개발자에게 인센티브를 제공하는 것이 보안 관행 개선의 핵심입니다
사이버 위협 환경은 날이 갈수록 복잡해지고 있습니다.공격자들은 취약한 애플리케이션, 프로그램, 클라우드 인스턴스를 찾기 위해 네트워크를 지속적으로 스캔하고 있습니다. 이달의 최신 버전은 API입니다. 이러한 API는 종종 느슨한 보안 제어 덕분에 쉽게 이길 수 있는 것으로 널리 알려져 있습니다.이러한 애플리케이션은 지속성이 매우 강하기 때문에 배포 후 몇 시간 내에 새 앱이 손상되거나 악용될 수 있습니다.Verizon 2021 데이터 침해 조사 보고서는 위협이 기업 및 조직을 겨냥했다는 점을 분명히 보여줍니다. 더 위험하다 오늘날, 역사상 그 어느 시점보다도.
개발 중인 소프트웨어를 진정으로 강화할 수 있는 유일한 방법은 보안 코드를 기반으로 구축되도록 하는 것뿐이라는 것이 분명해지고 있습니다.다시 말해, 위협 행위자의 침입을 막는 가장 좋은 방법은 애초에 이들이 애플리케이션에 들어갈 수 있는 발판을 차단하는 것입니다.일단 전쟁을 시작하면 대부분의 이점이 공격자에게 치우치게 됩니다.
이 상황은 처음으로 생겨났습니다. 애자일 개발 그리고 DevOps, 그리고 나중에는 전체로 데브섹옵스 무브먼트, 여기서 보안은 개발부터 배포까지 소프트웨어 개발 프로세스에 관련된 모든 사람의 공동 책임입니다.하지만 피라미드의 기반이자 틀림없이 가장 중요한 부분은 개발자입니다.대부분의 개발자는 자신의 역할을 다하고 안전한 코드를 작성하기를 원하지만, 이들이 일하는 조직 중 상당수는 우선 순위의 대대적인 변화에 필요한 변경 사항을 지지하지 않습니다.
설계에 의한 패배
수년 동안 개발자들은 조직에서 가장 중요한 역할은 비즈니스가 중단되지 않고 고객이 잠들지 않는 급변하는 환경에서 앱을 빠르게 구축하고 배포하는 것이라고 들었습니다.개발자가 코드를 더 빨리 작성하고 배포할 수 있는 기능이 많을수록 성능 평가 측면에서 더 가치 있는 것으로 나타났습니다.
보안은 나중에 고려했지만 전혀 고려하지 않았습니다.대신, 이 모든 것은 애플리케이션 보안 (AppSec) 팀이 알아내도록 맡겼습니다.AppSec 팀은 보안 패치를 적용하거나 취약점을 해결하기 위한 코드를 다시 작성하기 위해 완성된 애플리케이션을 다시 개발 단계로 보내는 경우가 많기 때문에 대부분의 개발자들이 싫어했습니다.그리고 개발자가 이미 “완성”된 앱을 개발하는 데 소비하는 매 시간은 새로운 앱과 기능을 만들지 않아 성능 (특히 징벌적인 회사의 눈에는 가치) 이 저하되는 한 시간이었습니다.
그리고 위협 환경으로 인해 대부분의 기업에서 보안의 중요성과 우선 순위가 바뀌었습니다.최근 자료에 따르면 데이터 침해 비용 보고서 IBM과 포네몬 연구소 (Ponemon Institute) 에 따르면 사이버 보안 침해로 인한 평균 비용은 현재 사고당 약 380만 달러이지만 상한선은 아닙니다.네트워크 침해로 인해 한 회사에서만 13억 달러의 손실이 발생했습니다.오늘날의 기업들은 DevSecOps가 제공하는 보안을 원하지만 안타깝게도 이러한 요청에 응답한 개발자에게 보상을 제공하는 데 시간이 오래 걸렸습니다.
개발 팀에게 보안을 고려하라고 말하는 것만으로는 효과가 없습니다. 특히 속도만을 기준으로 인센티브를 받고 있는 경우에는 더욱 그렇습니다.사실 이러한 시스템 내에서 시간을 들여 보안에 대해 배우고 코드를 보호하는 개발자들은 오히려 더 나은 성능 평가와 보안에 대해 잘 알지 못하는 동료들이 계속 받게 되는 수익성 높은 보너스를 놓칠 수 있습니다.마치 회사들이 자신들의 보안 실패를 위해 자신도 모르게 시스템을 조작하는 것과 거의 비슷한데, 이는 결국 개발팀에 대한 인식으로 돌아오게 됩니다.팀을 보안 최전선으로 보지 않는다면 인력을 활용하기 위한 실행 가능한 계획이 실현될 가능성은 거의 없습니다.
