마을이 필요하다: 커뮤니티 정신이 개발자를 더 안전하게 만드는 방법

“마을이 필요해”라는 문구는 오래된 아프리카 속담, 다양한 아프리카 문화, 방언 및 지리적 위치에 걸쳐 있습니다.이 지혜의 진주를 전달하는 데 사용되는 언어는 다를 수 있지만 감정은 같습니다. 미래 세대를 다재다능한 성인으로 키울 수 있는 안전하고 긍정적이며 계몽적인 환경을 조성하기 위해서는 전체 커뮤니티의 의견이 필요합니다.

긴 인사를 건네는 것처럼 보일 수 있지만, 사실 개발자 커뮤니티는 바로 이 원칙에 따라 수십 년 동안 번창해 왔습니다.컴퓨터 뒤에 숨은 반사회적인 “고독한 늑대” 괴짜라는 개념은 대부분의 고정관념과 같습니다. 과장된 것이지 우리의 운영 방식을 배울 수 있는 최선의 방법은 아닙니다.각계각층의 다양한 유형의 개발자가 있으며, 우리가 하는 모든 일에는 항상 공동체 의식이 있었습니다.

인터넷이 일반화되기 오래 전부터 우리는 게시판에서 팁을 공유하고, 서로의 문제를 해결하고, 모범 사례를 놓고 논쟁을 벌였습니다 (그리고 확실히 제 편에서는 무언가를 깨기 위해 열심히 노력했습니다).이런 감정은 변함이 없습니다.이제 인터넷은 전혀 다른 것이 되었습니다. 다리 밑에 트롤이 더 많아지고 소음도 더 커지지만, 다음과 같은 곳으로 빠르게 뛰어들 수 있습니다. 레딧 과 스택 오버플로 기꺼이 도와주려는 의지, 동지애, 풍부한 정보를 즉각적으로 느끼게 해 줄 것입니다.

하지만 우리 모두가 지원할 수 있는 한 가지는 같은 일을 겪고 있는 사람들과의 실제 연결입니다.현실 세계에서 상호작용하면 새로운 차원의 의미가 생깁니다. “IRL” 커뮤니티를 활성화하면 놀라운 방식으로 지식 공유와 명확화를 가속화하고 시야를 넓힐 수 있습니다.

개발자 커뮤니티는 보안을 어떻게 지원하나요?

다음과 같은 조직 올말벌 취약점, 뉴스 및 중요 경보에 대한 풍부한 무료 리소스를 통해 보안 커뮤니티에서 놀라운 성과를 거두고 있습니다.오프라인에서는 전 세계 도시에 OWASP 지부가 있습니다. 이 지부에서는 사람들이 함께 모여 보안에 대해 이야기하고 소프트웨어를 더 안전하게 만들기 위한 팁을 공유할 수 있는 정기 행사를 주최합니다.정말 대단한 일이고, 제가 보기에 개발 커뮤니티의 전부라고 할 수 있습니다.

온라인이든 대면이든 이러한 커뮤니티가 해결하는 데 도움이 되는 한 가지는 개발자 간의 기술 및 지식 격차입니다.경험 많은 개발자들은 정보를 전달하거나, 누군가가 시작할 수 있도록 도와주거나, 올바른 방향으로 안내하는 데 너무 만족합니다 (훌륭한 제다이라면 누구나 때때로 파다완을 도와야 한다는 것을 알고 있습니다).

따라서 보안 코딩 토너먼트와 같은 행사를 주최하기 위해 그들과 파트너 관계를 맺을 수 있다는 것은 언제나 큰 기쁨입니다.지금까지 호주, 영국, 인도, 미국에서의 밋업을 지원해왔으며 앞으로도 더 많은 모임이 이어지기를 바랍니다.

OWASP 토너먼트 밋업은 어떤 모습인가요?런던의 상징적인 BBC 스튜디오에서 열린 OWASP 토너먼트 영상을 확인해 보세요.

이러한 이벤트는 인식을 제고하는 데 확실히 도움이 되며, 조직이 이러한 풀뿌리 이니셔티브를 지원하고, 완전한 보안 코딩 교육을 도입하고, 긍정적인 보안 문화로 운영하겠다는 약속을 할 때 이러한 모멘텀을 조직 내에서 활용할 수 있습니다.

