우리는 디지털 혁신이 우리가 일하고, 자고, 먹고, 여가 시간을 보내는 방식에 영향을 미치는 새로운 파괴적 기술을 가져오는 흥미진진한 시대에 살고 있습니다. 새로운 경쟁업체가 소비자에게 더 많은 선택권을 제공하고 비즈니스 모델이 더욱 유연해짐에 따라 기술 회사는 고객의 삶을 더 쉽게 만들어주는 새롭고 흥미로운 기술로 성공할 수 있는 기회를 갖게 되었습니다. 개발자에게 이 빠르게 움직이는 세상은 큰 무언가의 일부가 될 수 있는 많은 기회를 제공합니다. 앞으로 수십 년 동안 다른 사람들에게 영향을 미칠 프로젝트에 도장을 찍을 기회가 있습니다.
새로운 기회에는 새로운 위험이 따른다
그러나 새로운 디지털 비즈니스 모델은 악용될 수 있는 인프라에 새로운 취약점을 생성하여 39초마다 해커 공격으로 이어집니다. 회사의 거의 절반(48%)이 기한을 맞추기 위해 고의로 취약한 코드를 공개한다는 점을 고려할 때 이는 엄청난 위험을 초래합니다(자세한 내용은 여기 참조). 이러한 이유로 애플리케이션 보안에 대한 처음부터 끝까지 접근하는 것이 현명한 비즈니스 결정입니다. 조직이 직면한 보안 위험의 상당 부분은 코드 취약성에서 비롯됩니다. 따라서 개발자가 개발 주기 후반에 취약점을 발견할 가능성을 최소화하기 위해 고품질의 안전한 코드를 작성하도록 권장하는 것이 좋습니다. 그러나 이러한 놀라운 디지털 솔루션의 출시 기한이 다가옴에 따라 개발자는 보안에 관여할 시간이 거의 없습니다. 그리고 역사적으로 보안은 개발자의 우선 순위가 아니었기 때문에 필요한 기술은 개발자가 아닌 AppSec 팀에 있습니다. 그렇다면 생산적이고 안전한 소프트웨어 개발 주기를 달성하기 위해 이 딜레마를 어떻게 해결해야 할까요?
개발자는 소프트웨어 개발에 대한 이 새로운 보안 의식 접근 방식을 채택하는 데 도움이 필요합니다.
고품질의 안전한 코드는 필수입니다.
위의 상황을 감안할 때 프로그래밍 프로세스에서 보안이 “너무 어렵다”고 보안 팀에 맡겨지는 이유를 이해할 수 있습니다. 경쟁 날짜가 너무 많고 안전 지식이 충분하지 않으며 다른 모든 것이 진행되는 동안 안전을 돌볼 개인적인 이유가 없습니다. 그러나 보안 코드에 대한 수요는 이 접근 방식을 계속하기에는 너무 큽니다. 좋은 소식은 개발자들이 점점 더 이 문제를 인식하고 있다는 것입니다. 최근 설문 조사에 따르면 개발자 10명 중 9명(89%)이 감지되지 않은 버그가 회사에 막대한 피해를 준다고 인정했습니다. 개발자는 또한 보안 기술이 있으면 고용주에게 더 매력적이라는 것을 알고 있습니다. 이를 염두에 두고 개발자가 적절한 이유로 헤드라인을 장식하는 양질의 코드를 작성하도록 돕기 위해 기업이 할 수 있는 세 가지가 있습니다.
DevSecOps를 시작하고 실행해 보겠습니다.
보안은 여전히 AppSec 팀의 영역입니다(보안에 민감한 개발자와 협력할 때 동일한 버그를 반복해서 수정하는 대신 더 많은 여유가 있음). 작동 중인 DevSecOps 프로세스에서는 각 팀원이 보안 책임을 공유하는 데 필요한 지원과 도구를 가지고 있어야 하며 적절한 교육이 가장 중요합니다. 올바른 도구와 교육을 선택하려면 개발자와 긴밀히 협력하여 개발자에게 영감을 주고 긍정적인 변화를 주도하는 AppSec 전문가의 지식이 필요합니다.