그렇다고 해서 훈련이 부족한 것도 아닙니다.매우 숙련된 개발자 중에는 수십 년 동안 코딩 경험이 있는 사람도 있지만, 보안에 관해서는 경험이 거의 없습니다. 결국에는 그럴 필요가 없었습니다.회사에서 숙련된 프로그래머에게 좋은 교육 프로그램을 제공하지 않는 한 개발자가 갑자기 새로운 기술을 습득하고 취약점을 적극적으로 줄이는 의미 있는 방식으로 이를 실행에 옮길 것이라고 기대할 수는 없습니다.
우수한 보안 관행에 대한 개발자 보상
다행인 것은 개발자 중 대다수가 도전적이면서도 보람을 느끼기 때문에, 그리고 자신의 직책에 수반되는 존중을 즐기기 때문에 일을 한다는 것입니다.평생 프로 코더였던 마이클 슈필트 최근에 쓴 글 그와 그의 코딩 동료들이 개발 작업에 참여하도록 동기를 부여하는 모든 것들이죠.네, 그는 이러한 인센티브 중 금전적 보상을 나열했지만, 놀랍게도 목록에 훨씬 못 미쳤습니다.대신 그는 새로운 것을 창조하고, 새로운 기술을 배울 때의 짜릿함, 그리고 자신의 작업이 다른 사람들을 돕는 데 직접적으로 사용될 것이라는 사실에 대한 만족감을 우선시합니다.그는 또한 회사와 커뮤니티 내에서 가치를 느끼고 싶다고 이야기합니다.간단히 말해서 개발자들은 자신의 일에 자부심을 느끼는 많은 좋은 사람들과 같습니다.
Shpilt와 같은 개발자는 위협 행위자가 코드를 손상시키고 이를 사용하여 회사 또는 도움을 주려는 바로 그 사용자에게 해를 끼치는 것을 원하지 않습니다.하지만 지원 없이는 보안 우선순위를 갑자기 바꿀 수는 없습니다.그렇지 않으면 시스템이 이들에게 불리하게 작용할 것 같습니다.
개발 팀이 사이버 보안 능력을 향상시키려면 먼저 필요한 기술을 배워야 합니다.스캐폴드 러닝과 Just-In-Time (Just-In-Time) 교육 같은 도구를 활용하면 이 프로세스의 어려움을 훨씬 덜 수 있고 올바른 상황에서 기존 지식을 기반으로 구축하는 데 도움이 됩니다.
JIt의 원칙은 개발자에게 적절한 시간에 올바른 지식을 제공하는 것입니다. 예를 들어 JIT 개발자 교육 도구가 프로그래머가 안전하지 않은 코드를 만들거나 실수로 애플리케이션에 취약점을 도입하는 것을 감지하면 이를 활성화하고 개발자에게 해당 문제를 해결하는 방법과 방법을 보여줄 수 있습니다. 더 안전한 코드 작성 미래에도 같은 기능을 수행할 수 있도록 말이죠.
기술 향상에 전념한다면 속도만을 기준으로 개발자를 평가하는 기존의 방식을 없애야 합니다.대신 코더는 안전한 코드를 만들 수 있는 능력에 따라 보상을 받아야 하며, 최고의 개발자는 보안 챔피언 이는 나머지 팀원들이 기술을 향상시키는 데 도움이 됩니다.그리고 이러한 챔피언들은 회사의 명성과 금전적 보상을 모두 받을 수 있어야 합니다.또한 개발자는 일반적으로 보안에 대해 긍정적인 경험을 하지 못한다는 점을 기억해야 합니다. 긍정적이고 재미있는 학습과 관심사에 맞는 인센티브로 개발자의 역량을 높이면 지식을 보존하고 기술을 계속 쌓고자 하는 열망을 높이는 데 큰 도움이 됩니다.
기업에서는 여전히 개발자 평가의 한 부분으로 코딩 속도를 포함할 수 있지만, 특히 코더가 새로운 기술을 배우는 경우 보안 애플리케이션을 개발하는 데 시간이 좀 더 걸릴 수 있다는 기대를 가지고 있습니다.
DevSecOps는 점점 더 위험해지는 위협 환경의 어둠의 예술에 대한 궁극적인 방어 수단이 될 수 있습니다.이 새로운 세계의 챔피언, 지속적으로 새 코드를 만드는 개발자는 자신의 작업에 대한 존경과 보상을 받아야 한다는 사실을 잊지 마세요.
전 세계의 다른 개발자들을 상대로 보안 기술을 시험해보고 싶으신가요?확인해 보세요 시큐어 코드 워리어의 데블림픽 2021글로벌 토너먼트에서 주요 상품을 받을 수 있습니다!
전문 개발자는 DevSecOps를 수용하고 안전한 코드를 작성하기를 원하지만, 조직이 이러한 노력을 확대하려면 이러한 변화를 지원해야 합니다.
