Blog

스캐폴드 러닝이 보안에 강한 개발자를 구축하는 이유

January 21, 2022
Matias Madou, Ph.D.

단 몇 분만 기술 뉴스를 살펴본다면 위협 환경이 얼마나 위험해지고 있는지 금방 알 수 있을 것입니다.주요 보안 침해, 새로운 취약점 또는 사이버 공격자와 범죄자의 적극적인 악용 위협에 대한 신고가 매일 쏟아지는 것 같습니다.그리고 거의 모든 업계 지표와 보고서에는 점점 더 위험해지다 사이버 위협의 수, 대부분의 전문가들은 이러한 추세를 예측하고 있습니다. 계속할 것이다 앞으로 몇 년 동안.

이러한 새로운 위협에 대응하기 위해 최전선에서 근무하는 IT 보안 인력은 고갈되고 인력도 부족합니다.높은 급여를 받고 모든 기업이나 조직에 거의 필수 불가결한 존재임에도 불구하고 돌아다닐 수 있는 보안 인력은 결코 충분하지 않습니다.한 최근 설문조사 전략 및 국제학 센터에서 실시한 조사에 따르면 IT 의사 결정권자의 82% 는 조직이 사이버 보안 기술 부족으로 어려움을 겪고 있다고 답했으며, 71% 는 이러한 기술 부족으로 인해 조직에 직접적이고 측정 가능한 피해가 발생했다고 답했습니다.보고서에 따르면 미국에서만 약 940,000명의 고용이 있는 분야에서 52만 개 이상의 사이버 보안 일자리가 채워지지 않은 것으로 나타났습니다.

전 세계적으로 현재 약 350만 개의 사이버 보안 일자리 아직 채워지지 않고 있습니다. 즉, 최고 수준의 전문가를 고용하고 유지하기 위해 막대한 비용을 지불하려는 조직조차도 적합한 후보자를 찾는 데 어려움을 겪고 있습니다.평균적으로 이 작업을 완료하는 데 걸리는 시간이 약 21% 더 깁니다. 사이버 보안 강화 다른 어떤 직무보다도 높은 직책을 맡을 수 있다면 말이죠.

개발자 지원이 너무 오랫동안 무시되었습니다.

에서 언급했습니다. 많은 이전 블로그 사이버 보안 방어의 중요한 격차 중 일부를 보완하기 위해 개발자를 활용할 수 있다는 것이죠.단지 전통적으로 개발자들은 사이버 보안에 대한 교육을 받은 적이 없었을 뿐입니다.이들의 업무 성과는 거의 전적으로 배포 속도와 시간에 기반했습니다.더 나아가 AppSec 팀은 보안을 담당했습니다.

안타깝게도 단순히 방향을 바꾸고 개발자들에게 애플리케이션과 프로그램에 보안을 갑자기 추가하도록 요청하기만 하면 되는 문제가 아닙니다.이러한 변경 사항을 기꺼이 적용하고 설문조사 결과 상당수가 변경되고 있다고 해도, 이를 실현하기 위해서는 여전히 교육이 필요합니다.또한 상급 경영진의 격려와 지원도 필요하지만, 의미 있는 학습을 가능하게 하는 것이 첫 번째이자 종종 가장 큰 걸림돌입니다.

전 세계적으로 수백만 명의 고임금, 고도로 안전한 IT 보안 직책이 아직 채워지지 않은 데에는 이유가 있습니다.쉬운 일이었다면 누구나 그 분야에 뛰어들었을 것입니다.위협에 대처하고 코드 내에서 취약점을 제거하는 방법을 배우는 것은 어려운 일이며 위협 환경은 끊임없이 변화하고 있습니다.비교적 기술에 정통한 개발자들에게도 사이버 보안을 가르치려는 시도는 시간이 빠르고 기억에 남지 않으며 긍정적인 영향도 미미합니다. 특히 이미 과장된 일정에 이러한 요구 사항이 추가될 경우 더욱 그렇습니다.

발판을 만들어 더 높은 곳으로 올라가세요

전통적인 방법을 사용하여 사이버 보안 기술을 가르치는 것은 땅에서 발을 떼지 않고 초고층 건물을 짓는 것과 같습니다.학생들이 사이버 보안과 같은 복잡한 분야의 많은 상위 수준 개념을 마스터하는 데 필요한 기초가 없기 때문에 불가능합니다.이를 보완하기 위해 다음과 같은 개념을 스캐폴드 러닝 고용될 수 있습니다.

