Blog

반복 가능한 보안 체계 체계로 좌회전 (및 규정 준수)

November 10, 2022
Secure Code Warrior

오늘날 거의 모든 개발자 팀은 회사가 업계 프레임워크 또는 정부 규정의 범위를 벗어나지 않도록 하는 데 사용되는 초기 인증 프로세스의 일부이든, 연간 요구 사항이나 검토의 일부이든 관계없이 일종의 규정 준수 교육을 사용합니다.조직이 기본적인 규정 준수 요구 사항을 충족하지 못하면 직원들이 현실적으로 직무를 수행할 수 없기 때문에 이는 중요한 단계입니다.

규정 준수 규칙이 존재하는 데에는 이유가 있습니다. 해당 규칙이 다루는 분야에서 일하는 사람은 누구나 관련 법률은 물론 모든 관련 프로세스와 절차를 최소한 근본적으로 이해해야 하기 때문입니다.

규정 준수 교육도 중요하지만 필수 최소 요구 사항을 완료한다고 해서 진정한 애플리케이션 보안이 보장되는 것은 아닙니다.보안 코딩 기술을 일상적인 워크플로에 통합하려는 개발자의 경우 특히 그렇습니다.거의 모든 개발자가 일정한 형태의 규정 준수 교육을 받지만 설문조사를 실시한 결과 67% 는 코드에 취약점을 남기는 경우가 많다고 답했습니다.

왜요?

시큐어 코드 워리어는 2021년 12월에 에반스 데이터 코퍼레이션과 협력하여 “2022년 개발자 주도 보안 현황 설문조사”를 2년째 실시했습니다.전 세계 1,200명의 개발자를 대상으로 보안 코딩 관행에 관한 기술, 인식, 행동, 그리고 소프트웨어 개발 라이프사이클 (SDLC) 에서의 영향 및 관련성을 파악하기 위해 설문조사를 실시했습니다.

규정 준수 교육이 소프트웨어 보안을 개선하지 못하는 이유에 대해서는 오랫동안 논의되어 온 문제입니다.최근 설문조사에서는 이 문제를 간단히 부각시키고 있습니다.

한편으로 개발자들은 애플리케이션 및 프로그램의 코드를 처음 작성할 때를 포함하여 소프트웨어 개발 프로세스 전체에 사이버 보안을 포함시킴으로써 새로운 역할을 수행하라는 요청을 받고 있습니다.하지만 보안 코드를 작성하거나 보안 코드에 영향을 미칠 수 있는 사이버 보안 문제 및 취약점에 대해 모두 배우는 것조차 쉬운 일이 아닙니다. 설문조사에서 개발자의 63% 가 보안 코드 작성이 어려운 작업이라고 답했습니다.

보안 코드 작성의 어려움은 놀라운 일이 아닙니다.수많은 고임금 사이버 보안 관련 일자리가 실현되지 못하는 데는 다 이유가 있습니다. 마침내 집계한 결과, 전 세계적으로 350만 개 이상의 일자리가 창출되었습니다.쉬운 일이었다면 누구나 그 분야에 뛰어들었을 것입니다.위협에 대처하고 코드 내에서 취약점을 제거하는 방법을 배우는 것은 어려운 일이며 위협 환경은 끊임없이 변화하고 있습니다.정적 규정 준수 교육이나 일회성 수업으로는 개발자에게 필요한 교육을 따라잡거나 제공할 수 없습니다.규정 준수 측면에서는 문제가 없을 수도 있지만 조직에 실질적인 애플리케이션 보안 보장을 제공하거나 개발자가 보안 코드를 작성하거나 코드 취약점을 찾아 해결하는 기술을 제공할 수는 없습니다.

규정 준수 및 보안 교육은 중요하지만 다릅니다

조직은 규정 준수 교육이 무엇을 할 수 있고 무엇을 할 수 없는지 깨닫고 인정하기 시작해야 합니다. 특히 법률에 의해 의무화되어 있는 경우 규정 준수 교육을 포기하지 마십시오.특히 (현재의 교육 방법으로도) 설문 응답자의 92% 가 규정 준수 관련 문제나 보안 프레임워크에 대해 최소한 어느 정도의 교육이 필요하다고 답했고, 50% 는 상당한 규정 준수 교육이 필요하다고 강조했기 때문입니다.