Directeur général, président et cofondateur
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
사이버 위협 환경은 날이 갈수록 복잡해지고 있습니다.공격자들은 취약한 애플리케이션, 프로그램, 클라우드 인스턴스를 찾기 위해 네트워크를 지속적으로 스캔하고 있습니다. 이달의 최신 버전은 API입니다. 이러한 API는 종종 느슨한 보안 제어 덕분에 쉽게 이길 수 있는 것으로 널리 알려져 있습니다.이러한 애플리케이션은 지속성이 매우 강하기 때문에 배포 후 몇 시간 내에 새 앱이 손상되거나 악용될 수 있습니다.Verizon 2021 데이터 침해 조사 보고서는 위협이 기업 및 조직을 겨냥했다는 점을 분명히 보여줍니다. 더 위험하다 오늘날, 역사상 그 어느 시점보다도.
개발 중인 소프트웨어를 진정으로 강화할 수 있는 유일한 방법은 보안 코드를 기반으로 구축되도록 하는 것뿐이라는 것이 분명해지고 있습니다.다시 말해, 위협 행위자의 침입을 막는 가장 좋은 방법은 애초에 이들이 애플리케이션에 들어갈 수 있는 발판을 차단하는 것입니다.일단 전쟁을 시작하면 대부분의 이점이 공격자에게 치우치게 됩니다.
이 상황은 처음으로 생겨났습니다. 애자일 개발 그리고 DevOps, 그리고 나중에는 전체로 데브섹옵스 무브먼트, 여기서 보안은 개발부터 배포까지 소프트웨어 개발 프로세스에 관련된 모든 사람의 공동 책임입니다.하지만 피라미드의 기반이자 틀림없이 가장 중요한 부분은 개발자입니다.대부분의 개발자는 자신의 역할을 다하고 안전한 코드를 작성하기를 원하지만, 이들이 일하는 조직 중 상당수는 우선 순위의 대대적인 변화에 필요한 변경 사항을 지지하지 않습니다.
설계에 의한 패배
수년 동안 개발자들은 조직에서 가장 중요한 역할은 비즈니스가 중단되지 않고 고객이 잠들지 않는 급변하는 환경에서 앱을 빠르게 구축하고 배포하는 것이라고 들었습니다.개발자가 코드를 더 빨리 작성하고 배포할 수 있는 기능이 많을수록 성능 평가 측면에서 더 가치 있는 것으로 나타났습니다.
보안은 나중에 고려했지만 전혀 고려하지 않았습니다.대신, 이 모든 것은 애플리케이션 보안 (AppSec) 팀이 알아내도록 맡겼습니다.AppSec 팀은 보안 패치를 적용하거나 취약점을 해결하기 위한 코드를 다시 작성하기 위해 완성된 애플리케이션을 다시 개발 단계로 보내는 경우가 많기 때문에 대부분의 개발자들이 싫어했습니다.그리고 개발자가 이미 “완성”된 앱을 개발하는 데 소비하는 매 시간은 새로운 앱과 기능을 만들지 않아 성능 (특히 징벌적인 회사의 눈에는 가치) 이 저하되는 한 시간이었습니다.
그리고 위협 환경으로 인해 대부분의 기업에서 보안의 중요성과 우선 순위가 바뀌었습니다.최근 자료에 따르면 데이터 침해 비용 보고서 IBM과 포네몬 연구소 (Ponemon Institute) 에 따르면 사이버 보안 침해로 인한 평균 비용은 현재 사고당 약 380만 달러이지만 상한선은 아닙니다.네트워크 침해로 인해 한 회사에서만 13억 달러의 손실이 발생했습니다.오늘날의 기업들은 DevSecOps가 제공하는 보안을 원하지만 안타깝게도 이러한 요청에 응답한 개발자에게 보상을 제공하는 데 시간이 오래 걸렸습니다.
개발 팀에게 보안을 고려하라고 말하는 것만으로는 효과가 없습니다. 특히 속도만을 기준으로 인센티브를 받고 있는 경우에는 더욱 그렇습니다.사실 이러한 시스템 내에서 시간을 들여 보안에 대해 배우고 코드를 보호하는 개발자들은 오히려 더 나은 성능 평가와 보안에 대해 잘 알지 못하는 동료들이 계속 받게 되는 수익성 높은 보너스를 놓칠 수 있습니다.마치 회사들이 자신들의 보안 실패를 위해 자신도 모르게 시스템을 조작하는 것과 거의 비슷한데, 이는 결국 개발팀에 대한 인식으로 돌아오게 됩니다.팀을 보안 최전선으로 보지 않는다면 인력을 활용하기 위한 실행 가능한 계획이 실현될 가능성은 거의 없습니다.
그렇다고 해서 훈련이 부족한 것도 아닙니다.매우 숙련된 개발자 중에는 수십 년 동안 코딩 경험이 있는 사람도 있지만, 보안에 관해서는 경험이 거의 없습니다. 결국에는 그럴 필요가 없었습니다.회사에서 숙련된 프로그래머에게 좋은 교육 프로그램을 제공하지 않는 한 개발자가 갑자기 새로운 기술을 습득하고 취약점을 적극적으로 줄이는 의미 있는 방식으로 이를 실행에 옮길 것이라고 기대할 수는 없습니다.
