2021년에는 전설적인 OWASP Top 10의 새로운 시대가 열립니다.이번 최신 릴리스에서는 인젝션 결함이 마침내 상위에서 제거되어 브로큰 액세스 제어 (Broken Access Control) 취약점이 발생하는 등 몇 가지 중대한 변화가 드러났습니다.안전하지 않은 설계, 소프트웨어 및 데이터 무결성 실패와 같은 새로운 항목은 독립형 보안 버그가 아닌 취약성 범주로 향하는 추세를 보여줍니다. 이는 위협 환경과 가장 일반적인 버그로 인한 잠재적 공격 표면이 확대되고 있음을 증명합니다.

OWASP는 우리가 매일 사용하는 소프트웨어에서 발견되는 가장 흔하고 교활한 보안 문제에 대해 항상 최고의 권위자였습니다. 조직이 노력해야 할 기준이 있다면 보안 교육을 받은 개발자의 도움을 받아 상위 10위 안에 드는 것입니다.많은 기업이 이를 인식하고 있지만, 코드에 대한 엄청난 수요에 직면하여 사이버 보안 기술 격차가 줄어들고 소프트웨어 안전에 긍정적인 영향을 미치려면 개발자 기술 향상으로 더 넓은 네트워크를 구축하기 시작해야 합니다.

이 백서는 다음을 포함하여 새로운 OWASP Top 10을 분석합니다.

• 취약성 범주와 개별 문제의 영향
• 아키텍처 보안이 새롭게 주목받는 이유
• OWASP Top 10을 기준으로 삼는 가치와 회사가 개발자 기술 향상 우선 순위 목록을 자체적으로 계획해야 하는 이유
• 취약성 감소를 위한 인간 중심 솔루션이 도구 기반 방어보다 더 총체적인 접근 방식인 이유

‍

개발자가 생산성과 코드 보안을 개선할 수 있도록 지원

Secure Code Warrior는 Gartner® Cool Vendors™ 소프트웨어 엔지니어링: 개발자 생산성 향상 보고서에 선정된 네 회사 중 하나입니다.

Gartner에 따르면 소프트웨어 엔지니어는 복잡한 코드 환경을 탐색하고 생산성을 유지하면서 구축하는 시스템의 보안을 개선하는 데 어려움을 겪고 있습니다.보안 및 엔지니어링 리더는 본 연구에서 조직이 개발자 생산성을 높이고 보안 위험을 완화하는 데 도움이 되는 혁신적인 솔루션을 제공하는 Cool Vendor를 고려해야 합니다.

지금 전체 보고서를 확인하세요.

‍

아룬 배추 (Arun Batchu), 마티 레스닉, 만주나스 바트의 2022년 5월 16일 보고서를 읽어보세요. 소프트웨어 엔지니어링 분야의 가트너 쿨 벤더: 개발자 생산성 향상

‍ *_{GARTNER는 미국 및 전 세계에서 Gartner, Inc. 및/또는 그 계열사의 등록 상표 및 서비스 마크이며 허가를 받아 여기에 사용되었습니다.모든 권리 보유.GARTNER COOL VENDER 배지는 Gartner, Inc. 및/또는 그 계열사의 상표 및 서비스 마크이며 허가를 받아 여기에 사용되었습니다.모든 권리 보유.Gartner는 연구 간행물에 묘사된 공급업체, 제품 또는 서비스를 보증하지 않으며 기술 사용자에게 최고 등급 또는 기타 지정을 받은 공급업체만 선택하도록 조언하지 않습니다.가트너 연구 간행물은 가트너 리서치 및 자문 조직의 의견으로 구성되며 사실을 진술한 것으로 해석해서는 안 됩니다.Gartner는 상품성 또는 특정 목적에의 적합성에 대한 보증을 포함하여 본 연구와 관련된 모든 명시적 또는 묵시적 보증을 부인합니다.}

‍

개발자 팀이 보안 코드 기술 향상에 흥미를 가지게 하세요.
‍보안 교육은 개발자 워크플로의 또 다른 장애물처럼 느껴질 수 있지만, 이 한 페이지짜리 글은 개발자에게 어떤 도움이 되는지 설명합니다.

