효과적인 개발자 보안 교육을 실시하는 방법: 5가지 중요한 교훈
한 개발자 애플리케이션 보안 교육 프로그램이 다른 프로그램보다 더 나은 결과를 내는 이유는 무엇입니까?
SANS 트레이너로 10년 이상 근무하고 지난 3년 동안 Secure Code Warrior (SCW) 를 설립하고 구축하면서 교육 프로그램을 통해 최상의 결과를 얻을 수 있도록 시간과 자원을 투자하는 것이 얼마나 가치가 있는지 알게 되었습니다.
판매 첫해에 우리 회사는 10,000명 이상의 개발자를 참여시켰습니다. 보안 코드 교육그리고 가장 효과적인 출시를 한 사람들 사이에서 여러 트렌드를 발견했습니다.그 결과 가슴이 벅차오릅니다. 비용이 많이 들기 전에 보안 취약점을 조기에 발견함으로써 참여도가 높아지고 보안 인식이 향상되며 프로그램의 ROI를 크게 높일 수 있었습니다.
인정하기는 싫지만, “노력이 적게 드는” 접근 방식을 취하고 교육 링크가 포함된 이메일을 보내 프로그램을 출시하려고 시도한 사람들도 몇 명 있었습니다.그다지 효과가 없었다는 것은 놀라운 일이 아닙니다. 그래서 우리는 이러한 출시를 바로잡아야 했습니다.
아래에서는 우리 프로그램을 포함한 모든 개발자 보안 교육 프로그램의 참여 수준, 영향력 및 성공을 크게 향상시킬 다섯 가지 중요한 교훈을 공유하고자 합니다.
1.프로그램이 영향력을 발휘하기를 원한다면 킥오프에 재미를 더하세요.
특별한 킥오프 데이 이벤트를 만들거나 프로그램에 영화/괴짜/게임 테마를 제공하면 시작부터 흥분과 참여도가 크게 달라질 수 있습니다.당사의 대규모 고객 중 한 명이 인기 TV 시리즈를 중심으로 티셔츠, 배지, 스티커가 포함된 판타지 프로그램을 만들었기 때문에 전체 교육 프로그램을 개발자가 놓치고 싶어하는 경험이 될 수 있습니다.스타워즈를 주제로 한 이벤트도 있는데, 5월 4일에 편리하게 개최되었습니다.약간의 재미는 직원들의 참여를 돕는 데 큰 도움이 됩니다. 중요한 개발자 보안 코드 기술 교육을 짧게 들으면 또 다른 해야 할 일이 아니라 일을 쉬고 있는 것처럼 느껴질 수 있습니다.마일스톤 #1 달성, 우리는 직원들의 관심을 끌고 직원들이 이 프로그램에 대해 잘 알고 있다는 것을 알게 되었습니다.
2.적합한 개발자 보안 교육 전문가를 찾아보세요 (힌트: 그들은 보안 기술보다 커뮤니케이션 기술을 필요로 합니다!)
각 스크럼 팀에서 적합한 보안 전문가를 찾을 수 있는 것은 특히 대규모 조직에서 지속적인 프로그램 성공에 매우 중요합니다.제 경험상 고도로 숙련된 보안 또는 개발자 전문가가 모두 고도로 발달한 사람 및/또는 커뮤니케이션 기술을 갖춘 것은 아닙니다.프로그램에 긍정적인 영향을 줄 최고의 보안 챔피언은 보안에 대한 열정과 강력한 인력, 영향력, 커뮤니케이션 기술을 갖춘 사람들입니다.현명하게 선택하고 성격과 의사 소통 기술을 고려하세요.
