고급 보안 인텔리전스: 개발자가 NIST를 준비하도록 돕는 가이드 과정
최근 사이버 보안 업계에서는 매우 환영받는 움직임이 있었습니다.많은 조직에서 가능한 한 빨리 소프트웨어 빌드의 보안 우선 순위를 정하는 것에 대한 정서가 개선되기 시작한 것 같습니다.여기에 다음과 같은 공식 조치가 더해져 사이버 보안에 관한 바이든의 행정 명령는 소프트웨어 보안 및 데이터 안전을 보장하기 위해 모든 사람이 각자의 역할을 다해야 한다는 점을 분명히 했습니다.특히 흥미로운 점은 보안 코딩 표준을 유지하는 데있어 개발자의 역할을 둘러싼 논의가 정부 차원에서도 계속 진화하고 있다는 것입니다.
하지만 대화에서 빠진 부분이 있습니다.행정 명령에 따르면 개발자에게는 검증된 보안 기술이 필요합니다그러나 이러한 공식 인증은 현재 존재하지 않습니다.많은 기업들이 여전히 다음과 같은 지침을 따르고 있습니다. NIST (EO에 대응하여 업데이트된 지침을 제공한 회사) 는 소프트웨어 보안의 규정 준수와 더 높은 표준을 추구했습니다. 하지만 적절한 도구를 통합하고 릴리스 속도를 유지하면서 취약성을 크게 줄이는 전략을 생각한다면 대부분은 원하는 결과를 내기에는 너무 일반적인 전략일 뿐입니다.많은 기업들이 제한적인 개발자 교육으로 어려움을 겪거나 실용적인 실무 기술을 갖추기 위한 일반적인 토대를 구축하지 않는 경우가 바로 여기에 있습니다.
보안을 잘 아는 개발자는 나무 위에서 자라지 않지만 적절한 도구를 사용하면 훨씬 더 빠르게 육성하고 성장시킬 수 있습니다.이를 위해 자체 개발 개발 제품을 발표하게 되어 기쁩니다. 과정 미국 정부 행정 명령의 지침에 따라 NIST 준수를 위해
개발자를 위한 의미 있는 코드 수준 지원
행정 명령에 중요한 (EO-크리티컬) 소프트웨어에 대한 NIST 지침 사용 이리, 우리는 궁극적으로는 최고 수준의 정부에서 사용 중인 필수 소프트웨어의 보안을 개선하고 이상적으로는 처음부터 고품질 개발을 위한 벤치마킹 역할을 해야 하는 다섯 가지 주요 목표를 달성하도록 과정을 구성했습니다.
개발 코호트에서 진정한 성과를 거두려면 모든 기술 향상이 이론을 넘어서야 하며, 해답을 찾고 민첩성을 유지하기 위해 업무와 교육 간에 컨텍스트를 계속 전환하지 않는 방식으로 구현되어야 합니다.세심한 보안 관행 (보안팀은 말할 것도 없고) 은 정시 개발 스프린트를 방해하는 요소로 간주되어 일반적인 기능 중심 엔지니어의 스타일을 심각하게 훼손합니다.
개발자의 요구에 맞게 맞춤화된 짧고 간단한 마이크로 러닝은 훨씬 덜 거칠게 받아들여지고 기억에 남는 실용적인 기술 구축으로 이어집니다.
NIST 과정을 위해 이 내용을 어떻게 구성했는지 살펴보세요.
목표 1: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼을 무단 액세스 및 사용으로부터 보호합니다.
공격자는 잘못된 보안 구성과 부적절한 인증 방식을 이용하여 성공적으로 시스템에 침투하고 계정을 탈취하고 데이터를 훔칩니다.이러한 버그는 악용에 성공할 경우 큰 문제를 일으킬 수 있는 흔한 버그입니다.
에서 보안 코드 워리어 학습 플랫폼, 개발자는 이러한 버그가 일상 업무에서 어떻게 나타나는지 정확하게 반영하는 실제 코드 스니펫을 기반으로 챌린지를 플레이하고 버그를 보호하기 위한 정확한 솔루션을 찾도록 할 수 있습니다.DevOps 엔지니어의 경우 인프라를 보호하려면 세심한 액세스 제어 구성이 필요하며, Terraform, CloudFormation 및 Ansible과 같은 IaC (Infrastructure as Code) 언어와 Docker 및 Kubernetes에서 사용되는 코드에서는 이러한 요구 사항을 충족하기 위한 특별한 과제가 있습니다.