우수한 보안 관행에 대한 개발자 보상
다행인 것은 개발자 중 대다수가 도전적이면서도 보람을 느끼기 때문에, 그리고 자신의 직책에 수반되는 존중을 즐기기 때문에 일을 한다는 것입니다.평생 프로 코더였던 마이클 슈필트 최근에 쓴 글 그와 그의 코딩 동료들이 개발 작업에 참여하도록 동기를 부여하는 모든 것들이죠.네, 그는 이러한 인센티브 중 금전적 보상을 나열했지만, 놀랍게도 목록에 훨씬 못 미쳤습니다.대신 그는 새로운 것을 창조하고, 새로운 기술을 배울 때의 짜릿함, 그리고 자신의 작업이 다른 사람들을 돕는 데 직접적으로 사용될 것이라는 사실에 대한 만족감을 우선시합니다.그는 또한 회사와 커뮤니티 내에서 가치를 느끼고 싶다고 이야기합니다.간단히 말해서 개발자들은 자신의 일에 자부심을 느끼는 많은 좋은 사람들과 같습니다.
Shpilt와 같은 개발자는 위협 행위자가 코드를 손상시키고 이를 사용하여 회사 또는 도움을 주려는 바로 그 사용자에게 해를 끼치는 것을 원하지 않습니다.하지만 지원 없이는 보안 우선순위를 갑자기 바꿀 수는 없습니다.그렇지 않으면 시스템이 이들에게 불리하게 작용할 것 같습니다.
개발 팀이 사이버 보안 능력을 향상시키려면 먼저 필요한 기술을 배워야 합니다.스캐폴드 러닝과 Just-In-Time (Just-In-Time) 교육 같은 도구를 활용하면 이 프로세스의 어려움을 훨씬 덜 수 있고 올바른 상황에서 기존 지식을 기반으로 구축하는 데 도움이 됩니다.
JIt의 원칙은 개발자에게 적절한 시간에 올바른 지식을 제공하는 것입니다. 예를 들어 JIT 개발자 교육 도구가 프로그래머가 안전하지 않은 코드를 만들거나 실수로 애플리케이션에 취약점을 도입하는 것을 감지하면 이를 활성화하고 개발자에게 해당 문제를 해결하는 방법과 방법을 보여줄 수 있습니다. 더 안전한 코드 작성 미래에도 같은 기능을 수행할 수 있도록 말이죠.
기술 향상에 전념한다면 속도만을 기준으로 개발자를 평가하는 기존의 방식을 없애야 합니다.대신 코더는 안전한 코드를 만들 수 있는 능력에 따라 보상을 받아야 하며, 최고의 개발자는 보안 챔피언 이는 나머지 팀원들이 기술을 향상시키는 데 도움이 됩니다.그리고 이러한 챔피언들은 회사의 명성과 금전적 보상을 모두 받을 수 있어야 합니다.또한 개발자는 일반적으로 보안에 대해 긍정적인 경험을 하지 못한다는 점을 기억해야 합니다. 긍정적이고 재미있는 학습과 관심사에 맞는 인센티브로 개발자의 역량을 높이면 지식을 보존하고 기술을 계속 쌓고자 하는 열망을 높이는 데 큰 도움이 됩니다.
기업에서는 여전히 개발자 평가의 한 부분으로 코딩 속도를 포함할 수 있지만, 특히 코더가 새로운 기술을 배우는 경우 보안 애플리케이션을 개발하는 데 시간이 좀 더 걸릴 수 있다는 기대를 가지고 있습니다.
DevSecOps는 점점 더 위험해지는 위협 환경의 어둠의 예술에 대한 궁극적인 방어 수단이 될 수 있습니다.이 새로운 세계의 챔피언, 지속적으로 새 코드를 만드는 개발자는 자신의 작업에 대한 존경과 보상을 받아야 한다는 사실을 잊지 마세요.
전 세계의 다른 개발자들을 상대로 보안 기술을 시험해보고 싶으신가요?확인해 보세요 시큐어 코드 워리어의 데블림픽 2021글로벌 토너먼트에서 주요 상품을 받을 수 있습니다!
사이버 위협 환경은 날이 갈수록 복잡해지고 있습니다.공격자들은 취약한 애플리케이션, 프로그램, 클라우드 인스턴스를 찾기 위해 네트워크를 지속적으로 스캔하고 있습니다. 이달의 최신 버전은 API입니다. 이러한 API는 종종 느슨한 보안 제어 덕분에 쉽게 이길 수 있는 것으로 널리 알려져 있습니다.이러한 애플리케이션은 지속성이 매우 강하기 때문에 배포 후 몇 시간 내에 새 앱이 손상되거나 악용될 수 있습니다.Verizon 2021 데이터 침해 조사 보고서는 위협이 기업 및 조직을 겨냥했다는 점을 분명히 보여줍니다. 더 위험하다 오늘날, 역사상 그 어느 시점보다도.