3.기술을 인정하는 멋진 보상을 받으세요
일반적으로 개발자를 포함한 모든 컴퓨터 애호가는 지능과 기술로 인정 받기를 원합니다.그들의 기술을 인정하는 특정 상태 스티커, 괴짜 도구, 특수 배지 또는 맞춤 프린트 티셔츠를 보상으로 주면 개발자들은 자랑스럽게 그 제품을 입거나 전시할 것입니다.트레이닝 프로그램에서 중요한 성과를 거둔 사람이 있다면 그 사람에게 인정과 노출을 줄 수 있는 방법을 생각해 보는 것이 중요합니다.한 고객이 Secure Code Warrior 챔피언의 사진을 정기적으로 찍어 회사 CISO의 사진 및 메시지와 함께 직원 뉴스레터에 게시한 것이 아주 좋은 아이디어였습니다.
4.개발자를 보안 전문가로 만들려고 하지 마세요.
개발자가 안전하게 코딩할 수 있도록 지원하여 보안 프로그램의 “1차 방어선”으로 만들고 싶지만, 그렇다고 해서 개발자가 비즈니스에서 가장 심층적인 보안 전문가가 될 필요는 없습니다. 또는 새로운 보안 취약점과 데이터 침해 사례를 지속적으로 알려야 한다는 의미는 아닙니다.보안도 중요하지만, 이들의 주요 목표는 훌륭한 제품이나 서비스를 구축하고 비즈니스 속도를 따라가는 것인 경우가 많습니다.다른 사람에게 너무 많은 보안을 과부하시키면 상대방의 참여를 끊을 위험이 있습니다.배운 주요 교훈은 기본적인 보안 위생을 이해하고 안전하게 코딩할 수 있는 도구를 통해 지원해야 한다는 것입니다. 하지만 회사 보안 전문가가 될 필요는 없습니다.
5.훈련을 측정하지 말고 그 영향을 측정하세요.
개발자가 얼마나 많은 교육을 받는지, 얼마나 많은 비디오를 시청하는지 측정하지 말고, 각 팀에서 프로그램을 시작하기 전에 코드 분석, 버그 바운티 또는 클래식 취약성 테스트를 통해 개발 라이프사이클에서 발견되는 약점의 수를 측정하십시오.교육 프로그램이 제대로 작동하면 식별되는 취약점의 수가 줄어들 것입니다.두 번째로 측정해야 할 것은 취약점을 수정하는 데 걸리는 시간입니다.개발자가 문제를 해결하는 데 한 달이 걸린다는 것은 개발자가 해결 방법을 이해하지 못한다는 것을 분명히 보여줍니다. 하지만 한 시간 안에 문제를 해결할 수 있다면 기술을 숙달했다는 것을 알 수 있습니다.영리한 회사들이 개발자 보안 코딩 교육의 영향을 측정하기 위해 사용하는 두 가지 지표는 다음과 같습니다.
효과적인 개발자 보안 교육을 실시하는 방법에 관한 5가지 중요한 교훈:
- 프로그램이 영향력을 발휘하기를 원한다면 킥오프에 재미를 더하세요.
- 적합한 개발자 보안 교육 전문가를 찾아보세요 (힌트: 보안 기술보다 커뮤니케이션 기술이 필요합니다!)
- 기술을 인정하는 멋진 보상을 받으세요
- 개발자를 보안 전문가로 만들려고 하지 마세요.
- 훈련을 측정하지 말고 영향을 측정하세요
首席执行官、主席和联合创始人
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
한 개발자 애플리케이션 보안 교육 프로그램이 다른 프로그램보다 더 나은 결과를 내는 이유는 무엇입니까?
SANS 트레이너로 10년 이상 근무하고 지난 3년 동안 Secure Code Warrior (SCW) 를 설립하고 구축하면서 교육 프로그램을 통해 최상의 결과를 얻을 수 있도록 시간과 자원을 투자하는 것이 얼마나 가치가 있는지 알게 되었습니다.
판매 첫해에 우리 회사는 10,000명 이상의 개발자를 참여시켰습니다. 보안 코드 교육그리고 가장 효과적인 출시를 한 사람들 사이에서 여러 트렌드를 발견했습니다.그 결과 가슴이 벅차오릅니다. 비용이 많이 들기 전에 보안 취약점을 조기에 발견함으로써 참여도가 높아지고 보안 인식이 향상되며 프로그램의 ROI를 크게 높일 수 있었습니다.