목표 2: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼에서 사용하는 데이터의 기밀성, 무결성 및 가용성을 보호합니다.
이를 위해 모든 도로는 출입 통제로 이어집니다.출입 통제가 끊어지면서 최근에 맨 위 출입구의 분사 결함이 사라졌습니다. OWASP 탑 10 2021, 그리고 이는 보안을 잘 아는 개발자의 기술이 필요한 심각한 버그이며 가능한 한 빨리 찾아서 수정해야 합니다.
이 강좌에서는 코드 수준에서의 최소 권한과 같은 개념을 다루며 사용자 계정에 대한 액세스를 필요한 영역으로만 제한하는 방법을 모범 사례로 익히는 데 도움이 됩니다.
목표 3: EO에 중요한 소프트웨어 플랫폼과 해당 플랫폼에 배포된 소프트웨어를 식별하고 유지하여 EO에 중요한 소프트웨어가 악용되지 않도록 보호합니다.
대규모 조직의 가장 큰 과제 중 하나는 현재 사용 중인 다양한 소프트웨어, 시스템 및 구성 요소에 대한 보안 감독을 유지하는 것입니다.위험 관리 및 패치 적용과 관련해서는 모든 보안 프로그램에서 이러한 요소를 우선 순위에 두어야 하며, 개발자는 보안 유지 관리를 수행해야 합니다.
Secure Code Warrior Learning Platform에서 개발자는 취약한 구성 요소뿐만 아니라 권한 기반 보안 구성 오류를 식별하고 수정하는 데 도움이 되는 챌린지를 플레이할 수 있습니다.
목표 4: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼과 관련된 위협과 사고를 신속하게 탐지, 대응 및 복구합니다.
안타깝게도 많은 조직이 사이버 보안 문제를 처리할 때 예방이 아닌 사고 대응에 초점을 맞추고 있다는 것은 안타깝고 시간과 비용의 낭비이기도 합니다.이러한 문화는 우리가 변화를 위해 싸우고 있으며, 개발자는 보안 모범 사례에 대한 적절한 교육을 받으면 예방적 무력을 제공할 수 있습니다.
목표 4에서는 개발자가 자신의 역할과 관련하여 소프트웨어 및 네트워크 수준 모두에서 환경 및 엔드포인트의 보안을 지속적으로 모니터링할 것을 요구합니다.불충분한 로깅 및 모니터링은 또 다른 흔하고 교활한 버그이며, 엔지니어가 일상 업무에서 이러한 문제를 성공적으로 해결할 수 있어야 합니다.
Secure Code Warrior Learning Platform에서 개발자는 웹, API 또는 클라우드 언어로 작업하든 관계없이 챌린지를 통해 이러한 기술을 연마할 수 있습니다.
지속 가능성을 통한 보안 인식.
목표 5: EO에 중요한 소프트웨어 및 EO에 중요한 소프트웨어 플랫폼의 보안을 촉진하는 인간의 행동에 대한 이해와 성과를 강화합니다.
이것은 매우 일반화되어 있지만 달성하는 것이 가장 중요합니다... 그리고 처음 네 가지 목표를 달성하지 않고는 할 수 없습니다.이 지침에서는 보안 인식 활동을 자주 수행하고, EO에 중요한 소프트웨어에 대한 모든 “인적 조치”는 역할과 책임의 맥락에서 적절한 교육을 받은 사람이 수행하도록 요구합니다.
개발자는 보안 구성 및 액세스 제어 외에도 코드를 가장 가까이서 개인적으로 다루는 사람들입니다.개발자의 보안 기술을 길러야 합니다. 특히 대규모 개발 집단의 경우 NIST에서 제시한 높은 표준을 달성하려면 실습 과정 구조가 이를 해결하는 효율적인 방법일 수 있습니다.
추가 시작 현재 개발 팀의 경험 포인트 및 보안 IQ에 대한 정보입니다.