‍

Paysafe致力于将金融交易转变为基于信任的体验。 我们深知，要打造年交易额逾152亿美元的安全顺畅平台，必须超越基础合规标准。过去四年间，Paysafe通过与Secure Code Warrior的合作，持续推进开发者风险管理的整体化策略，其应用安全计划已对整体业务需求产生积极影响，包括：

任务：强化Paysafe整体的安全代码标准

作为跨国在线支付服务提供商，Paysafe始终将安全编码视为超越PCI DSS合规要求的战略优先事项。Paysafe的目标始终是持续扩大安全编码计划的范围与规模，确保采用业界领先的应用程序安全策略，并使工程师从编码之初就具备安全意识——尽管专家主导的正式课堂培训课程和技术评估曾是初期努力的重要组成部分。

“对我们而言，勾选已完成的培训项目绝非易事。我们的目标是让员工持续掌握自身发展进程。我们始终致力于成为更优秀的人，完成更多工作。希望工程团队与安全团队能够通力协作。具备自主发展能力的团队能够获取更多信息，设计出更优质的代码。”Paysafe人才发展合作伙伴Boyan Hristov如是说。

Paysafe的愿景是培养具备安全意识的工程师，使其能够抵御安全威胁，并在软件开发生命周期的每个阶段应用安全编码实践。为此，我们需要一个可扩展、参与度高且持续的项目，不仅能提供PCI合规性审计证据，更能推动深层次的持续文化变革。该计划包含游戏化学习体验、定期竞赛以及持续性培训等内容，旨在激发开发者参与热情，引领行业安全趋势前沿。

解决方案：采用安全代码战士的尖端方法

Paysafe采用Secure Code Warrior的开发者风险管理平台，以扩展安全编码实践、激励工程师参与，并支持在开发生命周期早期纳入安全措施。随着时间推移，安全冠军计划不断发展壮大，Secure Code Warrior在实现网络风险防范目标方面发挥着关键作用。

Paysafe通过鼓励开发者有机参与平台，并通过锦标赛等游戏化活动及提供诱人奖品来激发开发者的参与热情。该计划初次推出时，强制要求完成若干评估以满足PCI合规要求，同时将其他内容和活动设为可选项。

随着该计划的广受欢迎，管理层提供了额外支持，进一步协调了开发团队与信息安全团队的目标。这使得Paysafe团队得以将计划提升到更高层次，并引入了包含指定KPI和成功激励机制的更正式认证计划。

该计划的下一阶段聚焦于行业标准OWASP十大主题，通过认证阶段，开发者可获得不同层级的成就。如今该计划已达到全新规模与成熟度，全面提升了从全职到兼职开发者的基准标准。

“我们非常珍视过去四年与SCW建立的合作伙伴关系。”Paysafe首席信息安全官艾伦·奥斯本（Alan Osborne）表示，“正因如此，我们得以基于共同承诺——在软件开发生命周期（SDLC）中尽早实现安全编码——提供定制化的应用安全培训，并加强了安全团队与工程团队之间的协作关系。”

在CISO、CTO及管理层对工程全流程的持续支持与协调下，Paysafe与Secure Code Warrior携手不断完善该计划。如今该计划已与业务需求紧密结合，不仅成效显著，更因高度相关性与参与度而深受内部团队推崇。

结果：针对组织整体安全代码的新标准

自四年前启动以来，Paysafe的应用程序安全计划已取得显著进展。通过与Secure Code Warrior的合作，Paysafe证明了全面的开发人员风险管理方法能够为整个组织带来巨大影响。