인정하기는 싫지만, “노력이 적게 드는” 접근 방식을 취하고 교육 링크가 포함된 이메일을 보내 프로그램을 출시하려고 시도한 사람들도 몇 명 있었습니다.그다지 효과가 없었다는 것은 놀라운 일이 아닙니다. 그래서 우리는 이러한 출시를 바로잡아야 했습니다.
아래에서는 우리 프로그램을 포함한 모든 개발자 보안 교육 프로그램의 참여 수준, 영향력 및 성공을 크게 향상시킬 다섯 가지 중요한 교훈을 공유하고자 합니다.
1.프로그램이 영향력을 발휘하기를 원한다면 킥오프에 재미를 더하세요.
특별한 킥오프 데이 이벤트를 만들거나 프로그램에 영화/괴짜/게임 테마를 제공하면 시작부터 흥분과 참여도가 크게 달라질 수 있습니다.당사의 대규모 고객 중 한 명이 인기 TV 시리즈를 중심으로 티셔츠, 배지, 스티커가 포함된 판타지 프로그램을 만들었기 때문에 전체 교육 프로그램을 개발자가 놓치고 싶어하는 경험이 될 수 있습니다.스타워즈를 주제로 한 이벤트도 있는데, 5월 4일에 편리하게 개최되었습니다.약간의 재미는 직원들의 참여를 돕는 데 큰 도움이 됩니다. 중요한 개발자 보안 코드 기술 교육을 짧게 들으면 또 다른 해야 할 일이 아니라 일을 쉬고 있는 것처럼 느껴질 수 있습니다.마일스톤 #1 달성, 우리는 직원들의 관심을 끌고 직원들이 이 프로그램에 대해 잘 알고 있다는 것을 알게 되었습니다.
2.적합한 개발자 보안 교육 전문가를 찾아보세요 (힌트: 그들은 보안 기술보다 커뮤니케이션 기술을 필요로 합니다!)
각 스크럼 팀에서 적합한 보안 전문가를 찾을 수 있는 것은 특히 대규모 조직에서 지속적인 프로그램 성공에 매우 중요합니다.제 경험상 고도로 숙련된 보안 또는 개발자 전문가가 모두 고도로 발달한 사람 및/또는 커뮤니케이션 기술을 갖춘 것은 아닙니다.프로그램에 긍정적인 영향을 줄 최고의 보안 챔피언은 보안에 대한 열정과 강력한 인력, 영향력, 커뮤니케이션 기술을 갖춘 사람들입니다.현명하게 선택하고 성격과 의사 소통 기술을 고려하세요.
3.기술을 인정하는 멋진 보상을 받으세요
일반적으로 개발자를 포함한 모든 컴퓨터 애호가는 지능과 기술로 인정 받기를 원합니다.그들의 기술을 인정하는 특정 상태 스티커, 괴짜 도구, 특수 배지 또는 맞춤 프린트 티셔츠를 보상으로 주면 개발자들은 자랑스럽게 그 제품을 입거나 전시할 것입니다.트레이닝 프로그램에서 중요한 성과를 거둔 사람이 있다면 그 사람에게 인정과 노출을 줄 수 있는 방법을 생각해 보는 것이 중요합니다.한 고객이 Secure Code Warrior 챔피언의 사진을 정기적으로 찍어 회사 CISO의 사진 및 메시지와 함께 직원 뉴스레터에 게시한 것이 아주 좋은 아이디어였습니다.
4.개발자를 보안 전문가로 만들려고 하지 마세요.
개발자가 안전하게 코딩할 수 있도록 지원하여 보안 프로그램의 “1차 방어선”으로 만들고 싶지만, 그렇다고 해서 개발자가 비즈니스에서 가장 심층적인 보안 전문가가 될 필요는 없습니다. 또는 새로운 보안 취약점과 데이터 침해 사례를 지속적으로 알려야 한다는 의미는 아닙니다.보안도 중요하지만, 이들의 주요 목표는 훌륭한 제품이나 서비스를 구축하고 비즈니스 속도를 따라가는 것인 경우가 많습니다.다른 사람에게 너무 많은 보안을 과부하시키면 상대방의 참여를 끊을 위험이 있습니다.배운 주요 교훈은 기본적인 보안 위생을 이해하고 안전하게 코딩할 수 있는 도구를 통해 지원해야 한다는 것입니다. 하지만 회사 보안 전문가가 될 필요는 없습니다.
5.훈련을 측정하지 말고 그 영향을 측정하세요.
개발자가 얼마나 많은 교육을 받는지, 얼마나 많은 비디오를 시청하는지 측정하지 말고, 각 팀에서 프로그램을 시작하기 전에 코드 분석, 버그 바운티 또는 클래식 취약성 테스트를 통해 개발 라이프사이클에서 발견되는 약점의 수를 측정하십시오.교육 프로그램이 제대로 작동하면 식별되는 취약점의 수가 줄어들 것입니다.두 번째로 측정해야 할 것은 취약점을 수정하는 데 걸리는 시간입니다.개발자가 문제를 해결하는 데 한 달이 걸린다는 것은 개발자가 해결 방법을 이해하지 못한다는 것을 분명히 보여줍니다. 하지만 한 시간 안에 문제를 해결할 수 있다면 기술을 숙달했다는 것을 알 수 있습니다.영리한 회사들이 개발자 보안 코딩 교육의 영향을 측정하기 위해 사용하는 두 가지 지표는 다음과 같습니다.
효과적인 개발자 보안 교육을 실시하는 방법에 관한 5가지 중요한 교훈:
- 프로그램이 영향력을 발휘하기를 원한다면 킥오프에 재미를 더하세요.
- 적합한 개발자 보안 교육 전문가를 찾아보세요 (힌트: 보안 기술보다 커뮤니케이션 기술이 필요합니다!)
- 기술을 인정하는 멋진 보상을 받으세요
- 개발자를 보안 전문가로 만들려고 하지 마세요.
- 훈련을 측정하지 말고 영향을 측정하세요
한 개발자 애플리케이션 보안 교육 프로그램이 다른 프로그램보다 더 나은 결과를 내는 이유는 무엇입니까?
SANS 트레이너로 10년 이상 근무하고 지난 3년 동안 Secure Code Warrior (SCW) 를 설립하고 구축하면서 교육 프로그램을 통해 최상의 결과를 얻을 수 있도록 시간과 자원을 투자하는 것이 얼마나 가치가 있는지 알게 되었습니다.
판매 첫해에 우리 회사는 10,000명 이상의 개발자를 참여시켰습니다. 보안 코드 교육그리고 가장 효과적인 출시를 한 사람들 사이에서 여러 트렌드를 발견했습니다.그 결과 가슴이 벅차오릅니다. 비용이 많이 들기 전에 보안 취약점을 조기에 발견함으로써 참여도가 높아지고 보안 인식이 향상되며 프로그램의 ROI를 크게 높일 수 있었습니다.
인정하기는 싫지만, “노력이 적게 드는” 접근 방식을 취하고 교육 링크가 포함된 이메일을 보내 프로그램을 출시하려고 시도한 사람들도 몇 명 있었습니다.그다지 효과가 없었다는 것은 놀라운 일이 아닙니다. 그래서 우리는 이러한 출시를 바로잡아야 했습니다.
아래에서는 우리 프로그램을 포함한 모든 개발자 보안 교육 프로그램의 참여 수준, 영향력 및 성공을 크게 향상시킬 다섯 가지 중요한 교훈을 공유하고자 합니다.
1.프로그램이 영향력을 발휘하기를 원한다면 킥오프에 재미를 더하세요.
특별한 킥오프 데이 이벤트를 만들거나 프로그램에 영화/괴짜/게임 테마를 제공하면 시작부터 흥분과 참여도가 크게 달라질 수 있습니다.당사의 대규모 고객 중 한 명이 인기 TV 시리즈를 중심으로 티셔츠, 배지, 스티커가 포함된 판타지 프로그램을 만들었기 때문에 전체 교육 프로그램을 개발자가 놓치고 싶어하는 경험이 될 수 있습니다.스타워즈를 주제로 한 이벤트도 있는데, 5월 4일에 편리하게 개최되었습니다.약간의 재미는 직원들의 참여를 돕는 데 큰 도움이 됩니다. 중요한 개발자 보안 코드 기술 교육을 짧게 들으면 또 다른 해야 할 일이 아니라 일을 쉬고 있는 것처럼 느껴질 수 있습니다.마일스톤 #1 달성, 우리는 직원들의 관심을 끌고 직원들이 이 프로그램에 대해 잘 알고 있다는 것을 알게 되었습니다.
2.적합한 개발자 보안 교육 전문가를 찾아보세요 (힌트: 그들은 보안 기술보다 커뮤니케이션 기술을 필요로 합니다!)
각 스크럼 팀에서 적합한 보안 전문가를 찾을 수 있는 것은 특히 대규모 조직에서 지속적인 프로그램 성공에 매우 중요합니다.제 경험상 고도로 숙련된 보안 또는 개발자 전문가가 모두 고도로 발달한 사람 및/또는 커뮤니케이션 기술을 갖춘 것은 아닙니다.프로그램에 긍정적인 영향을 줄 최고의 보안 챔피언은 보안에 대한 열정과 강력한 인력, 영향력, 커뮤니케이션 기술을 갖춘 사람들입니다.현명하게 선택하고 성격과 의사 소통 기술을 고려하세요.
3.기술을 인정하는 멋진 보상을 받으세요
일반적으로 개발자를 포함한 모든 컴퓨터 애호가는 지능과 기술로 인정 받기를 원합니다.그들의 기술을 인정하는 특정 상태 스티커, 괴짜 도구, 특수 배지 또는 맞춤 프린트 티셔츠를 보상으로 주면 개발자들은 자랑스럽게 그 제품을 입거나 전시할 것입니다.트레이닝 프로그램에서 중요한 성과를 거둔 사람이 있다면 그 사람에게 인정과 노출을 줄 수 있는 방법을 생각해 보는 것이 중요합니다.한 고객이 Secure Code Warrior 챔피언의 사진을 정기적으로 찍어 회사 CISO의 사진 및 메시지와 함께 직원 뉴스레터에 게시한 것이 아주 좋은 아이디어였습니다.
4.개발자를 보안 전문가로 만들려고 하지 마세요.
개발자가 안전하게 코딩할 수 있도록 지원하여 보안 프로그램의 “1차 방어선”으로 만들고 싶지만, 그렇다고 해서 개발자가 비즈니스에서 가장 심층적인 보안 전문가가 될 필요는 없습니다. 또는 새로운 보안 취약점과 데이터 침해 사례를 지속적으로 알려야 한다는 의미는 아닙니다.보안도 중요하지만, 이들의 주요 목표는 훌륭한 제품이나 서비스를 구축하고 비즈니스 속도를 따라가는 것인 경우가 많습니다.다른 사람에게 너무 많은 보안을 과부하시키면 상대방의 참여를 끊을 위험이 있습니다.배운 주요 교훈은 기본적인 보안 위생을 이해하고 안전하게 코딩할 수 있는 도구를 통해 지원해야 한다는 것입니다. 하지만 회사 보안 전문가가 될 필요는 없습니다.
5.훈련을 측정하지 말고 그 영향을 측정하세요.
개발자가 얼마나 많은 교육을 받는지, 얼마나 많은 비디오를 시청하는지 측정하지 말고, 각 팀에서 프로그램을 시작하기 전에 코드 분석, 버그 바운티 또는 클래식 취약성 테스트를 통해 개발 라이프사이클에서 발견되는 약점의 수를 측정하십시오.교육 프로그램이 제대로 작동하면 식별되는 취약점의 수가 줄어들 것입니다.두 번째로 측정해야 할 것은 취약점을 수정하는 데 걸리는 시간입니다.개발자가 문제를 해결하는 데 한 달이 걸린다는 것은 개발자가 해결 방법을 이해하지 못한다는 것을 분명히 보여줍니다. 하지만 한 시간 안에 문제를 해결할 수 있다면 기술을 숙달했다는 것을 알 수 있습니다.영리한 회사들이 개발자 보안 코딩 교육의 영향을 측정하기 위해 사용하는 두 가지 지표는 다음과 같습니다.