개발자는 보안 구성 및 액세스 제어 외에도 코드를 가장 가까이서 개인적으로 다루는 사람들입니다.개발자의 보안 기술을 길러야 합니다. 특히 대규모 개발 집단의 경우 NIST에서 제시한 높은 표준을 달성하려면 실습 과정 구조가 이를 해결하는 효율적인 방법일 수 있습니다.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
최근 사이버 보안 업계에서는 매우 환영받는 움직임이 있었습니다.많은 조직에서 가능한 한 빨리 소프트웨어 빌드의 보안 우선 순위를 정하는 것에 대한 정서가 개선되기 시작한 것 같습니다.여기에 다음과 같은 공식 조치가 더해져 사이버 보안에 관한 바이든의 행정 명령는 소프트웨어 보안 및 데이터 안전을 보장하기 위해 모든 사람이 각자의 역할을 다해야 한다는 점을 분명히 했습니다.특히 흥미로운 점은 보안 코딩 표준을 유지하는 데있어 개발자의 역할을 둘러싼 논의가 정부 차원에서도 계속 진화하고 있다는 것입니다.
하지만 대화에서 빠진 부분이 있습니다.행정 명령에 따르면 개발자에게는 검증된 보안 기술이 필요합니다그러나 이러한 공식 인증은 현재 존재하지 않습니다.많은 기업들이 여전히 다음과 같은 지침을 따르고 있습니다. NIST (EO에 대응하여 업데이트된 지침을 제공한 회사) 는 소프트웨어 보안의 규정 준수와 더 높은 표준을 추구했습니다. 하지만 적절한 도구를 통합하고 릴리스 속도를 유지하면서 취약성을 크게 줄이는 전략을 생각한다면 대부분은 원하는 결과를 내기에는 너무 일반적인 전략일 뿐입니다.많은 기업들이 제한적인 개발자 교육으로 어려움을 겪거나 실용적인 실무 기술을 갖추기 위한 일반적인 토대를 구축하지 않는 경우가 바로 여기에 있습니다.
보안을 잘 아는 개발자는 나무 위에서 자라지 않지만 적절한 도구를 사용하면 훨씬 더 빠르게 육성하고 성장시킬 수 있습니다.이를 위해 자체 개발 개발 제품을 발표하게 되어 기쁩니다. 과정 미국 정부 행정 명령의 지침에 따라 NIST 준수를 위해
개발자를 위한 의미 있는 코드 수준 지원
행정 명령에 중요한 (EO-크리티컬) 소프트웨어에 대한 NIST 지침 사용 이리, 우리는 궁극적으로는 최고 수준의 정부에서 사용 중인 필수 소프트웨어의 보안을 개선하고 이상적으로는 처음부터 고품질 개발을 위한 벤치마킹 역할을 해야 하는 다섯 가지 주요 목표를 달성하도록 과정을 구성했습니다.
개발 코호트에서 진정한 성과를 거두려면 모든 기술 향상이 이론을 넘어서야 하며, 해답을 찾고 민첩성을 유지하기 위해 업무와 교육 간에 컨텍스트를 계속 전환하지 않는 방식으로 구현되어야 합니다.세심한 보안 관행 (보안팀은 말할 것도 없고) 은 정시 개발 스프린트를 방해하는 요소로 간주되어 일반적인 기능 중심 엔지니어의 스타일을 심각하게 훼손합니다.
개발자의 요구에 맞게 맞춤화된 짧고 간단한 마이크로 러닝은 훨씬 덜 거칠게 받아들여지고 기억에 남는 실용적인 기술 구축으로 이어집니다.
NIST 과정을 위해 이 내용을 어떻게 구성했는지 살펴보세요.
목표 1: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼을 무단 액세스 및 사용으로부터 보호합니다.
공격자는 잘못된 보안 구성과 부적절한 인증 방식을 이용하여 성공적으로 시스템에 침투하고 계정을 탈취하고 데이터를 훔칩니다.이러한 버그는 악용에 성공할 경우 큰 문제를 일으킬 수 있는 흔한 버그입니다.
에서 보안 코드 워리어 학습 플랫폼, 개발자는 이러한 버그가 일상 업무에서 어떻게 나타나는지 정확하게 반영하는 실제 코드 스니펫을 기반으로 챌린지를 플레이하고 버그를 보호하기 위한 정확한 솔루션을 찾도록 할 수 있습니다.DevOps 엔지니어의 경우 인프라를 보호하려면 세심한 액세스 제어 구성이 필요하며, Terraform, CloudFormation 및 Ansible과 같은 IaC (Infrastructure as Code) 언어와 Docker 및 Kubernetes에서 사용되는 코드에서는 이러한 요구 사항을 충족하기 위한 특별한 과제가 있습니다.