개발 중인 소프트웨어를 진정으로 강화할 수 있는 유일한 방법은 보안 코드를 기반으로 구축되도록 하는 것뿐이라는 것이 분명해지고 있습니다.다시 말해, 위협 행위자의 침입을 막는 가장 좋은 방법은 애초에 이들이 애플리케이션에 들어갈 수 있는 발판을 차단하는 것입니다.일단 전쟁을 시작하면 대부분의 이점이 공격자에게 치우치게 됩니다.
이 상황은 처음으로 생겨났습니다. 애자일 개발 그리고 DevOps, 그리고 나중에는 전체로 데브섹옵스 무브먼트, 여기서 보안은 개발부터 배포까지 소프트웨어 개발 프로세스에 관련된 모든 사람의 공동 책임입니다.하지만 피라미드의 기반이자 틀림없이 가장 중요한 부분은 개발자입니다.대부분의 개발자는 자신의 역할을 다하고 안전한 코드를 작성하기를 원하지만, 이들이 일하는 조직 중 상당수는 우선 순위의 대대적인 변화에 필요한 변경 사항을 지지하지 않습니다.
설계에 의한 패배
수년 동안 개발자들은 조직에서 가장 중요한 역할은 비즈니스가 중단되지 않고 고객이 잠들지 않는 급변하는 환경에서 앱을 빠르게 구축하고 배포하는 것이라고 들었습니다.개발자가 코드를 더 빨리 작성하고 배포할 수 있는 기능이 많을수록 성능 평가 측면에서 더 가치 있는 것으로 나타났습니다.
보안은 나중에 고려했지만 전혀 고려하지 않았습니다.대신, 이 모든 것은 애플리케이션 보안 (AppSec) 팀이 알아내도록 맡겼습니다.AppSec 팀은 보안 패치를 적용하거나 취약점을 해결하기 위한 코드를 다시 작성하기 위해 완성된 애플리케이션을 다시 개발 단계로 보내는 경우가 많기 때문에 대부분의 개발자들이 싫어했습니다.그리고 개발자가 이미 “완성”된 앱을 개발하는 데 소비하는 매 시간은 새로운 앱과 기능을 만들지 않아 성능 (특히 징벌적인 회사의 눈에는 가치) 이 저하되는 한 시간이었습니다.
그리고 위협 환경으로 인해 대부분의 기업에서 보안의 중요성과 우선 순위가 바뀌었습니다.최근 자료에 따르면 데이터 침해 비용 보고서 IBM과 포네몬 연구소 (Ponemon Institute) 에 따르면 사이버 보안 침해로 인한 평균 비용은 현재 사고당 약 380만 달러이지만 상한선은 아닙니다.네트워크 침해로 인해 한 회사에서만 13억 달러의 손실이 발생했습니다.오늘날의 기업들은 DevSecOps가 제공하는 보안을 원하지만 안타깝게도 이러한 요청에 응답한 개발자에게 보상을 제공하는 데 시간이 오래 걸렸습니다.
개발 팀에게 보안을 고려하라고 말하는 것만으로는 효과가 없습니다. 특히 속도만을 기준으로 인센티브를 받고 있는 경우에는 더욱 그렇습니다.사실 이러한 시스템 내에서 시간을 들여 보안에 대해 배우고 코드를 보호하는 개발자들은 오히려 더 나은 성능 평가와 보안에 대해 잘 알지 못하는 동료들이 계속 받게 되는 수익성 높은 보너스를 놓칠 수 있습니다.마치 회사들이 자신들의 보안 실패를 위해 자신도 모르게 시스템을 조작하는 것과 거의 비슷한데, 이는 결국 개발팀에 대한 인식으로 돌아오게 됩니다.팀을 보안 최전선으로 보지 않는다면 인력을 활용하기 위한 실행 가능한 계획이 실현될 가능성은 거의 없습니다.
그렇다고 해서 훈련이 부족한 것도 아닙니다.매우 숙련된 개발자 중에는 수십 년 동안 코딩 경험이 있는 사람도 있지만, 보안에 관해서는 경험이 거의 없습니다. 결국에는 그럴 필요가 없었습니다.회사에서 숙련된 프로그래머에게 좋은 교육 프로그램을 제공하지 않는 한 개발자가 갑자기 새로운 기술을 습득하고 취약점을 적극적으로 줄이는 의미 있는 방식으로 이를 실행에 옮길 것이라고 기대할 수는 없습니다.
