효과적인 개발자 보안 교육을 실시하는 방법: 5가지 중요한 교훈

한 개발자 애플리케이션 보안 교육 프로그램이 다른 프로그램보다 더 나은 결과를 내는 이유는 무엇입니까?
SANS 트레이너로 10년 이상 근무하고 지난 3년 동안 Secure Code Warrior (SCW) 를 설립하고 구축하면서 교육 프로그램을 통해 최상의 결과를 얻을 수 있도록 시간과 자원을 투자하는 것이 얼마나 가치가 있는지 알게 되었습니다.
판매 첫해에 우리 회사는 10,000명 이상의 개발자를 참여시켰습니다. 보안 코드 교육그리고 가장 효과적인 출시를 한 사람들 사이에서 여러 트렌드를 발견했습니다.그 결과 가슴이 벅차오릅니다. 비용이 많이 들기 전에 보안 취약점을 조기에 발견함으로써 참여도가 높아지고 보안 인식이 향상되며 프로그램의 ROI를 크게 높일 수 있었습니다.
인정하기는 싫지만, “노력이 적게 드는” 접근 방식을 취하고 교육 링크가 포함된 이메일을 보내 프로그램을 출시하려고 시도한 사람들도 몇 명 있었습니다.그다지 효과가 없었다는 것은 놀라운 일이 아닙니다. 그래서 우리는 이러한 출시를 바로잡아야 했습니다.
아래에서는 우리 프로그램을 포함한 모든 개발자 보안 교육 프로그램의 참여 수준, 영향력 및 성공을 크게 향상시킬 다섯 가지 중요한 교훈을 공유하고자 합니다.
1.프로그램이 영향력을 발휘하기를 원한다면 킥오프에 재미를 더하세요.
특별한 킥오프 데이 이벤트를 만들거나 프로그램에 영화/괴짜/게임 테마를 제공하면 시작부터 흥분과 참여도가 크게 달라질 수 있습니다.당사의 대규모 고객 중 한 명이 인기 TV 시리즈를 중심으로 티셔츠, 배지, 스티커가 포함된 판타지 프로그램을 만들었기 때문에 전체 교육 프로그램을 개발자가 놓치고 싶어하는 경험이 될 수 있습니다.스타워즈를 주제로 한 이벤트도 있는데, 5월 4일에 편리하게 개최되었습니다.약간의 재미는 직원들의 참여를 돕는 데 큰 도움이 됩니다. 중요한 개발자 보안 코드 기술 교육을 짧게 들으면 또 다른 해야 할 일이 아니라 일을 쉬고 있는 것처럼 느껴질 수 있습니다.마일스톤 #1 달성, 우리는 직원들의 관심을 끌고 직원들이 이 프로그램에 대해 잘 알고 있다는 것을 알게 되었습니다.
2.적합한 개발자 보안 교육 전문가를 찾아보세요 (힌트: 그들은 보안 기술보다 커뮤니케이션 기술을 필요로 합니다!)
각 스크럼 팀에서 적합한 보안 전문가를 찾을 수 있는 것은 특히 대규모 조직에서 지속적인 프로그램 성공에 매우 중요합니다.제 경험상 고도로 숙련된 보안 또는 개발자 전문가가 모두 고도로 발달한 사람 및/또는 커뮤니케이션 기술을 갖춘 것은 아닙니다.프로그램에 긍정적인 영향을 줄 최고의 보안 챔피언은 보안에 대한 열정과 강력한 인력, 영향력, 커뮤니케이션 기술을 갖춘 사람들입니다.현명하게 선택하고 성격과 의사 소통 기술을 고려하세요.
3.기술을 인정하는 멋진 보상을 받으세요
일반적으로 개발자를 포함한 모든 컴퓨터 애호가는 지능과 기술로 인정 받기를 원합니다.그들의 기술을 인정하는 특정 상태 스티커, 괴짜 도구, 특수 배지 또는 맞춤 프린트 티셔츠를 보상으로 주면 개발자들은 자랑스럽게 그 제품을 입거나 전시할 것입니다.트레이닝 프로그램에서 중요한 성과를 거둔 사람이 있다면 그 사람에게 인정과 노출을 줄 수 있는 방법을 생각해 보는 것이 중요합니다.한 고객이 Secure Code Warrior 챔피언의 사진을 정기적으로 찍어 회사 CISO의 사진 및 메시지와 함께 직원 뉴스레터에 게시한 것이 아주 좋은 아이디어였습니다.
4.개발자를 보안 전문가로 만들려고 하지 마세요.
개발자가 안전하게 코딩할 수 있도록 지원하여 보안 프로그램의 “1차 방어선”으로 만들고 싶지만, 그렇다고 해서 개발자가 비즈니스에서 가장 심층적인 보안 전문가가 될 필요는 없습니다. 또는 새로운 보안 취약점과 데이터 침해 사례를 지속적으로 알려야 한다는 의미는 아닙니다.보안도 중요하지만, 이들의 주요 목표는 훌륭한 제품이나 서비스를 구축하고 비즈니스 속도를 따라가는 것인 경우가 많습니다.다른 사람에게 너무 많은 보안을 과부하시키면 상대방의 참여를 끊을 위험이 있습니다.배운 주요 교훈은 기본적인 보안 위생을 이해하고 안전하게 코딩할 수 있는 도구를 통해 지원해야 한다는 것입니다. 하지만 회사 보안 전문가가 될 필요는 없습니다.
5.훈련을 측정하지 말고 그 영향을 측정하세요.
개발자가 얼마나 많은 교육을 받는지, 얼마나 많은 비디오를 시청하는지 측정하지 말고, 각 팀에서 프로그램을 시작하기 전에 코드 분석, 버그 바운티 또는 클래식 취약성 테스트를 통해 개발 라이프사이클에서 발견되는 약점의 수를 측정하십시오.교육 프로그램이 제대로 작동하면 식별되는 취약점의 수가 줄어들 것입니다.두 번째로 측정해야 할 것은 취약점을 수정하는 데 걸리는 시간입니다.개발자가 문제를 해결하는 데 한 달이 걸린다는 것은 개발자가 해결 방법을 이해하지 못한다는 것을 분명히 보여줍니다. 하지만 한 시간 안에 문제를 해결할 수 있다면 기술을 숙달했다는 것을 알 수 있습니다.영리한 회사들이 개발자 보안 코딩 교육의 영향을 측정하기 위해 사용하는 두 가지 지표는 다음과 같습니다.
효과적인 개발자 보안 교육을 실시하는 방법에 관한 5가지 중요한 교훈:
- 프로그램이 영향력을 발휘하기를 원한다면 킥오프에 재미를 더하세요.
- 적합한 개발자 보안 교육 전문가를 찾아보세요 (힌트: 보안 기술보다 커뮤니케이션 기술이 필요합니다!)
- 기술을 인정하는 멋진 보상을 받으세요
- 개발자를 보안 전문가로 만들려고 하지 마세요.
- 훈련을 측정하지 말고 영향을 측정하세요
Govern AI-driven development before it ships
Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.
Explore more blogs
우리는 이 방법을 잘 알고 있습니다. 우리는 이 두 가지 축복을 골고루 살기 위해 노력하고 있습니다.
%252520%252520(3).avif)
Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Security as culture: How Blue Prism cultivates world-class secure developers
Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

One Culture of Security: How Sage built their security champions program with agile secure code learning
Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.
%252520(1).avif)
Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)
Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.
Secure AI-driven development before it ships
See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