개발자에게 올바른 보안 지식 제공
Verizon의 2020 데이터 위반 조사 보고서에 따르면 데이터 위반의 43%가 웹 보안 취약성으로 인한 것입니다. 개발자는 고등 교육이나 실무 교육을 통해 효과적인 교육을 받지 못합니다. 이 경우 SQL 주입 및 구식 경로 순회와 같은 일반적인 취약점을 악용하여 데이터를 훔칠 수 없습니다. 또한 사이버 보안 전문가의 부족도 그리 크지 않을 것입니다. 우리는 근무일에 너무 많은 일이 벌어지고 있다는 것을 이미 알고 있습니다. 그렇다면 지식을 확장할 때 정적 이론 기반 교육에 액세스하기 위해 개발자가 강의실로 터벅터벅 걸어 들어가거나 다양한 단계를 거쳐야 하는 인센티브는 무엇입니까? Jira, GitHub 및 IDE와 같이 실제로 작업하는 영역에서 액세스할 수 있도록 하여 보다 원활하고 통합적이며 덜 파괴적인 보안 교육을 보장하는 것이 개발자와 비즈니스 모두에게 더 효과적일 수 있습니다. 작은 지식에 중점을 둔 IDE 또는 문제 추적기에 내장된 솔루션은 필요할 때 정확한 정보를 제공합니다. 교육은 쉽게 접근할 수 있을 뿐만 아니라 시기적절해야 합니다. 상황에 맞는 실습 학습은 단연코 가장 효과적인 유형의 교육으로, 가장 의미가 있을 때 정확히 한 입 크기의 음식을 제공합니다. 이것은 JiT(Just in Time) 교육이라고도 하며 개발자가 학습하는 데 매우 효과적인 방법입니다.
보안 교육을 프로그래밍 프로세스의 일부로 만들기
개발자에게는 이 새로운 디지털 세계의 요구 사항을 충족하는 프로세스가 필요합니다. 제시간에 납품하고, 변화하는 요구 사항에 즉시 대응하고, 새로운 기능을 신속하고 대량으로 구현할 수 있어야 합니다. 이를 달성하려면 보안 지식과 개발자의 코딩 기술의 품질을 향상시키면서 개발 프로세스를 단순화하는 올바른 Devops 플랫폼이 필요합니다. 이 통합된 접근 방식은 덜 방해가 되는 학습 프로세스를 통해 개발자를 끌어들여 심층 교육 과정, 안전 담당자 교육 및 공동 책임의 일반적인 촉진을 위한 길을 만들고 숙련도를 높이는 촉매제가 될 수 있습니다. 전 세계의 데이터를 안전하고 신뢰할 수 있게 유지하려면 이러한 정보가 필요합니다.
단일 로그인으로 소스 코드 관리, 문제 추적, 프로젝트 계획, 문서화 도구 및 보안 교육을 간단한 인프라에 통합함으로써 개발자는 관리 작업에 소요되는 시간을 줄일 수 있습니다. 기업이 이러한 유토피아를 달성할 수 있도록 Secure Code Warrior는 Cloudogu와 협력하여 보안 교육을 SCM Manager 도구에 직접 통합합니다. SCM 관리자용 Secure Code Warrior 플러그인을 사용하면 지침 비디오 및 취약성 링크가 풀 요청에 직접 표시됩니다. 이러한 방식으로 개발자는 보안 격차에 대한 모든 중요한 정보를 직접 받습니다. 이 취약점을 방지하는 방법을 포함하여 정확히 필요할 때. 이 플러그인은 무료이며 즉시 사용할 수 있습니다. Cloudogu와 Secure Code Warrior는 조직이 안전한 코딩을 위한 통합 접근 방식을 채택하도록 지원하고 결합된 전문 지식을 제공하여 조직이 효과적인 DevSecOps 팀을 구성할 수 있도록 지원함으로써 세계 최고의 디지털 제품을 신속하게 개발하는 데 필요한 세 가지 기본 요소를 조직에 갖추는 것을 목표로 합니다.
보안 코딩 기술 토너먼트
이 파트너십을 축하하기 위해 두 회사는 2021년 9월 29일에 국제 DACH 코딩 토너먼트를 개최했습니다. 토너먼트 기간 동안 개발자는 문제 식별, 안전하지 않은 코드 찾기 및 취약성 수정과 관련된 일련의 과제에서 동료와 경쟁할 수 있었습니다. 모든 챌린지는 OWASP Top 10을 기반으로 하며 플레이어는 Java EE, Java Spring, C# MVC, C# WebForms, Go, Ruby on Rails, Python Django & Flask, Scala Play, Node 등 원하는 소프트웨어 언어를 선택할 수 있습니다. JS, React 및 iOS 및 Android 개발 언어 모두. 이러한 토너먼트는 최고의 플레이어를 위한 많은 멋진 상품과 함께 보안 인식 프로그램을 시작할 수 있는 무료이며 매력적인 방법입니다. 그러한 경쟁의 예는 여기에서 찾을 수 있습니다.