교육에 가장 관심이 많았던 규정 준수 프레임워크에는 다양한 산업에 특화된 규정 준수 프레임워크가 포함되었지만, 몇 가지 일반 사이버 보안 프레임워크도 목록에 포함되었습니다.여기에는 CIS 보안 프레임워크, PCI DSS, OWASP Top 10, MISRA C, ISO/IEC, 건강 보험 이전 및 책임법 (HIPAA) 등이 포함되었습니다.

네, 이러한 프레임워크에 따라 교육하세요. 하지만 규정 준수 교육의 확인란을 선택하는 것이 보안 코드의 지속적인 생성을 위한 기반을 제공하는 것과 같지는 않다는 점을 이해하십시오.

대신 규정 준수 교육을 개발자의 보안 코딩 기술을 규정 준수 주기 이후에도 반복할 수 있는 지속적인 기회의 일부로 간주하여 개발자가 매일 보안 소프트웨어를 만들고 출시할 수 있도록 하세요.규정 준수를 달성하는 것에서 개발 팀이 지속적인 학습을 통해 안전하게 코딩할 수 있도록 지원하는 것으로 우선 순위를 바꾸십시오.개발자 지원에 시간과 리소스를 투자하면 직원들이 매년 체크박스 규정 준수 연습이나 시험을 쉽게 통과하고 완료할 수 있을 뿐만 아니라 전반적인 생산성 향상의 이점을 누릴 수 있습니다.

개발자 중심 보안으로 전환하려면 어떻게 해야 할까요?

개발자들은 교육이 가치 있다고 압도적으로 말했지만 수년 동안 보안 코딩과 관련하여 받은 교육 유형에는 문제를 제기했습니다.개발자들은 자신의 직무와 관련이 있는 실제 사례를 활용한 실습 교육에 더 중점을 두고 싶다고 답했습니다 (30%).응답자의 26% 는 특히 실습의 일환으로 보안 코드 작성을 실제로 연습할 수 있는 경우 상호작용이 더 중요하다고 답했습니다.

설문 조사에 참여한 개발자 중 23% 는 해당 산업 또는 부문에서 발생할 가능성이 가장 높은 특정 취약성에 초점을 맞춘 추가 안내 교육을 받고자 하는 욕구를 중요하게 여겼으며, 22% 는 교육 과정에서 실제 취약성 사례를 더 많이 보고 싶어했습니다.

정적인 비대화형 교육 (일반적으로 규정 준수 교육 경험) 을 제공하는 것만으로는 반복 가능한 개발자 보안 기술 측면에서 가치가 거의 없다는 것이 분명합니다.대신 조직은 개발자가 작업하면서 보안에 대해 배울 수 있는 적시 교육과 같은 것에 집중해야 합니다.계층형 학습 프로그램을 구현하는 것도 고려해 볼 수 있습니다.

계층형 접근 방식을 사용하면 일반적으로 더 큰 주제가 개별 학습 경험 또는 개념으로 분류됩니다.개발자가 발전함에 따라 이미 숙달된 개념 위에 고급 개념이 겹겹이 쌓이게 됩니다. 마치 건물이 커질수록 물리적 비계가 건설되는 것과 같습니다.따라서 사이버 보안과 같이 어렵고 끊임없이 진화하는 주제를 먼저 더 작고 덜 복잡한 단위로 나눈 다음 그 기반 위에 더 많은 복잡성을 구축하는 방식으로 가르치는 검증된 방법입니다.

개발자 보안 기술 프로그램에 접근하기로 결정하더라도 규정 준수 연습과는 별도로 유지하는 것이 중요합니다.규정 준수와 보안 교육 모두 중요하며, 성공을 위해서는 두 가지 접근 방식이 모두 필요합니다.

더 읽으시려면

백서:소프트웨어 보안을 개선하기 위한 과제 (및 기회)
백서: 소프트웨어 보안에 대한 예방적 개발자 접근 방식
보고서:개발자 주도 보안 현황.
태그라인

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
태그라인

Explore more blogs

우리는 이 방법을 잘 알고 있습니다. 우리는 이 두 가지 축복을 골고루 살기 위해 노력하고 있습니다.

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

The Future of AI Software Governance Is Built on Strong Partnerships

Discover why Secure Code Warrior is becoming a channel-first company and how trusted partners help organizations adopt AI Software Governance securely and at scale.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI by Secure Code Warrior: Build an AI-Ready Workforce

Secure Code Warrior's AI literacy program for non-developer employees.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)

Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo