엔터프라이즈 보안 설계 이니셔티브를 위한 의미 있는 성공 주도
CISA의 모습을 목격하게 되어 가슴이 벅차오르고 있습니다. 보안을 고려한 설계 미국, 호주, 뉴질랜드, 캐나다, 싱가포르, 일본, 독일 및 영국이 유사한 지침을 광범위한 사이버 보안 전략에 적용하기로 약속하고 이들 국가 중 상당수가 원래 권장 사항에 기여함에 따라 전 세계적으로 (SBD) 움직임이 가속화되고 있습니다.
2024년 4월 이후, 다음을 포함한 200개 이상의 기업 시큐어 코드 워리어, 서명했습니다 보안을 고려한 설계 서약이는 더 높은 소프트웨어 품질 및 보안 표준에 대한 업계의 광범위한 노력을 나타냅니다.우리는 소프트웨어 개발의 중대한 문화적 변화에 대해 처음으로 전 세계 정부의 지원을 받게 된 사이버 보안 리더들에게 이 지침이 중요한 순간이라고 생각합니다.미국 정부에 직접 판매하는 소프트웨어 공급업체 외에는 이러한 권장 사항이 아직 필수 사항은 아니지만, 저는 이것이 단지 미래일 뿐만 아니라 위협 행위자에 대항하기 시작할 절호의 기회라고 생각합니다.지침의 핵심은 제거하려는 노력입니다. 범주 취약점을 파악하고 업계 전반이 이 목표에 집중한다면 수십 년 만에 디지털 안전에 가장 중요하고 긍정적인 영향을 미칠 수 있습니다.
우리는 이 운동이 중요하다고 생각합니다. 그리고 우리의 최신 연구 논문은 보안 기술 벤치마킹: 기업의 보안 설계 간소화 기업 수준에서 실제 Secure By-Design 이니셔티브를 심층적으로 분석하고 데이터 기반 결과를 기반으로 모범 사례 접근 방식을 도출한 결과입니다.
조직의 보안 설계 노력의 ROI 측정
오랫동안 확립되어 온 소프트웨어 개발 관행의 개편은 결코 쉬운 일이 아닙니다.CISO는 보안 프로그램 활동의 ROI (투자 수익률) 와 비즈니스 가치를 사람과 회사 차원에서 모두 입증하려고 할 때 종종 어려움을 겪습니다. 많은 사람들이 예산 절감에 대한 불만이 커지고 새로운 사이버 이니셔티브에 대한 최고 경영진의 동의가 부족하다고 표현합니다.하지만 여기서는 데이터 기반 제안이 큰 차이를 만들 수 있습니다.
최근 몇 년 동안 조직이 업계 표준에 따라 추적 방법을 평가할 수 있는 기술 벤치마크의 부재가 주요 과제로 떠올랐습니다.이로 인해 올바른 영역에 영향을 미치고 성공적인 소프트웨어 보안 관행의 핵심 요소인 개발 집단의 지속적인 개선을 촉진하는 보안 프로그램을 고안하고 구현하기가 매우 어려워졌습니다.
Secure-by-Design 이니셔티브를 성공으로 이끄는 핵심은 개발자에게 보안 코드를 보장하는 기술을 제공할 뿐만 아니라 규제 기관에 이러한 기술이 제대로 적용되도록 하는 것입니다.그래서 개발자 팀의 준비 상태를 분석하기로 결정했는데 놀라운 결과가 나올 수도 있습니다.
SBD 이니셔티브를 가속화하려는 기업이 신뢰 점수를 활용할 수 있는 방법
어디서부터 시작하고 어디로 가야 하는지에 대한 확실한 아이디어가 없으면 효율적으로 개선하기가 사실상 불가능합니다.하지만 수백 명의 기업 고객이 효과적으로 활용하고 있습니다. SCW 트러스트 스코어—개발자 팀의 보안 역량을 수치화하는 글로벌 벤치마크로, 유용하고 세분화된 데이터 포인트를 제공합니다.이러한 인사이트는 Secure By-Design 이니셔티브를 성공적으로 추진하는 데 도움이 되는 매우 효과적인 개발자 중심의 보안 프로그램을 형성합니다.