목표 2: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼에서 사용하는 데이터의 기밀성, 무결성 및 가용성을 보호합니다.
이를 위해 모든 도로는 출입 통제로 이어집니다.출입 통제가 끊어지면서 최근에 맨 위 출입구의 분사 결함이 사라졌습니다. OWASP 탑 10 2021, 그리고 이는 보안을 잘 아는 개발자의 기술이 필요한 심각한 버그이며 가능한 한 빨리 찾아서 수정해야 합니다.
이 강좌에서는 코드 수준에서의 최소 권한과 같은 개념을 다루며 사용자 계정에 대한 액세스를 필요한 영역으로만 제한하는 방법을 모범 사례로 익히는 데 도움이 됩니다.
목표 3: EO에 중요한 소프트웨어 플랫폼과 해당 플랫폼에 배포된 소프트웨어를 식별하고 유지하여 EO에 중요한 소프트웨어가 악용되지 않도록 보호합니다.
대규모 조직의 가장 큰 과제 중 하나는 현재 사용 중인 다양한 소프트웨어, 시스템 및 구성 요소에 대한 보안 감독을 유지하는 것입니다.위험 관리 및 패치 적용과 관련해서는 모든 보안 프로그램에서 이러한 요소를 우선 순위에 두어야 하며, 개발자는 보안 유지 관리를 수행해야 합니다.
Secure Code Warrior Learning Platform에서 개발자는 취약한 구성 요소뿐만 아니라 권한 기반 보안 구성 오류를 식별하고 수정하는 데 도움이 되는 챌린지를 플레이할 수 있습니다.
목표 4: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼과 관련된 위협과 사고를 신속하게 탐지, 대응 및 복구합니다.
안타깝게도 많은 조직이 사이버 보안 문제를 처리할 때 예방이 아닌 사고 대응에 초점을 맞추고 있다는 것은 안타깝고 시간과 비용의 낭비이기도 합니다.이러한 문화는 우리가 변화를 위해 싸우고 있으며, 개발자는 보안 모범 사례에 대한 적절한 교육을 받으면 예방적 무력을 제공할 수 있습니다.
목표 4에서는 개발자가 자신의 역할과 관련하여 소프트웨어 및 네트워크 수준 모두에서 환경 및 엔드포인트의 보안을 지속적으로 모니터링할 것을 요구합니다.불충분한 로깅 및 모니터링은 또 다른 흔하고 교활한 버그이며, 엔지니어가 일상 업무에서 이러한 문제를 성공적으로 해결할 수 있어야 합니다.
Secure Code Warrior Learning Platform에서 개발자는 웹, API 또는 클라우드 언어로 작업하든 관계없이 챌린지를 통해 이러한 기술을 연마할 수 있습니다.
지속 가능성을 통한 보안 인식.
목표 5: EO에 중요한 소프트웨어 및 EO에 중요한 소프트웨어 플랫폼의 보안을 촉진하는 인간의 행동에 대한 이해와 성과를 강화합니다.
이것은 매우 일반화되어 있지만 달성하는 것이 가장 중요합니다... 그리고 처음 네 가지 목표를 달성하지 않고는 할 수 없습니다.이 지침에서는 보안 인식 활동을 자주 수행하고, EO에 중요한 소프트웨어에 대한 모든 “인적 조치”는 역할과 책임의 맥락에서 적절한 교육을 받은 사람이 수행하도록 요구합니다.
개발자는 보안 구성 및 액세스 제어 외에도 코드를 가장 가까이서 개인적으로 다루는 사람들입니다.개발자의 보안 기술을 길러야 합니다. 특히 대규모 개발 집단의 경우 NIST에서 제시한 높은 표준을 달성하려면 실습 과정 구조가 이를 해결하는 효율적인 방법일 수 있습니다.
추가 시작 현재 개발 팀의 경험 포인트 및 보안 IQ에 대한 정보입니다.
최근 사이버 보안 업계에서는 매우 환영받는 움직임이 있었습니다.많은 조직에서 가능한 한 빨리 소프트웨어 빌드의 보안 우선 순위를 정하는 것에 대한 정서가 개선되기 시작한 것 같습니다.여기에 다음과 같은 공식 조치가 더해져 사이버 보안에 관한 바이든의 행정 명령는 소프트웨어 보안 및 데이터 안전을 보장하기 위해 모든 사람이 각자의 역할을 다해야 한다는 점을 분명히 했습니다.특히 흥미로운 점은 보안 코딩 표준을 유지하는 데있어 개발자의 역할을 둘러싼 논의가 정부 차원에서도 계속 진화하고 있다는 것입니다.
하지만 대화에서 빠진 부분이 있습니다.행정 명령에 따르면 개발자에게는 검증된 보안 기술이 필요합니다그러나 이러한 공식 인증은 현재 존재하지 않습니다.많은 기업들이 여전히 다음과 같은 지침을 따르고 있습니다. NIST (EO에 대응하여 업데이트된 지침을 제공한 회사) 는 소프트웨어 보안의 규정 준수와 더 높은 표준을 추구했습니다. 하지만 적절한 도구를 통합하고 릴리스 속도를 유지하면서 취약성을 크게 줄이는 전략을 생각한다면 대부분은 원하는 결과를 내기에는 너무 일반적인 전략일 뿐입니다.많은 기업들이 제한적인 개발자 교육으로 어려움을 겪거나 실용적인 실무 기술을 갖추기 위한 일반적인 토대를 구축하지 않는 경우가 바로 여기에 있습니다.
보안을 잘 아는 개발자는 나무 위에서 자라지 않지만 적절한 도구를 사용하면 훨씬 더 빠르게 육성하고 성장시킬 수 있습니다.이를 위해 자체 개발 개발 제품을 발표하게 되어 기쁩니다. 과정 미국 정부 행정 명령의 지침에 따라 NIST 준수를 위해
개발자를 위한 의미 있는 코드 수준 지원
행정 명령에 중요한 (EO-크리티컬) 소프트웨어에 대한 NIST 지침 사용 이리, 우리는 궁극적으로는 최고 수준의 정부에서 사용 중인 필수 소프트웨어의 보안을 개선하고 이상적으로는 처음부터 고품질 개발을 위한 벤치마킹 역할을 해야 하는 다섯 가지 주요 목표를 달성하도록 과정을 구성했습니다.
개발 코호트에서 진정한 성과를 거두려면 모든 기술 향상이 이론을 넘어서야 하며, 해답을 찾고 민첩성을 유지하기 위해 업무와 교육 간에 컨텍스트를 계속 전환하지 않는 방식으로 구현되어야 합니다.세심한 보안 관행 (보안팀은 말할 것도 없고) 은 정시 개발 스프린트를 방해하는 요소로 간주되어 일반적인 기능 중심 엔지니어의 스타일을 심각하게 훼손합니다.
개발자의 요구에 맞게 맞춤화된 짧고 간단한 마이크로 러닝은 훨씬 덜 거칠게 받아들여지고 기억에 남는 실용적인 기술 구축으로 이어집니다.
NIST 과정을 위해 이 내용을 어떻게 구성했는지 살펴보세요.
목표 1: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼을 무단 액세스 및 사용으로부터 보호합니다.
공격자는 잘못된 보안 구성과 부적절한 인증 방식을 이용하여 성공적으로 시스템에 침투하고 계정을 탈취하고 데이터를 훔칩니다.이러한 버그는 악용에 성공할 경우 큰 문제를 일으킬 수 있는 흔한 버그입니다.
에서 보안 코드 워리어 학습 플랫폼, 개발자는 이러한 버그가 일상 업무에서 어떻게 나타나는지 정확하게 반영하는 실제 코드 스니펫을 기반으로 챌린지를 플레이하고 버그를 보호하기 위한 정확한 솔루션을 찾도록 할 수 있습니다.DevOps 엔지니어의 경우 인프라를 보호하려면 세심한 액세스 제어 구성이 필요하며, Terraform, CloudFormation 및 Ansible과 같은 IaC (Infrastructure as Code) 언어와 Docker 및 Kubernetes에서 사용되는 코드에서는 이러한 요구 사항을 충족하기 위한 특별한 과제가 있습니다.
목표 2: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼에서 사용하는 데이터의 기밀성, 무결성 및 가용성을 보호합니다.
이를 위해 모든 도로는 출입 통제로 이어집니다.출입 통제가 끊어지면서 최근에 맨 위 출입구의 분사 결함이 사라졌습니다. OWASP 탑 10 2021, 그리고 이는 보안을 잘 아는 개발자의 기술이 필요한 심각한 버그이며 가능한 한 빨리 찾아서 수정해야 합니다.
