de réussite n° 1 : des critères de réussite clairement définis et mesurables
Enabler 1 présente une série de dix articles consacrés aux facteurs de réussite, en démontrant comment le codage sécurisé peut améliorer les performances commerciales, notamment en accélérant la réduction des risques et des coûts pour la maturité des programmes à long terme.