스캐폴드 또는 “계층화된” 접근 방식을 사용하여 기술을 향상시킬 때 일반적으로 더 큰 주제는 개별 학습 경험 또는 개념으로 분류됩니다.이를 통해 학생들은 적절한 연습과 지침을 사용하여 각 개념을 마스터할 수 있으며 각 구성 요소에 필요한 모든 지원을 받을 수 있습니다.건물이 높이 올라감에 따라 물리적 비계가 건설되는 것처럼, 이미 숙달된 개념 위에 더 새롭고 더 발전된 개념이 겹겹이 쌓입니다.이러한 방식으로 학생들은 도움 없이 습득할 수 있는 것보다 더 높은 수준의 이해력과 기술 습득을 달성할 수 있습니다.

물리적 지지대와 마찬가지로 이러한 지원은 더 이상 필요하지 않을 때 점진적으로 제거되며, 학생들이 점점 더 능숙해짐에 따라 학생들에 대한 책임도 커집니다.

스캐폴드 러닝은 학생들이 도움 없이 어려운 과제를 시도할 때 좌절하거나 겁을 먹거나 낙담할 때 경험할 수 있는 부정적인 감정과 자기 인식을 줄이는 데 주로 사용됩니다.하지만 현대의 사이버 보안과 같이 매우 어려운 개념을 다루려고 할 때도 유용할 수 있습니다.개발자를 어린아이처럼 대하기는커녕, 보안 팀에서의 경험이 좌절과 낙담이라는 동일한 결과를 가져올 수 있다면 엄청난 도움이 됩니다. 특히 버그 수정과 새로운 비판으로 인해 그들의 노력이 회신될 때 말이죠.

개발자에게 보안 코딩 기본 사항을 이해할 수 있는 도구가 제공되는 경우 (일반적으로 다음과 같이 시작) OWASP 탑 10) 를 통해 보안 버그가 어떻게 발생하는지, 왜 위험한지, 프로덕션 단계에 들어가기 전에 이를 해결하는 방법을 직접 확인할 수 있습니다.이를 통해 더 복잡한 취약점을 해결하고 좋은 수정 사항을 적용하는 실무 경험을 쌓아 지식을 넓힐 수 있습니다.계층은 조금씩 성장하며, 안전하지 않은 소프트웨어 아키텍처나 위협 모델링과 같은 고급 보안 문제에 있어서는 이러한 도약이 그다지 위협적이지 않고 정밀하게 해결할 수 있습니다.

업계에서는 개발자가 보안 전문가가 될 것이라고 기대해서는 안 됩니다. 하지만 조직은 개발자 지원을 위한 새로운 표준을 채택하여 더 높은 품질의 소프트웨어를 생산할 수 있습니다.숙련도가 높은 엔지니어링 부서를 보유한 조직에게는 추가 혜택으로, 각 단계 또는 각 수준의 스캐폴딩은 학습하면서 사이버 보안 개선으로 직접 전환됩니다.교육 과정이 끝날 때까지 기다릴 필요 없이 결과를 확인할 수 있습니다.

사이버 보안에 대해 배우는 것은 어려운 일이며, 적절한 도움과 지침 없이는 이를 완벽하게 익히는 것이 거의 불가능합니다.스캐폴드 러닝과 함께 보안 프로그램을 활용하면 이점을 거의 즉시 확인할 수 있기 때문에 보안 프로그램을 최대한 활용할 수 있습니다.개선은 거의 즉시 시작되며 시간이 지남에 따라 지속적으로 개선될 것입니다.


당사와 함께 강력한 보안 개발자 구축을 시작하세요. 확인해 보세요.

교육 과정
임무
개발자 교육

... 그 외 다수!

태그라인

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
태그라인

Explore more blogs

우리는 이 방법을 잘 알고 있습니다. 우리는 이 두 가지 축복을 골고루 살기 위해 노력하고 있습니다.

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

The Future of AI Software Governance Is Built on Strong Partnerships

Discover why Secure Code Warrior is becoming a channel-first company and how trusted partners help organizations adopt AI Software Governance securely and at scale.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI by Secure Code Warrior: Build an AI-Ready Workforce

Secure Code Warrior's AI literacy program for non-developer employees.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)

Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo