소프트웨어 개발 라이프사이클 (SDLC) 은 충분히 무해해 보입니다. 이는 하나의 프로세스이며, 우리 소프트웨어 담당자들은 모두 힘을 합쳐 마법같은 일을 만들어 사회에 없어서는 안 될 디지털 상품을 선보입니다.
단, 소프트웨어 개발 프로젝트에 참여해 본 적이 있다면 정복해야 할 퀘스트와 처치해야 할 용이 있는 어려운 프로젝트라는 것을 알 수 있을 것입니다.한동안은 재미있긴 하지만 번아웃은 현실입니다. 소프트웨어에 대한 수요로 인해 우리는 모두 최고의 시간에 빛의 속도로 작업하고 있습니다. 특히 개발 팀은 더욱 그렇습니다.
이제 그들에게 꼭 해야 할 또 다른 작업이 주어졌다고 상상해 보세요. 바로 그들이 접하는 프로젝트 요소의 보안에 대한 책임이죠.이로 인해 일부 개인에게는 최악의 경우 카드 하우스가 무너질 수도 있습니다. 하지만 더 현실적인 시나리오는 우선 순위가 정해지지 않아 선을 넘는 것이 더 시급하다고 여겨지는 문제가 우선시된다는 것입니다.그리고 대부분의 개발자가 안전하게 코딩하도록 교육받지 못한다면 (특히 관리자가 보안을 우선시하지 않는 경우) 잦은 데이터 유출, 결함 있는 앱 출시, 엄청난 버그 코드 때문에 보안 전문가들 사이에서 심각한 이탈이 한계점에 도달하는 것은 놀라운 일이 아닙니다.
개발자에게는 AppSec 지지자가 필요합니다.
위의 시나리오를 살펴보면 코딩 과정에서 보안이 “너무 어려운” 범주에 포함되고 보안 팀이 해결하도록 맡기는 이유를 이해할 수 있습니다.경쟁하는 마감일이 너무 많고, 교육도 충분하지 않으며, 다른 모든 일을 진행하면서 보안에 신경을 쓸 이유가 전혀 없습니다.하지만 이러한 현상 유지를 위해서는 코드에 대한 수요가 너무 많습니다.초특급 개발자들이 동료들보다 돋보이고, 새로운 기술을 배우고, 무엇보다 더 안전한 코드를 만들 수 있는 지점이 바로 이 지점입니다.
그러나 소프트웨어 보안을 관리하는 것이 개발자의 몫이 아니라는 점을 기억해야 합니다. 이는 여전히 AppSec 팀의 영역입니다 (보안을 잘 아는 개발자와 함께 작업할 때 일반적인 버그를 반복적으로 수정하는 대신 더 많은 호흡을 확보할 수 있습니다). 제대로 작동하는 데브섹옵스 프로세스 팀의 모든 구성원이 보안에 대한 책임을 분담하는 데 필요한 지원과 도구를 갖추어야 합니다. 올바른 종류의 교육 최고입니다.적절한 도구 모음과 교육의 균형을 맞추려면 개발자와 긴밀하게 협력하여 영감을 주고 긍정적인 변화를 주도하려는 AppSec 전문가의 통찰력이 필요합니다.
파괴적 훈련은 효과적이기보다는 짜증나는 일이며, 개발자에게 불쾌감을 주는 것은 효과가 없습니다.간단한 지식에 초점을 맞춘 IDE 또는 이슈 트래커 통합 솔루션이 한 가지 대안으로, 필요한 바로 그 순간에 올바른 정보를 사용자에게 제공합니다.
작동 원리는 다음과 같습니다.
“만약을 위한” 것이 아니라 적시적소에.
상황에 맞는 실습 학습 단연코 가장 효과적인 훈련 방법이며, 한 입 크기의 덩어리가 가장 적합할 때 바로 배달됩니다.이를 “Just in Time” (Jit) 교육이라고도 하는데, 보안 코딩을 배우는 개발자에게 매우 유용합니다.
원산지 포함 도요타의 린 제조 원칙, JIT 교육은 상황에 따라 가장 중요한 시점에 필요에 따라 활성화되도록 설계되었습니다.개발자가 부적절한 권한이 있는 것으로 보이는 내용을 방금 작성했나요?작은 백도어가 열려 공격자가 원격으로 코드를 실행할 수 있다면 어떨까요?개발자가 Confluence에서 문서를 뒤지거나 교육 과정에서 다룬 내용을 구글링하는 대신 필요할 때 바로 지식에 액세스할 수 있다면 훨씬 더 기억에 남을 것입니다.
저스트-인-타임 (Just-in-Time) 은 “만약을 대비한” 학습과는 정반대입니다. 후자가 지식을 전달하는 더 일반적인 방법이긴 하지만, 효율적이지는 않습니다.우리는 개발자들이 보안 코딩 모범 사례를 더 쉽게 활용할 수 있도록 해야 하며, 현재 작업 중인 주요 목표에 계속 집중하면서 경력을 쌓을 때 얻을 수 있는 이점을 확인해야 합니다.
개발자들이 교육을 쫓게 만들지 마세요.
우리는 이미 근무 시간이 너무 많다는 것을 알고 있습니다. 그렇다면 개발자들이 강의실로 달려가거나 컨텍스트 전환을 통해 정적 이론 기반 교육에 액세스하기 위해 5단계를 거치면 어떤 인센티브가 필요할까요?
데이터 침해를 야기하는 취약점의 양이 아무리 많아도 대부분의 조직이 무엇을 하든 그다지 효과적이지 않다는 것이 일반적인 의견입니다.Verizon의 2020년 데이터 침해 조사 보고서에는 다음과 같이 명시되어 있습니다. 데이터 침해의 43% 는 웹 취약점으로 인한 것일 수 있습니다..개발자들은 효과적인 교육을 받지 못하고 있습니다. 고등 교육을 받거나 직장 내 기술 향상 조치의 일환으로 받는 것도 아닙니다.그렇다면 SQL 인젝션, 올드스쿨 등과 같은 일반적인 취약점을 들 수 있습니다. 경로 탐색 상당한 데이터 손실로 악용되지 않을 것이며 사이버 보안 기술 부족도 통제 불능 상태가 아닐 것입니다.
개발자들이 교육을 받고 보안에 대해 알아가는 현재 환경이라는 것을 알면서도 결과가 좋지 않은 것에 놀란 이유는 무엇일까요?Jira, GitHub, IDE와 같이 실제로 작업하는 공간에서 액세스할 수 있는 더 원활하고 통합적이며 덜 거슬리는 교육 경험을 제공하는 것은 개발자와 조직 모두에게 긍정적인 영향을 미칠 수 있습니다.업계는 더 이상 사치가 아닌 환경에서 앞으로 나아가서 보안 인식을 훨씬 쉽게 만들기만 하면 됩니다.
개발 워크플로우를 보호할 준비가 되셨나요?
보안을 잘 아는 개발자는 코드 작성 단계부터 조직에 제공할 수 있는 기술과 보호 기능으로 높이 평가됩니다.보안은 더 이상 선택 사항이 아닙니다. 특히 GDPR 벌금, PCI-DSS 규정 준수 규정, NIST 거버넌스... 그리고 수백만 달러 규모의 대규모 집단 소송인 알라 에퀴팩스 (A'la Equifax) 에서 소송을 당할 가능성이 커졌기 때문입니다.
통합된 접근 방식은 방해가 적은 학습으로 개발자의 관심을 끌 수 있는 촉매제가 될 수 있습니다. 심층적인 과정을 위한 경로를 만들고, 보안 전문가를 교육하고, 전 세계 데이터를 안전하게 보호하는 데 필요한 공동 책임을 전반적으로 고취시킬 수 있습니다.
에 대한 통합 도구 다운로드 지라 과 깃허브 이제 어떻게 생각하는지 알려주세요.