우수한 보안 관행에 대한 개발자 보상
다행인 것은 개발자 중 대다수가 도전적이면서도 보람을 느끼기 때문에, 그리고 자신의 직책에 수반되는 존중을 즐기기 때문에 일을 한다는 것입니다.평생 프로 코더였던 마이클 슈필트 최근에 쓴 글 그와 그의 코딩 동료들이 개발 작업에 참여하도록 동기를 부여하는 모든 것들이죠.네, 그는 이러한 인센티브 중 금전적 보상을 나열했지만, 놀랍게도 목록에 훨씬 못 미쳤습니다.대신 그는 새로운 것을 창조하고, 새로운 기술을 배울 때의 짜릿함, 그리고 자신의 작업이 다른 사람들을 돕는 데 직접적으로 사용될 것이라는 사실에 대한 만족감을 우선시합니다.그는 또한 회사와 커뮤니티 내에서 가치를 느끼고 싶다고 이야기합니다.간단히 말해서 개발자들은 자신의 일에 자부심을 느끼는 많은 좋은 사람들과 같습니다.
Shpilt와 같은 개발자는 위협 행위자가 코드를 손상시키고 이를 사용하여 회사 또는 도움을 주려는 바로 그 사용자에게 해를 끼치는 것을 원하지 않습니다.하지만 지원 없이는 보안 우선순위를 갑자기 바꿀 수는 없습니다.그렇지 않으면 시스템이 이들에게 불리하게 작용할 것 같습니다.
개발 팀이 사이버 보안 능력을 향상시키려면 먼저 필요한 기술을 배워야 합니다.스캐폴드 러닝과 Just-In-Time (Just-In-Time) 교육 같은 도구를 활용하면 이 프로세스의 어려움을 훨씬 덜 수 있고 올바른 상황에서 기존 지식을 기반으로 구축하는 데 도움이 됩니다.
JIt의 원칙은 개발자에게 적절한 시간에 올바른 지식을 제공하는 것입니다. 예를 들어 JIT 개발자 교육 도구가 프로그래머가 안전하지 않은 코드를 만들거나 실수로 애플리케이션에 취약점을 도입하는 것을 감지하면 이를 활성화하고 개발자에게 해당 문제를 해결하는 방법과 방법을 보여줄 수 있습니다. 더 안전한 코드 작성 미래에도 같은 기능을 수행할 수 있도록 말이죠.
기술 향상에 전념한다면 속도만을 기준으로 개발자를 평가하는 기존의 방식을 없애야 합니다.대신 코더는 안전한 코드를 만들 수 있는 능력에 따라 보상을 받아야 하며, 최고의 개발자는 보안 챔피언 이는 나머지 팀원들이 기술을 향상시키는 데 도움이 됩니다.그리고 이러한 챔피언들은 회사의 명성과 금전적 보상을 모두 받을 수 있어야 합니다.또한 개발자는 일반적으로 보안에 대해 긍정적인 경험을 하지 못한다는 점을 기억해야 합니다. 긍정적이고 재미있는 학습과 관심사에 맞는 인센티브로 개발자의 역량을 높이면 지식을 보존하고 기술을 계속 쌓고자 하는 열망을 높이는 데 큰 도움이 됩니다.
기업에서는 여전히 개발자 평가의 한 부분으로 코딩 속도를 포함할 수 있지만, 특히 코더가 새로운 기술을 배우는 경우 보안 애플리케이션을 개발하는 데 시간이 좀 더 걸릴 수 있다는 기대를 가지고 있습니다.
DevSecOps는 점점 더 위험해지는 위협 환경의 어둠의 예술에 대한 궁극적인 방어 수단이 될 수 있습니다.이 새로운 세계의 챔피언, 지속적으로 새 코드를 만드는 개발자는 자신의 작업에 대한 존경과 보상을 받아야 한다는 사실을 잊지 마세요.
전 세계의 다른 개발자들을 상대로 보안 기술을 시험해보고 싶으신가요?확인해 보세요 시큐어 코드 워리어의 데블림픽 2021글로벌 토너먼트에서 주요 상품을 받을 수 있습니다!
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Consulter le rapportVeuillez prendre rendez-vous pour une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
사이버 위협 환경은 날이 갈수록 복잡해지고 있습니다.공격자들은 취약한 애플리케이션, 프로그램, 클라우드 인스턴스를 찾기 위해 네트워크를 지속적으로 스캔하고 있습니다. 이달의 최신 버전은 API입니다. 이러한 API는 종종 느슨한 보안 제어 덕분에 쉽게 이길 수 있는 것으로 널리 알려져 있습니다.이러한 애플리케이션은 지속성이 매우 강하기 때문에 배포 후 몇 시간 내에 새 앱이 손상되거나 악용될 수 있습니다.Verizon 2021 데이터 침해 조사 보고서는 위협이 기업 및 조직을 겨냥했다는 점을 분명히 보여줍니다. 더 위험하다 오늘날, 역사상 그 어느 시점보다도.