이 강좌에서는 코드 수준에서의 최소 권한과 같은 개념을 다루며 사용자 계정에 대한 액세스를 필요한 영역으로만 제한하는 방법을 모범 사례로 익히는 데 도움이 됩니다.
목표 3: EO에 중요한 소프트웨어 플랫폼과 해당 플랫폼에 배포된 소프트웨어를 식별하고 유지하여 EO에 중요한 소프트웨어가 악용되지 않도록 보호합니다.
대규모 조직의 가장 큰 과제 중 하나는 현재 사용 중인 다양한 소프트웨어, 시스템 및 구성 요소에 대한 보안 감독을 유지하는 것입니다.위험 관리 및 패치 적용과 관련해서는 모든 보안 프로그램에서 이러한 요소를 우선 순위에 두어야 하며, 개발자는 보안 유지 관리를 수행해야 합니다.
Secure Code Warrior Learning Platform에서 개발자는 취약한 구성 요소뿐만 아니라 권한 기반 보안 구성 오류를 식별하고 수정하는 데 도움이 되는 챌린지를 플레이할 수 있습니다.
목표 4: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼과 관련된 위협과 사고를 신속하게 탐지, 대응 및 복구합니다.
안타깝게도 많은 조직이 사이버 보안 문제를 처리할 때 예방이 아닌 사고 대응에 초점을 맞추고 있다는 것은 안타깝고 시간과 비용의 낭비이기도 합니다.이러한 문화는 우리가 변화를 위해 싸우고 있으며, 개발자는 보안 모범 사례에 대한 적절한 교육을 받으면 예방적 무력을 제공할 수 있습니다.
목표 4에서는 개발자가 자신의 역할과 관련하여 소프트웨어 및 네트워크 수준 모두에서 환경 및 엔드포인트의 보안을 지속적으로 모니터링할 것을 요구합니다.불충분한 로깅 및 모니터링은 또 다른 흔하고 교활한 버그이며, 엔지니어가 일상 업무에서 이러한 문제를 성공적으로 해결할 수 있어야 합니다.
Secure Code Warrior Learning Platform에서 개발자는 웹, API 또는 클라우드 언어로 작업하든 관계없이 챌린지를 통해 이러한 기술을 연마할 수 있습니다.
지속 가능성을 통한 보안 인식.
목표 5: EO에 중요한 소프트웨어 및 EO에 중요한 소프트웨어 플랫폼의 보안을 촉진하는 인간의 행동에 대한 이해와 성과를 강화합니다.
이것은 매우 일반화되어 있지만 달성하는 것이 가장 중요합니다... 그리고 처음 네 가지 목표를 달성하지 않고는 할 수 없습니다.이 지침에서는 보안 인식 활동을 자주 수행하고, EO에 중요한 소프트웨어에 대한 모든 “인적 조치”는 역할과 책임의 맥락에서 적절한 교육을 받은 사람이 수행하도록 요구합니다.
개발자는 보안 구성 및 액세스 제어 외에도 코드를 가장 가까이서 개인적으로 다루는 사람들입니다.개발자의 보안 기술을 길러야 합니다. 특히 대규모 개발 집단의 경우 NIST에서 제시한 높은 표준을 달성하려면 실습 과정 구조가 이를 해결하는 효율적인 방법일 수 있습니다.
추가 시작 현재 개발 팀의 경험 포인트 및 보안 IQ에 대한 정보입니다.
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Consulter le rapportVeuillez prendre rendez-vous pour une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
최근 사이버 보안 업계에서는 매우 환영받는 움직임이 있었습니다.많은 조직에서 가능한 한 빨리 소프트웨어 빌드의 보안 우선 순위를 정하는 것에 대한 정서가 개선되기 시작한 것 같습니다.여기에 다음과 같은 공식 조치가 더해져 사이버 보안에 관한 바이든의 행정 명령는 소프트웨어 보안 및 데이터 안전을 보장하기 위해 모든 사람이 각자의 역할을 다해야 한다는 점을 분명히 했습니다.특히 흥미로운 점은 보안 코딩 표준을 유지하는 데있어 개발자의 역할을 둘러싼 논의가 정부 차원에서도 계속 진화하고 있다는 것입니다.