효과적인 개발자 보안 교육을 실시하는 방법에 관한 5가지 중요한 교훈:
- 프로그램이 영향력을 발휘하기를 원한다면 킥오프에 재미를 더하세요.
- 적합한 개발자 보안 교육 전문가를 찾아보세요 (힌트: 보안 기술보다 커뮤니케이션 기술이 필요합니다!)
- 기술을 인정하는 멋진 보상을 받으세요
- 개발자를 보안 전문가로 만들려고 하지 마세요.
- 훈련을 측정하지 말고 영향을 측정하세요
点击下方链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
한 개발자 애플리케이션 보안 교육 프로그램이 다른 프로그램보다 더 나은 결과를 내는 이유는 무엇입니까?
SANS 트레이너로 10년 이상 근무하고 지난 3년 동안 Secure Code Warrior (SCW) 를 설립하고 구축하면서 교육 프로그램을 통해 최상의 결과를 얻을 수 있도록 시간과 자원을 투자하는 것이 얼마나 가치가 있는지 알게 되었습니다.
판매 첫해에 우리 회사는 10,000명 이상의 개발자를 참여시켰습니다. 보안 코드 교육그리고 가장 효과적인 출시를 한 사람들 사이에서 여러 트렌드를 발견했습니다.그 결과 가슴이 벅차오릅니다. 비용이 많이 들기 전에 보안 취약점을 조기에 발견함으로써 참여도가 높아지고 보안 인식이 향상되며 프로그램의 ROI를 크게 높일 수 있었습니다.
인정하기는 싫지만, “노력이 적게 드는” 접근 방식을 취하고 교육 링크가 포함된 이메일을 보내 프로그램을 출시하려고 시도한 사람들도 몇 명 있었습니다.그다지 효과가 없었다는 것은 놀라운 일이 아닙니다. 그래서 우리는 이러한 출시를 바로잡아야 했습니다.
아래에서는 우리 프로그램을 포함한 모든 개발자 보안 교육 프로그램의 참여 수준, 영향력 및 성공을 크게 향상시킬 다섯 가지 중요한 교훈을 공유하고자 합니다.
1.프로그램이 영향력을 발휘하기를 원한다면 킥오프에 재미를 더하세요.
특별한 킥오프 데이 이벤트를 만들거나 프로그램에 영화/괴짜/게임 테마를 제공하면 시작부터 흥분과 참여도가 크게 달라질 수 있습니다.당사의 대규모 고객 중 한 명이 인기 TV 시리즈를 중심으로 티셔츠, 배지, 스티커가 포함된 판타지 프로그램을 만들었기 때문에 전체 교육 프로그램을 개발자가 놓치고 싶어하는 경험이 될 수 있습니다.스타워즈를 주제로 한 이벤트도 있는데, 5월 4일에 편리하게 개최되었습니다.약간의 재미는 직원들의 참여를 돕는 데 큰 도움이 됩니다. 중요한 개발자 보안 코드 기술 교육을 짧게 들으면 또 다른 해야 할 일이 아니라 일을 쉬고 있는 것처럼 느껴질 수 있습니다.마일스톤 #1 달성, 우리는 직원들의 관심을 끌고 직원들이 이 프로그램에 대해 잘 알고 있다는 것을 알게 되었습니다.
2.적합한 개발자 보안 교육 전문가를 찾아보세요 (힌트: 그들은 보안 기술보다 커뮤니케이션 기술을 필요로 합니다!)