백서에 나와 있는 분석 결과에 따르면 주요 인프라 산업 전반의 조직은 개발자들이 SBD 이니셔티브를 발전시킬 수 있도록 준비하는 데 진전을 보이고 있습니다.또한 이러한 업계의 개발자 팀은 평균적인 보안 태세를 갖추고 있다는 사실도 알게 되었습니다.
주요 인프라 산업 전반의 개발자 기술 향상에 대한 Secure Code Warrior의 분석은 전 세계 600개 기업 고객과 250,000명 이상의 활동 중인 개발자를 대상으로 한 2천만 개 이상의 데이터 포인트에서 얻은 통찰력을 기반으로 합니다.분석 결과 다음과 같은 사실이 밝혀졌습니다.
- 현재 개발자 중심의 SBD 업스킬링 이니셔티브에 참여하고 있는 전체 개발자 수는 전 세계 전체 개발자의 4% 미만입니다.
- 금융 서비스 업계는 336점으로 가장 높은 신뢰 점수를 받았습니다.
- 대부분의 대규모 Secure-by-Design 업스킬링 이니셔티브는 성공적이지만 소규모 이니셔티브는 분산되어 있는 경향이 있습니다.그러나 위임장이 주어지면 측정 가능한 투자 수익률 (ROI) 을 더 빨리 달성하는 것으로 나타났습니다.
- 업스킬링 이니셔티브가 확고하게 자리 잡으면 개발자가 애플리케이션에서 야기하는 위험이 훨씬 줄어듭니다.분석 결과 대규모 업스킬링 이니셔티브에 참여하는 개발자 (단일 회사에서 개발자 7,000명 이상) 는 취약성을 예측 가능한 수준으로 47~ 53% 줄일 수 있는 것으로 나타났습니다.
솔루션 | 결론
SCW Trust Score는 모든 보안 리더가 사용할 수 있는 강력한 도구로, 조직 내 특정 영역을 포괄적으로 분석할 수 있습니다.보고서는 언어, 팀 또는 범주에 따라 필터링할 수 있어 기업이 개발자 또는 팀의 특정 요구 사항을 해결하고 추가 교육이나 코칭이 필요한 영역을 식별할 수 있는 맞춤형 보고서를 생성할 수 있습니다.결국 보안은 끝없는 노력입니다. 성능을 효과적으로 벤치마킹하면 지속적인 개선의 기회를 식별하는 데 도움이 됩니다.
소프트웨어 개발 및 배포가 가속화되고, 그 어느 때보다 위협적인 사이버 위협 환경과 점점 더 매파의 시선을 받는 규제 기관이 맞물리면서 사이버 보안이 최우선 과제로 떠올랐습니다.아직 하지 않았다면 조직은 전사적 보안 우선 문화를 조성하는 데 우선 순위를 두어야 합니다.
당사의 최신 연구 논문인 보안 기술 벤치마킹: 기업의 보안 설계 간소화는 기업 수준의 실제 보안 설계 이니셔티브를 심층적으로 분석하고 데이터 기반 결과를 기반으로 모범 사례 접근 방식을 도출한 결과입니다.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
CISA의 모습을 목격하게 되어 가슴이 벅차오르고 있습니다. 보안을 고려한 설계 미국, 호주, 뉴질랜드, 캐나다, 싱가포르, 일본, 독일 및 영국이 유사한 지침을 광범위한 사이버 보안 전략에 적용하기로 약속하고 이들 국가 중 상당수가 원래 권장 사항에 기여함에 따라 전 세계적으로 (SBD) 움직임이 가속화되고 있습니다.
2024년 4월 이후, 다음을 포함한 200개 이상의 기업 시큐어 코드 워리어, 서명했습니다 보안을 고려한 설계 서약이는 더 높은 소프트웨어 품질 및 보안 표준에 대한 업계의 광범위한 노력을 나타냅니다.우리는 소프트웨어 개발의 중대한 문화적 변화에 대해 처음으로 전 세계 정부의 지원을 받게 된 사이버 보안 리더들에게 이 지침이 중요한 순간이라고 생각합니다.미국 정부에 직접 판매하는 소프트웨어 공급업체 외에는 이러한 권장 사항이 아직 필수 사항은 아니지만, 저는 이것이 단지 미래일 뿐만 아니라 위협 행위자에 대항하기 시작할 절호의 기회라고 생각합니다.지침의 핵심은 제거하려는 노력입니다. 범주 취약점을 파악하고 업계 전반이 이 목표에 집중한다면 수십 년 만에 디지털 안전에 가장 중요하고 긍정적인 영향을 미칠 수 있습니다.
우리는 이 운동이 중요하다고 생각합니다. 그리고 우리의 최신 연구 논문은 보안 기술 벤치마킹: 기업의 보안 설계 간소화 기업 수준에서 실제 Secure By-Design 이니셔티브를 심층적으로 분석하고 데이터 기반 결과를 기반으로 모범 사례 접근 방식을 도출한 결과입니다.
조직의 보안 설계 노력의 ROI 측정
오랫동안 확립되어 온 소프트웨어 개발 관행의 개편은 결코 쉬운 일이 아닙니다.CISO는 보안 프로그램 활동의 ROI (투자 수익률) 와 비즈니스 가치를 사람과 회사 차원에서 모두 입증하려고 할 때 종종 어려움을 겪습니다. 많은 사람들이 예산 절감에 대한 불만이 커지고 새로운 사이버 이니셔티브에 대한 최고 경영진의 동의가 부족하다고 표현합니다.하지만 여기서는 데이터 기반 제안이 큰 차이를 만들 수 있습니다.
최근 몇 년 동안 조직이 업계 표준에 따라 추적 방법을 평가할 수 있는 기술 벤치마크의 부재가 주요 과제로 떠올랐습니다.이로 인해 올바른 영역에 영향을 미치고 성공적인 소프트웨어 보안 관행의 핵심 요소인 개발 집단의 지속적인 개선을 촉진하는 보안 프로그램을 고안하고 구현하기가 매우 어려워졌습니다.
Secure-by-Design 이니셔티브를 성공으로 이끄는 핵심은 개발자에게 보안 코드를 보장하는 기술을 제공할 뿐만 아니라 규제 기관에 이러한 기술이 제대로 적용되도록 하는 것입니다.그래서 개발자 팀의 준비 상태를 분석하기로 결정했는데 놀라운 결과가 나올 수도 있습니다.
SBD 이니셔티브를 가속화하려는 기업이 신뢰 점수를 활용할 수 있는 방법
어디서부터 시작하고 어디로 가야 하는지에 대한 확실한 아이디어가 없으면 효율적으로 개선하기가 사실상 불가능합니다.하지만 수백 명의 기업 고객이 효과적으로 활용하고 있습니다. SCW 트러스트 스코어—개발자 팀의 보안 역량을 수치화하는 글로벌 벤치마크로, 유용하고 세분화된 데이터 포인트를 제공합니다.이러한 인사이트는 Secure By-Design 이니셔티브를 성공적으로 추진하는 데 도움이 되는 매우 효과적인 개발자 중심의 보안 프로그램을 형성합니다.
백서에 나와 있는 분석 결과에 따르면 주요 인프라 산업 전반의 조직은 개발자들이 SBD 이니셔티브를 발전시킬 수 있도록 준비하는 데 진전을 보이고 있습니다.또한 이러한 업계의 개발자 팀은 평균적인 보안 태세를 갖추고 있다는 사실도 알게 되었습니다.
주요 인프라 산업 전반의 개발자 기술 향상에 대한 Secure Code Warrior의 분석은 전 세계 600개 기업 고객과 250,000명 이상의 활동 중인 개발자를 대상으로 한 2천만 개 이상의 데이터 포인트에서 얻은 통찰력을 기반으로 합니다.분석 결과 다음과 같은 사실이 밝혀졌습니다.
- 현재 개발자 중심의 SBD 업스킬링 이니셔티브에 참여하고 있는 전체 개발자 수는 전 세계 전체 개발자의 4% 미만입니다.
- 금융 서비스 업계는 336점으로 가장 높은 신뢰 점수를 받았습니다.
- 대부분의 대규모 Secure-by-Design 업스킬링 이니셔티브는 성공적이지만 소규모 이니셔티브는 분산되어 있는 경향이 있습니다.그러나 위임장이 주어지면 측정 가능한 투자 수익률 (ROI) 을 더 빨리 달성하는 것으로 나타났습니다.
- 업스킬링 이니셔티브가 확고하게 자리 잡으면 개발자가 애플리케이션에서 야기하는 위험이 훨씬 줄어듭니다.분석 결과 대규모 업스킬링 이니셔티브에 참여하는 개발자 (단일 회사에서 개발자 7,000명 이상) 는 취약성을 예측 가능한 수준으로 47~ 53% 줄일 수 있는 것으로 나타났습니다.
솔루션 | 결론
SCW Trust Score는 모든 보안 리더가 사용할 수 있는 강력한 도구로, 조직 내 특정 영역을 포괄적으로 분석할 수 있습니다.보고서는 언어, 팀 또는 범주에 따라 필터링할 수 있어 기업이 개발자 또는 팀의 특정 요구 사항을 해결하고 추가 교육이나 코칭이 필요한 영역을 식별할 수 있는 맞춤형 보고서를 생성할 수 있습니다.결국 보안은 끝없는 노력입니다. 성능을 효과적으로 벤치마킹하면 지속적인 개선의 기회를 식별하는 데 도움이 됩니다.
소프트웨어 개발 및 배포가 가속화되고, 그 어느 때보다 위협적인 사이버 위협 환경과 점점 더 매파의 시선을 받는 규제 기관이 맞물리면서 사이버 보안이 최우선 과제로 떠올랐습니다.아직 하지 않았다면 조직은 전사적 보안 우선 문화를 조성하는 데 우선 순위를 두어야 합니다.
CISA의 모습을 목격하게 되어 가슴이 벅차오르고 있습니다. 보안을 고려한 설계 미국, 호주, 뉴질랜드, 캐나다, 싱가포르, 일본, 독일 및 영국이 유사한 지침을 광범위한 사이버 보안 전략에 적용하기로 약속하고 이들 국가 중 상당수가 원래 권장 사항에 기여함에 따라 전 세계적으로 (SBD) 움직임이 가속화되고 있습니다.
2024년 4월 이후, 다음을 포함한 200개 이상의 기업 시큐어 코드 워리어, 서명했습니다 보안을 고려한 설계 서약이는 더 높은 소프트웨어 품질 및 보안 표준에 대한 업계의 광범위한 노력을 나타냅니다.우리는 소프트웨어 개발의 중대한 문화적 변화에 대해 처음으로 전 세계 정부의 지원을 받게 된 사이버 보안 리더들에게 이 지침이 중요한 순간이라고 생각합니다.미국 정부에 직접 판매하는 소프트웨어 공급업체 외에는 이러한 권장 사항이 아직 필수 사항은 아니지만, 저는 이것이 단지 미래일 뿐만 아니라 위협 행위자에 대항하기 시작할 절호의 기회라고 생각합니다.지침의 핵심은 제거하려는 노력입니다. 범주 취약점을 파악하고 업계 전반이 이 목표에 집중한다면 수십 년 만에 디지털 안전에 가장 중요하고 긍정적인 영향을 미칠 수 있습니다.
우리는 이 운동이 중요하다고 생각합니다. 그리고 우리의 최신 연구 논문은 보안 기술 벤치마킹: 기업의 보안 설계 간소화 기업 수준에서 실제 Secure By-Design 이니셔티브를 심층적으로 분석하고 데이터 기반 결과를 기반으로 모범 사례 접근 방식을 도출한 결과입니다.
조직의 보안 설계 노력의 ROI 측정
오랫동안 확립되어 온 소프트웨어 개발 관행의 개편은 결코 쉬운 일이 아닙니다.CISO는 보안 프로그램 활동의 ROI (투자 수익률) 와 비즈니스 가치를 사람과 회사 차원에서 모두 입증하려고 할 때 종종 어려움을 겪습니다. 많은 사람들이 예산 절감에 대한 불만이 커지고 새로운 사이버 이니셔티브에 대한 최고 경영진의 동의가 부족하다고 표현합니다.하지만 여기서는 데이터 기반 제안이 큰 차이를 만들 수 있습니다.
최근 몇 년 동안 조직이 업계 표준에 따라 추적 방법을 평가할 수 있는 기술 벤치마크의 부재가 주요 과제로 떠올랐습니다.이로 인해 올바른 영역에 영향을 미치고 성공적인 소프트웨어 보안 관행의 핵심 요소인 개발 집단의 지속적인 개선을 촉진하는 보안 프로그램을 고안하고 구현하기가 매우 어려워졌습니다.
Secure-by-Design 이니셔티브를 성공으로 이끄는 핵심은 개발자에게 보안 코드를 보장하는 기술을 제공할 뿐만 아니라 규제 기관에 이러한 기술이 제대로 적용되도록 하는 것입니다.그래서 개발자 팀의 준비 상태를 분석하기로 결정했는데 놀라운 결과가 나올 수도 있습니다.
SBD 이니셔티브를 가속화하려는 기업이 신뢰 점수를 활용할 수 있는 방법
어디서부터 시작하고 어디로 가야 하는지에 대한 확실한 아이디어가 없으면 효율적으로 개선하기가 사실상 불가능합니다.하지만 수백 명의 기업 고객이 효과적으로 활용하고 있습니다. SCW 트러스트 스코어—개발자 팀의 보안 역량을 수치화하는 글로벌 벤치마크로, 유용하고 세분화된 데이터 포인트를 제공합니다.이러한 인사이트는 Secure By-Design 이니셔티브를 성공적으로 추진하는 데 도움이 되는 매우 효과적인 개발자 중심의 보안 프로그램을 형성합니다.
백서에 나와 있는 분석 결과에 따르면 주요 인프라 산업 전반의 조직은 개발자들이 SBD 이니셔티브를 발전시킬 수 있도록 준비하는 데 진전을 보이고 있습니다.또한 이러한 업계의 개발자 팀은 평균적인 보안 태세를 갖추고 있다는 사실도 알게 되었습니다.
주요 인프라 산업 전반의 개발자 기술 향상에 대한 Secure Code Warrior의 분석은 전 세계 600개 기업 고객과 250,000명 이상의 활동 중인 개발자를 대상으로 한 2천만 개 이상의 데이터 포인트에서 얻은 통찰력을 기반으로 합니다.분석 결과 다음과 같은 사실이 밝혀졌습니다.
- 현재 개발자 중심의 SBD 업스킬링 이니셔티브에 참여하고 있는 전체 개발자 수는 전 세계 전체 개발자의 4% 미만입니다.
- 금융 서비스 업계는 336점으로 가장 높은 신뢰 점수를 받았습니다.
- 대부분의 대규모 Secure-by-Design 업스킬링 이니셔티브는 성공적이지만 소규모 이니셔티브는 분산되어 있는 경향이 있습니다.그러나 위임장이 주어지면 측정 가능한 투자 수익률 (ROI) 을 더 빨리 달성하는 것으로 나타났습니다.
- 업스킬링 이니셔티브가 확고하게 자리 잡으면 개발자가 애플리케이션에서 야기하는 위험이 훨씬 줄어듭니다.분석 결과 대규모 업스킬링 이니셔티브에 참여하는 개발자 (단일 회사에서 개발자 7,000명 이상) 는 취약성을 예측 가능한 수준으로 47~ 53% 줄일 수 있는 것으로 나타났습니다.
솔루션 | 결론
SCW Trust Score는 모든 보안 리더가 사용할 수 있는 강력한 도구로, 조직 내 특정 영역을 포괄적으로 분석할 수 있습니다.보고서는 언어, 팀 또는 범주에 따라 필터링할 수 있어 기업이 개발자 또는 팀의 특정 요구 사항을 해결하고 추가 교육이나 코칭이 필요한 영역을 식별할 수 있는 맞춤형 보고서를 생성할 수 있습니다.결국 보안은 끝없는 노력입니다. 성능을 효과적으로 벤치마킹하면 지속적인 개선의 기회를 식별하는 데 도움이 됩니다.
소프트웨어 개발 및 배포가 가속화되고, 그 어느 때보다 위협적인 사이버 위협 환경과 점점 더 매파의 시선을 받는 규제 기관이 맞물리면서 사이버 보안이 최우선 과제로 떠올랐습니다.아직 하지 않았다면 조직은 전사적 보안 우선 문화를 조성하는 데 우선 순위를 두어야 합니다.
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Consulter le rapportVeuillez prendre rendez-vous pour une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
CISA의 모습을 목격하게 되어 가슴이 벅차오르고 있습니다. 보안을 고려한 설계 미국, 호주, 뉴질랜드, 캐나다, 싱가포르, 일본, 독일 및 영국이 유사한 지침을 광범위한 사이버 보안 전략에 적용하기로 약속하고 이들 국가 중 상당수가 원래 권장 사항에 기여함에 따라 전 세계적으로 (SBD) 움직임이 가속화되고 있습니다.
2024년 4월 이후, 다음을 포함한 200개 이상의 기업 시큐어 코드 워리어, 서명했습니다 보안을 고려한 설계 서약이는 더 높은 소프트웨어 품질 및 보안 표준에 대한 업계의 광범위한 노력을 나타냅니다.우리는 소프트웨어 개발의 중대한 문화적 변화에 대해 처음으로 전 세계 정부의 지원을 받게 된 사이버 보안 리더들에게 이 지침이 중요한 순간이라고 생각합니다.미국 정부에 직접 판매하는 소프트웨어 공급업체 외에는 이러한 권장 사항이 아직 필수 사항은 아니지만, 저는 이것이 단지 미래일 뿐만 아니라 위협 행위자에 대항하기 시작할 절호의 기회라고 생각합니다.지침의 핵심은 제거하려는 노력입니다. 범주 취약점을 파악하고 업계 전반이 이 목표에 집중한다면 수십 년 만에 디지털 안전에 가장 중요하고 긍정적인 영향을 미칠 수 있습니다.
우리는 이 운동이 중요하다고 생각합니다. 그리고 우리의 최신 연구 논문은 보안 기술 벤치마킹: 기업의 보안 설계 간소화 기업 수준에서 실제 Secure By-Design 이니셔티브를 심층적으로 분석하고 데이터 기반 결과를 기반으로 모범 사례 접근 방식을 도출한 결과입니다.
조직의 보안 설계 노력의 ROI 측정
오랫동안 확립되어 온 소프트웨어 개발 관행의 개편은 결코 쉬운 일이 아닙니다.CISO는 보안 프로그램 활동의 ROI (투자 수익률) 와 비즈니스 가치를 사람과 회사 차원에서 모두 입증하려고 할 때 종종 어려움을 겪습니다. 많은 사람들이 예산 절감에 대한 불만이 커지고 새로운 사이버 이니셔티브에 대한 최고 경영진의 동의가 부족하다고 표현합니다.하지만 여기서는 데이터 기반 제안이 큰 차이를 만들 수 있습니다.
최근 몇 년 동안 조직이 업계 표준에 따라 추적 방법을 평가할 수 있는 기술 벤치마크의 부재가 주요 과제로 떠올랐습니다.이로 인해 올바른 영역에 영향을 미치고 성공적인 소프트웨어 보안 관행의 핵심 요소인 개발 집단의 지속적인 개선을 촉진하는 보안 프로그램을 고안하고 구현하기가 매우 어려워졌습니다.
Secure-by-Design 이니셔티브를 성공으로 이끄는 핵심은 개발자에게 보안 코드를 보장하는 기술을 제공할 뿐만 아니라 규제 기관에 이러한 기술이 제대로 적용되도록 하는 것입니다.그래서 개발자 팀의 준비 상태를 분석하기로 결정했는데 놀라운 결과가 나올 수도 있습니다.
SBD 이니셔티브를 가속화하려는 기업이 신뢰 점수를 활용할 수 있는 방법
어디서부터 시작하고 어디로 가야 하는지에 대한 확실한 아이디어가 없으면 효율적으로 개선하기가 사실상 불가능합니다.하지만 수백 명의 기업 고객이 효과적으로 활용하고 있습니다. SCW 트러스트 스코어—개발자 팀의 보안 역량을 수치화하는 글로벌 벤치마크로, 유용하고 세분화된 데이터 포인트를 제공합니다.이러한 인사이트는 Secure By-Design 이니셔티브를 성공적으로 추진하는 데 도움이 되는 매우 효과적인 개발자 중심의 보안 프로그램을 형성합니다.
백서에 나와 있는 분석 결과에 따르면 주요 인프라 산업 전반의 조직은 개발자들이 SBD 이니셔티브를 발전시킬 수 있도록 준비하는 데 진전을 보이고 있습니다.또한 이러한 업계의 개발자 팀은 평균적인 보안 태세를 갖추고 있다는 사실도 알게 되었습니다.
주요 인프라 산업 전반의 개발자 기술 향상에 대한 Secure Code Warrior의 분석은 전 세계 600개 기업 고객과 250,000명 이상의 활동 중인 개발자를 대상으로 한 2천만 개 이상의 데이터 포인트에서 얻은 통찰력을 기반으로 합니다.분석 결과 다음과 같은 사실이 밝혀졌습니다.
- 현재 개발자 중심의 SBD 업스킬링 이니셔티브에 참여하고 있는 전체 개발자 수는 전 세계 전체 개발자의 4% 미만입니다.
- 금융 서비스 업계는 336점으로 가장 높은 신뢰 점수를 받았습니다.
- 대부분의 대규모 Secure-by-Design 업스킬링 이니셔티브는 성공적이지만 소규모 이니셔티브는 분산되어 있는 경향이 있습니다.그러나 위임장이 주어지면 측정 가능한 투자 수익률 (ROI) 을 더 빨리 달성하는 것으로 나타났습니다.
- 업스킬링 이니셔티브가 확고하게 자리 잡으면 개발자가 애플리케이션에서 야기하는 위험이 훨씬 줄어듭니다.분석 결과 대규모 업스킬링 이니셔티브에 참여하는 개발자 (단일 회사에서 개발자 7,000명 이상) 는 취약성을 예측 가능한 수준으로 47~ 53% 줄일 수 있는 것으로 나타났습니다.
솔루션 | 결론
SCW Trust Score는 모든 보안 리더가 사용할 수 있는 강력한 도구로, 조직 내 특정 영역을 포괄적으로 분석할 수 있습니다.보고서는 언어, 팀 또는 범주에 따라 필터링할 수 있어 기업이 개발자 또는 팀의 특정 요구 사항을 해결하고 추가 교육이나 코칭이 필요한 영역을 식별할 수 있는 맞춤형 보고서를 생성할 수 있습니다.결국 보안은 끝없는 노력입니다. 성능을 효과적으로 벤치마킹하면 지속적인 개선의 기회를 식별하는 데 도움이 됩니다.
소프트웨어 개발 및 배포가 가속화되고, 그 어느 때보다 위협적인 사이버 위협 환경과 점점 더 매파의 시선을 받는 규제 기관이 맞물리면서 사이버 보안이 최우선 과제로 떠올랐습니다.아직 하지 않았다면 조직은 전사적 보안 우선 문화를 조성하는 데 우선 순위를 두어야 합니다.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.TéléchargerRessources utiles pour débuter
Thèmes et contenus de la formation sur les codes de sécurité
Le contenu le plus pertinent du secteur évolue constamment pour s'adapter à l'environnement de développement logiciel en constante évolution, en tenant compte du rôle des clients. Des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité, tous les rôles sont couverts, de l'IA à l'injection XQuery. Veuillez consulter le catalogue de contenu pour découvrir ce qui est proposé par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources utiles pour débuter
Cybermon est de retour : la mission IA de défaite du boss est désormais disponible à la demande.
Cybermon 2025 Bit The Boss est désormais disponible toute l'année sur SCW. Renforcez le développement de l'IA de sécurité à grande échelle en déployant des défis de sécurité IA/LLM avancés.
Explication de la loi sur la cyber-résilience : l'importance de la conception sécurisée dans le développement de logiciels
Découvrez les exigences de la loi européenne sur la résilience des réseaux et des services (CRA), son champ d'application et comment votre équipe d'ingénieurs peut se préparer en toute sécurité grâce à la conception, aux pratiques, à la prévention des vulnérabilités et à la mise en place d'un environnement de développement.
Facteur de réussite n° 1 : des critères de réussite clairement définis et mesurables
Enabler 1 présente une série de dix articles consacrés aux facteurs de réussite, en démontrant comment le codage sécurisé peut améliorer les performances commerciales, notamment en accélérant la réduction des risques et des coûts pour la maturité des programmes à long terme.