하지만 대화에서 빠진 부분이 있습니다.행정 명령에 따르면 개발자에게는 검증된 보안 기술이 필요합니다그러나 이러한 공식 인증은 현재 존재하지 않습니다.많은 기업들이 여전히 다음과 같은 지침을 따르고 있습니다. NIST (EO에 대응하여 업데이트된 지침을 제공한 회사) 는 소프트웨어 보안의 규정 준수와 더 높은 표준을 추구했습니다. 하지만 적절한 도구를 통합하고 릴리스 속도를 유지하면서 취약성을 크게 줄이는 전략을 생각한다면 대부분은 원하는 결과를 내기에는 너무 일반적인 전략일 뿐입니다.많은 기업들이 제한적인 개발자 교육으로 어려움을 겪거나 실용적인 실무 기술을 갖추기 위한 일반적인 토대를 구축하지 않는 경우가 바로 여기에 있습니다.
보안을 잘 아는 개발자는 나무 위에서 자라지 않지만 적절한 도구를 사용하면 훨씬 더 빠르게 육성하고 성장시킬 수 있습니다.이를 위해 자체 개발 개발 제품을 발표하게 되어 기쁩니다. 과정 미국 정부 행정 명령의 지침에 따라 NIST 준수를 위해
개발자를 위한 의미 있는 코드 수준 지원
행정 명령에 중요한 (EO-크리티컬) 소프트웨어에 대한 NIST 지침 사용 이리, 우리는 궁극적으로는 최고 수준의 정부에서 사용 중인 필수 소프트웨어의 보안을 개선하고 이상적으로는 처음부터 고품질 개발을 위한 벤치마킹 역할을 해야 하는 다섯 가지 주요 목표를 달성하도록 과정을 구성했습니다.
개발 코호트에서 진정한 성과를 거두려면 모든 기술 향상이 이론을 넘어서야 하며, 해답을 찾고 민첩성을 유지하기 위해 업무와 교육 간에 컨텍스트를 계속 전환하지 않는 방식으로 구현되어야 합니다.세심한 보안 관행 (보안팀은 말할 것도 없고) 은 정시 개발 스프린트를 방해하는 요소로 간주되어 일반적인 기능 중심 엔지니어의 스타일을 심각하게 훼손합니다.
개발자의 요구에 맞게 맞춤화된 짧고 간단한 마이크로 러닝은 훨씬 덜 거칠게 받아들여지고 기억에 남는 실용적인 기술 구축으로 이어집니다.
NIST 과정을 위해 이 내용을 어떻게 구성했는지 살펴보세요.
목표 1: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼을 무단 액세스 및 사용으로부터 보호합니다.
공격자는 잘못된 보안 구성과 부적절한 인증 방식을 이용하여 성공적으로 시스템에 침투하고 계정을 탈취하고 데이터를 훔칩니다.이러한 버그는 악용에 성공할 경우 큰 문제를 일으킬 수 있는 흔한 버그입니다.
에서 보안 코드 워리어 학습 플랫폼, 개발자는 이러한 버그가 일상 업무에서 어떻게 나타나는지 정확하게 반영하는 실제 코드 스니펫을 기반으로 챌린지를 플레이하고 버그를 보호하기 위한 정확한 솔루션을 찾도록 할 수 있습니다.DevOps 엔지니어의 경우 인프라를 보호하려면 세심한 액세스 제어 구성이 필요하며, Terraform, CloudFormation 및 Ansible과 같은 IaC (Infrastructure as Code) 언어와 Docker 및 Kubernetes에서 사용되는 코드에서는 이러한 요구 사항을 충족하기 위한 특별한 과제가 있습니다.
목표 2: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼에서 사용하는 데이터의 기밀성, 무결성 및 가용성을 보호합니다.
이를 위해 모든 도로는 출입 통제로 이어집니다.출입 통제가 끊어지면서 최근에 맨 위 출입구의 분사 결함이 사라졌습니다. OWASP 탑 10 2021, 그리고 이는 보안을 잘 아는 개발자의 기술이 필요한 심각한 버그이며 가능한 한 빨리 찾아서 수정해야 합니다.
이 강좌에서는 코드 수준에서의 최소 권한과 같은 개념을 다루며 사용자 계정에 대한 액세스를 필요한 영역으로만 제한하는 방법을 모범 사례로 익히는 데 도움이 됩니다.
목표 3: EO에 중요한 소프트웨어 플랫폼과 해당 플랫폼에 배포된 소프트웨어를 식별하고 유지하여 EO에 중요한 소프트웨어가 악용되지 않도록 보호합니다.