각 스크럼 팀에서 적합한 보안 전문가를 찾을 수 있는 것은 특히 대규모 조직에서 지속적인 프로그램 성공에 매우 중요합니다.제 경험상 고도로 숙련된 보안 또는 개발자 전문가가 모두 고도로 발달한 사람 및/또는 커뮤니케이션 기술을 갖춘 것은 아닙니다.프로그램에 긍정적인 영향을 줄 최고의 보안 챔피언은 보안에 대한 열정과 강력한 인력, 영향력, 커뮤니케이션 기술을 갖춘 사람들입니다.현명하게 선택하고 성격과 의사 소통 기술을 고려하세요.
3.기술을 인정하는 멋진 보상을 받으세요
일반적으로 개발자를 포함한 모든 컴퓨터 애호가는 지능과 기술로 인정 받기를 원합니다.그들의 기술을 인정하는 특정 상태 스티커, 괴짜 도구, 특수 배지 또는 맞춤 프린트 티셔츠를 보상으로 주면 개발자들은 자랑스럽게 그 제품을 입거나 전시할 것입니다.트레이닝 프로그램에서 중요한 성과를 거둔 사람이 있다면 그 사람에게 인정과 노출을 줄 수 있는 방법을 생각해 보는 것이 중요합니다.한 고객이 Secure Code Warrior 챔피언의 사진을 정기적으로 찍어 회사 CISO의 사진 및 메시지와 함께 직원 뉴스레터에 게시한 것이 아주 좋은 아이디어였습니다.
4.개발자를 보안 전문가로 만들려고 하지 마세요.
개발자가 안전하게 코딩할 수 있도록 지원하여 보안 프로그램의 “1차 방어선”으로 만들고 싶지만, 그렇다고 해서 개발자가 비즈니스에서 가장 심층적인 보안 전문가가 될 필요는 없습니다. 또는 새로운 보안 취약점과 데이터 침해 사례를 지속적으로 알려야 한다는 의미는 아닙니다.보안도 중요하지만, 이들의 주요 목표는 훌륭한 제품이나 서비스를 구축하고 비즈니스 속도를 따라가는 것인 경우가 많습니다.다른 사람에게 너무 많은 보안을 과부하시키면 상대방의 참여를 끊을 위험이 있습니다.배운 주요 교훈은 기본적인 보안 위생을 이해하고 안전하게 코딩할 수 있는 도구를 통해 지원해야 한다는 것입니다. 하지만 회사 보안 전문가가 될 필요는 없습니다.
5.훈련을 측정하지 말고 그 영향을 측정하세요.
개발자가 얼마나 많은 교육을 받는지, 얼마나 많은 비디오를 시청하는지 측정하지 말고, 각 팀에서 프로그램을 시작하기 전에 코드 분석, 버그 바운티 또는 클래식 취약성 테스트를 통해 개발 라이프사이클에서 발견되는 약점의 수를 측정하십시오.교육 프로그램이 제대로 작동하면 식별되는 취약점의 수가 줄어들 것입니다.두 번째로 측정해야 할 것은 취약점을 수정하는 데 걸리는 시간입니다.개발자가 문제를 해결하는 데 한 달이 걸린다는 것은 개발자가 해결 방법을 이해하지 못한다는 것을 분명히 보여줍니다. 하지만 한 시간 안에 문제를 해결할 수 있다면 기술을 숙달했다는 것을 알 수 있습니다.영리한 회사들이 개발자 보안 코딩 교육의 영향을 측정하기 위해 사용하는 두 가지 지표는 다음과 같습니다.
효과적인 개발자 보안 교육을 실시하는 방법에 관한 5가지 중요한 교훈:
- 프로그램이 영향력을 발휘하기를 원한다면 킥오프에 재미를 더하세요.
- 적합한 개발자 보안 교육 전문가를 찾아보세요 (힌트: 보안 기술보다 커뮤니케이션 기술이 필요합니다!)
- 기술을 인정하는 멋진 보상을 받으세요
- 개발자를 보안 전문가로 만들려고 하지 마세요.
- 훈련을 측정하지 말고 영향을 측정하세요
%20(1).avif)
.avif)