Paysafe对SAST扫描数据的分析表明，接受过Secure Code Warrior培训的团队所开发的应用程序，在初始开发扫描中检测到的漏洞数量显著减少。在开发人员更积极使用SCW平台的团队中，首次检查发现的漏洞数量进一步降低。

在Secure Code Warrior平台上，活跃度和参与度最高的团队在早期开发阶段发现的漏洞逐年大幅减少。这凸显了持续技术培训在强化安全编码习惯方面的附加价值。由于从一开始就编写安全代码，该团队及其他团队在软件开发生命周期（SDLC）中节省了大量时间。通过在开发初期预防代码漏洞，团队无需再耗费数千小时识别、记录和重构漏洞代码。开发者生产力因此提升45%，这不仅验证了安全编码技能提升的效益，更有效优化了日常开发流程。这对工程团队和应用安全团队而言，实属双赢机遇。

Paysafe凭借对安全代码的坚定承诺脱颖而出，在SCW信任^{指数®银行} 与^金融服务 基准评估中荣登第四位。尽管这是Paysafe引以为傲的成就，但公司对安全代码倡议的投入远不止于此。依托与安全代码战士（Secure Code Warrior）合作取得的成果，Paysafe正致力于进一步完善该计划。

Paysafe首席信息安全官艾伦·奥斯本（Alan Osborne）表示：“Secure Code Warrior不仅提升了开发人员的生产力，加速了产品及改进方案的上市进程，更在长期运营中显著降低了成本与风险。” 他表示："我们已证明，基于强化开发者培训的安全编码并非'锦上添花'，而是经实践验证的投资——它既能提升开发者的技术能力、经验积累与专业素养，又能创造切实的投资回报。"

接下来，Paysafe旨在通过整合额外的治理和风险管理措施，进一步强化其安全标准的实施。这体现在SCW Trust Agent与Secure Code Warrior的长期合作关系中，该合作不仅深化了双方的伙伴关系，更彰显了对网络安全卓越性的坚定承诺。

최근 Aberdeen 보고서에 따르면 9개 조직 중 8개 조직은 코드베이스의 규정 준수 또는 취약성 문제를 인식하지 못했습니다.문제를 식별한 한 회사의 경우 소프트웨어 감사를 통해 결국 밝혀낸 실제 문제의 9.5% 만 알고 있었습니다.이는 보안 및 규정 준수 위험 관리에 있어 회피와 해결의 격차를 동시에 나타냅니다.

엔지니어링 팀과 리더가 위험 없는 솔루션을 만들고 제공하는 조직의 능력에 오픈 소스 소프트웨어가 미치는 영향을 더 잘 이해하려면 이러한 격차를 줄이는 것이 중요합니다.해결책의 일환으로 보안 및 규정 준수의 중요성과 위험 완화 방법에 대해 개발자를 교육하고 발견 및 해결을 위한 올바른 도구를 마련하는 폐쇄형 프로세스를 만드는 것도 포함됩니다.

개발자, 엔지니어링 리더 또는 보안 전문가라면 이 웨비나에서 당사 전문가인 Revenera의 제품 관리 책임자인 Alex Rybak과 Secure Code Warrior의 CTO인 마티아스 마두의 이야기를 들어보십시오.

- 소프트웨어 개발 라이프사이클 전반에 걸쳐 지속적인 거버넌스 구현의 중요성.
- 소프트웨어 재료 명세서 (sBOM) 가 엔지니어링 리더에게 가장 좋은 이유
- 위험 식별 및 해결을 위해 합의된 부서 간 정책을 설정하는 것부터 신뢰할 수 있는 솔루션 개발이 시작되는 방법
- 규정 준수 및 보안 관리를 지원하기 위한 구조적 변경을 요구하는 업계 규정이 시행되고 있습니다.
- 이제 기업들이 보다 강력한 오픈소스 관리 이니셔티브를 위한 마이크로 트레이닝과 같은 프로그램을 통해 개발자 교육을 확보하는 데 중요한 역할을 하고 있습니다.