개발 중인 소프트웨어를 진정으로 강화할 수 있는 유일한 방법은 보안 코드를 기반으로 구축되도록 하는 것뿐이라는 것이 분명해지고 있습니다.다시 말해, 위협 행위자의 침입을 막는 가장 좋은 방법은 애초에 이들이 애플리케이션에 들어갈 수 있는 발판을 차단하는 것입니다.일단 전쟁을 시작하면 대부분의 이점이 공격자에게 치우치게 됩니다.
이 상황은 처음으로 생겨났습니다. 애자일 개발 그리고 DevOps, 그리고 나중에는 전체로 데브섹옵스 무브먼트, 여기서 보안은 개발부터 배포까지 소프트웨어 개발 프로세스에 관련된 모든 사람의 공동 책임입니다.하지만 피라미드의 기반이자 틀림없이 가장 중요한 부분은 개발자입니다.대부분의 개발자는 자신의 역할을 다하고 안전한 코드를 작성하기를 원하지만, 이들이 일하는 조직 중 상당수는 우선 순위의 대대적인 변화에 필요한 변경 사항을 지지하지 않습니다.
설계에 의한 패배
수년 동안 개발자들은 조직에서 가장 중요한 역할은 비즈니스가 중단되지 않고 고객이 잠들지 않는 급변하는 환경에서 앱을 빠르게 구축하고 배포하는 것이라고 들었습니다.개발자가 코드를 더 빨리 작성하고 배포할 수 있는 기능이 많을수록 성능 평가 측면에서 더 가치 있는 것으로 나타났습니다.
보안은 나중에 고려했지만 전혀 고려하지 않았습니다.대신, 이 모든 것은 애플리케이션 보안 (AppSec) 팀이 알아내도록 맡겼습니다.AppSec 팀은 보안 패치를 적용하거나 취약점을 해결하기 위한 코드를 다시 작성하기 위해 완성된 애플리케이션을 다시 개발 단계로 보내는 경우가 많기 때문에 대부분의 개발자들이 싫어했습니다.그리고 개발자가 이미 “완성”된 앱을 개발하는 데 소비하는 매 시간은 새로운 앱과 기능을 만들지 않아 성능 (특히 징벌적인 회사의 눈에는 가치) 이 저하되는 한 시간이었습니다.
그리고 위협 환경으로 인해 대부분의 기업에서 보안의 중요성과 우선 순위가 바뀌었습니다.최근 자료에 따르면 데이터 침해 비용 보고서 IBM과 포네몬 연구소 (Ponemon Institute) 에 따르면 사이버 보안 침해로 인한 평균 비용은 현재 사고당 약 380만 달러이지만 상한선은 아닙니다.네트워크 침해로 인해 한 회사에서만 13억 달러의 손실이 발생했습니다.오늘날의 기업들은 DevSecOps가 제공하는 보안을 원하지만 안타깝게도 이러한 요청에 응답한 개발자에게 보상을 제공하는 데 시간이 오래 걸렸습니다.
개발 팀에게 보안을 고려하라고 말하는 것만으로는 효과가 없습니다. 특히 속도만을 기준으로 인센티브를 받고 있는 경우에는 더욱 그렇습니다.사실 이러한 시스템 내에서 시간을 들여 보안에 대해 배우고 코드를 보호하는 개발자들은 오히려 더 나은 성능 평가와 보안에 대해 잘 알지 못하는 동료들이 계속 받게 되는 수익성 높은 보너스를 놓칠 수 있습니다.마치 회사들이 자신들의 보안 실패를 위해 자신도 모르게 시스템을 조작하는 것과 거의 비슷한데, 이는 결국 개발팀에 대한 인식으로 돌아오게 됩니다.팀을 보안 최전선으로 보지 않는다면 인력을 활용하기 위한 실행 가능한 계획이 실현될 가능성은 거의 없습니다.
그렇다고 해서 훈련이 부족한 것도 아닙니다.매우 숙련된 개발자 중에는 수십 년 동안 코딩 경험이 있는 사람도 있지만, 보안에 관해서는 경험이 거의 없습니다. 결국에는 그럴 필요가 없었습니다.회사에서 숙련된 프로그래머에게 좋은 교육 프로그램을 제공하지 않는 한 개발자가 갑자기 새로운 기술을 습득하고 취약점을 적극적으로 줄이는 의미 있는 방식으로 이를 실행에 옮길 것이라고 기대할 수는 없습니다.
우수한 보안 관행에 대한 개발자 보상
다행인 것은 개발자 중 대다수가 도전적이면서도 보람을 느끼기 때문에, 그리고 자신의 직책에 수반되는 존중을 즐기기 때문에 일을 한다는 것입니다.평생 프로 코더였던 마이클 슈필트 최근에 쓴 글 그와 그의 코딩 동료들이 개발 작업에 참여하도록 동기를 부여하는 모든 것들이죠.네, 그는 이러한 인센티브 중 금전적 보상을 나열했지만, 놀랍게도 목록에 훨씬 못 미쳤습니다.대신 그는 새로운 것을 창조하고, 새로운 기술을 배울 때의 짜릿함, 그리고 자신의 작업이 다른 사람들을 돕는 데 직접적으로 사용될 것이라는 사실에 대한 만족감을 우선시합니다.그는 또한 회사와 커뮤니티 내에서 가치를 느끼고 싶다고 이야기합니다.간단히 말해서 개발자들은 자신의 일에 자부심을 느끼는 많은 좋은 사람들과 같습니다.