대규모 조직의 가장 큰 과제 중 하나는 현재 사용 중인 다양한 소프트웨어, 시스템 및 구성 요소에 대한 보안 감독을 유지하는 것입니다.위험 관리 및 패치 적용과 관련해서는 모든 보안 프로그램에서 이러한 요소를 우선 순위에 두어야 하며, 개발자는 보안 유지 관리를 수행해야 합니다.
Secure Code Warrior Learning Platform에서 개발자는 취약한 구성 요소뿐만 아니라 권한 기반 보안 구성 오류를 식별하고 수정하는 데 도움이 되는 챌린지를 플레이할 수 있습니다.
목표 4: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼과 관련된 위협과 사고를 신속하게 탐지, 대응 및 복구합니다.
안타깝게도 많은 조직이 사이버 보안 문제를 처리할 때 예방이 아닌 사고 대응에 초점을 맞추고 있다는 것은 안타깝고 시간과 비용의 낭비이기도 합니다.이러한 문화는 우리가 변화를 위해 싸우고 있으며, 개발자는 보안 모범 사례에 대한 적절한 교육을 받으면 예방적 무력을 제공할 수 있습니다.
목표 4에서는 개발자가 자신의 역할과 관련하여 소프트웨어 및 네트워크 수준 모두에서 환경 및 엔드포인트의 보안을 지속적으로 모니터링할 것을 요구합니다.불충분한 로깅 및 모니터링은 또 다른 흔하고 교활한 버그이며, 엔지니어가 일상 업무에서 이러한 문제를 성공적으로 해결할 수 있어야 합니다.
Secure Code Warrior Learning Platform에서 개발자는 웹, API 또는 클라우드 언어로 작업하든 관계없이 챌린지를 통해 이러한 기술을 연마할 수 있습니다.
지속 가능성을 통한 보안 인식.
목표 5: EO에 중요한 소프트웨어 및 EO에 중요한 소프트웨어 플랫폼의 보안을 촉진하는 인간의 행동에 대한 이해와 성과를 강화합니다.
이것은 매우 일반화되어 있지만 달성하는 것이 가장 중요합니다... 그리고 처음 네 가지 목표를 달성하지 않고는 할 수 없습니다.이 지침에서는 보안 인식 활동을 자주 수행하고, EO에 중요한 소프트웨어에 대한 모든 “인적 조치”는 역할과 책임의 맥락에서 적절한 교육을 받은 사람이 수행하도록 요구합니다.
개발자는 보안 구성 및 액세스 제어 외에도 코드를 가장 가까이서 개인적으로 다루는 사람들입니다.개발자의 보안 기술을 길러야 합니다. 특히 대규모 개발 집단의 경우 NIST에서 제시한 높은 표준을 달성하려면 실습 과정 구조가 이를 해결하는 효율적인 방법일 수 있습니다.
추가 시작 현재 개발 팀의 경험 포인트 및 보안 IQ에 대한 정보입니다.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.TéléchargerRessources utiles pour débuter
Thèmes et contenus de la formation sur les codes de sécurité
Le contenu le plus pertinent du secteur évolue constamment pour s'adapter à l'environnement de développement logiciel en constante évolution, en tenant compte du rôle des clients. Des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité, tous les rôles sont couverts, de l'IA à l'injection XQuery. Veuillez consulter le catalogue de contenu pour découvrir ce qui est proposé par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources utiles pour débuter
Cybermon est de retour : la mission IA de défaite du boss est désormais disponible à la demande.
Cybermon 2025 Bit The Boss est désormais disponible toute l'année sur SCW. Renforcez le développement de l'IA de sécurité à grande échelle en déployant des défis de sécurité IA/LLM avancés.
Explication de la loi sur la cyber-résilience : l'importance de la conception sécurisée dans le développement de logiciels
Découvrez les exigences de la loi européenne sur la résilience des réseaux et des services (CRA), son champ d'application et comment votre équipe d'ingénieurs peut se préparer en toute sécurité grâce à la conception, aux pratiques, à la prévention des vulnérabilités et à la mise en place d'un environnement de développement.
Facteur de réussite n° 1 : des critères de réussite clairement définis et mesurables
Enabler 1 présente une série de dix articles consacrés aux facteurs de réussite, en démontrant comment le codage sécurisé peut améliorer les performances commerciales, notamment en accélérant la réduction des risques et des coûts pour la maturité des programmes à long terme.