어떻게 해야 할까요? 게임화 토너먼트는 더 안전한 개발자를 만드는 데 도움이 되나요?

OWASP 모임은 보안에 대해 잘 아는 다양한 사람들과 어울리고 지식을 공유하고 아이디어를 토론하는 것을 중심으로 구축되었습니다.그러나 보안이 처음이거나 아직 관심이 없는 사람에게는 이러한 이벤트가 눈에 띄지 않을 수 있습니다.

조직이 보안 인식을 제고하고 개발자 집단의 진정한 관심을 불러일으키는 데 적극적인 역할을 할 때, 우리가 얻어야 하는 보안 지식에 대한 평생 탐구를 심어주는 긍정적인 효과를 얻을 수 있습니다. 모두들 안전한 코딩에 대해 더 진지하게 생각하세요.

일반적인 교육 방법이 큰 동기 부여가 되는 경우는 드뭅니다 (예: 하루 일과가 쌓여 있을 때 교실에 앉아 있거나 끝없이 이어지는 비디오를 보면서 깨어 있으려고 하는 경우). 경쟁심을 불러일으키고 재미를 느끼며 과정을 게임화하면 학습이 훨씬 덜 번거로운 일이 될 수 있습니다.게임화된 학습 방법을 사용하면 기술적 지식 (때로는 건조한 지식) 을 훨씬 더 이해하기 쉽게 만들어 다음과 같은 작은 조각으로 나눕니다. 상황에 맞고 기억에 남으며 반복 학습을 장려합니다..Secure Code Warrior는 접근성을 기반으로 구축되었으므로 개발자는 자신의 창의성과 문제 해결에 대한 일반적인 본능을 반영하는 방식으로 이전에 배운 내용을 단계별로 계속 추가할 수 있습니다.

평가는 모든 구성원이 계획대로 진행하고 개선이 필요한 영역을 식별하는 데 도움이 되지만, 보안 코딩 토너먼트는 조직의 보안 인식과 긍정적인 변화를 위한 촉매제 역할을 할 뿐만 아니라 참가자가 자신의 탄탄한 기술을 과시할 수 있는 방법이기도 합니다.결국 토너먼트 순위표가 실시간으로 업데이트되는 것을 보면 계속해서 더 많은 포인트를 노리고 자신의 보안 능력을 과시하고 싶은 동기가 생깁니다.

성공적인 토너먼트는 어떤 모습일까요?

OWASP와의 만남 목적은 항상 보안 커뮤니티의 지속적인 건전성에 투자하여 보안에 대해 배우는 것이 실제로 재미있을 수 있다는 개념을 홍보하는 데 있습니다.

시큐어 코딩 토너먼트는 개발자들이 비슷한 생각을 가진 사람들과 소셜 환경에서 기술을 연마하고 실현할 수 있도록 도와줌으로써 참여도를 높이는 데 있어 당연한 일입니다.이는 아마도 직장이나 교육에서 유쾌하지 못한 경험을 바탕으로 “보안”이라는 개념을 둘러싸고 존재할 수 있는 인위적인 장벽을 허무는 데 도움을 줍니다.

정말 훌륭한 토너먼트는 일반적으로 다음과 같이 구성됩니다.

• 조직 전체에 약간의 열광을 퍼뜨리세요. 개발팀 외부 사람들에게 무슨 일이 일어나고 왜 일어나고 있는지 알려주세요.
• 판단이 필요 없는 환경, 모든 수준의 개발자 지원
• 몇 가지 특별한 혜택: 음식과 음료를 주문하고, 테마를 지정하고, 자기 표현을 장려하세요
• 보상과 포상; 우리 개발자들은 상품을 좋아하며, 우승자에게는 멋진 경품도 보너스입니다. 이 과정에서 미래의 보안 챔피언이 발굴될 수 있다는 점을 기억하세요.
• 공동체 의식과 동지애.

우리는 DevSecOps의 세계가 되고 있습니다. 마침내 소프트웨어 개발 프로젝트 초기부터 보안에 초점이 맞춰지면서 개발자들은 효과적인 교육을 통해 초기에 참여해야 합니다.이는 코드를 작성하는 순간부터 취약점으로부터 조직을 보호하는 데 필수적이며, 보안 문화가 번성함에 따라 누구나 조금 더 쉽게 안심할 수 있습니다.