Shpilt와 같은 개발자는 위협 행위자가 코드를 손상시키고 이를 사용하여 회사 또는 도움을 주려는 바로 그 사용자에게 해를 끼치는 것을 원하지 않습니다.하지만 지원 없이는 보안 우선순위를 갑자기 바꿀 수는 없습니다.그렇지 않으면 시스템이 이들에게 불리하게 작용할 것 같습니다.
개발 팀이 사이버 보안 능력을 향상시키려면 먼저 필요한 기술을 배워야 합니다.스캐폴드 러닝과 Just-In-Time (Just-In-Time) 교육 같은 도구를 활용하면 이 프로세스의 어려움을 훨씬 덜 수 있고 올바른 상황에서 기존 지식을 기반으로 구축하는 데 도움이 됩니다.
JIt의 원칙은 개발자에게 적절한 시간에 올바른 지식을 제공하는 것입니다. 예를 들어 JIT 개발자 교육 도구가 프로그래머가 안전하지 않은 코드를 만들거나 실수로 애플리케이션에 취약점을 도입하는 것을 감지하면 이를 활성화하고 개발자에게 해당 문제를 해결하는 방법과 방법을 보여줄 수 있습니다. 더 안전한 코드 작성 미래에도 같은 기능을 수행할 수 있도록 말이죠.
기술 향상에 전념한다면 속도만을 기준으로 개발자를 평가하는 기존의 방식을 없애야 합니다.대신 코더는 안전한 코드를 만들 수 있는 능력에 따라 보상을 받아야 하며, 최고의 개발자는 보안 챔피언 이는 나머지 팀원들이 기술을 향상시키는 데 도움이 됩니다.그리고 이러한 챔피언들은 회사의 명성과 금전적 보상을 모두 받을 수 있어야 합니다.또한 개발자는 일반적으로 보안에 대해 긍정적인 경험을 하지 못한다는 점을 기억해야 합니다. 긍정적이고 재미있는 학습과 관심사에 맞는 인센티브로 개발자의 역량을 높이면 지식을 보존하고 기술을 계속 쌓고자 하는 열망을 높이는 데 큰 도움이 됩니다.
기업에서는 여전히 개발자 평가의 한 부분으로 코딩 속도를 포함할 수 있지만, 특히 코더가 새로운 기술을 배우는 경우 보안 애플리케이션을 개발하는 데 시간이 좀 더 걸릴 수 있다는 기대를 가지고 있습니다.
DevSecOps는 점점 더 위험해지는 위협 환경의 어둠의 예술에 대한 궁극적인 방어 수단이 될 수 있습니다.이 새로운 세계의 챔피언, 지속적으로 새 코드를 만드는 개발자는 자신의 작업에 대한 존경과 보상을 받아야 한다는 사실을 잊지 마세요.
전 세계의 다른 개발자들을 상대로 보안 기술을 시험해보고 싶으신가요?확인해 보세요 시큐어 코드 워리어의 데블림픽 2021글로벌 토너먼트에서 주요 상품을 받을 수 있습니다!
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.TéléchargerRessources utiles pour débuter
Thèmes et contenus de la formation sur les codes de sécurité
Le contenu le plus pertinent du secteur évolue constamment pour s'adapter à l'environnement de développement logiciel en constante évolution, en tenant compte du rôle des clients. Des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité, tous les rôles sont couverts, de l'IA à l'injection XQuery. Veuillez consulter le catalogue de contenu pour découvrir ce qui est proposé par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources utiles pour débuter
Cybermon est de retour : la mission IA de défaite du boss est désormais disponible à la demande.
Cybermon 2025 Bit The Boss est désormais disponible toute l'année sur SCW. Renforcez le développement de l'IA de sécurité à grande échelle en déployant des défis de sécurité IA/LLM avancés.
Explication de la loi sur la cyber-résilience : l'importance de la conception sécurisée dans le développement de logiciels
Découvrez les exigences de la loi européenne sur la résilience des réseaux et des services (CRA), son champ d'application et comment votre équipe d'ingénieurs peut se préparer en toute sécurité grâce à la conception, aux pratiques, à la prévention des vulnérabilités et à la mise en place d'un environnement de développement.
Facteur de réussite n° 1 : des critères de réussite clairement définis et mesurables
Enabler 1 présente une série de dix articles consacrés aux facteurs de réussite, en démontrant comment le codage sécurisé peut améliorer les performances commerciales, notamment en accélérant la réduction des risques et des coûts pour la maturité des programmes à long terme.
