보안 코드 인사이트

AI 기반 개발은 완전히 새로운 종류의 소프트웨어 위험을 도입했습니다.신속한 삽입, RAG 조작, 과도한 상담원 권한은 더 이상 이론적인 문제가 아니라 현대 애플리케이션에서 실제로 현실이 되고 있습니다.

개발자는 실제 복잡성을 반영하는 환경에서 이러한 새로운 위협 패턴을 직접 접할 수 있어야 합니다. 이것이 바로 사이버몬 2025 AI/LLM 보스 미션을 제한된 이벤트 경험에서 시큐어 코드 워리어 내의 배포 가능한 퀘스트 주제 컬렉션으로 탈바꿈시킨 이유입니다. 새 퀘스트를 만들 때 보안 개념 아래의 특정 개념 섹션에서 사이버몬 2025: 비트 더 보스 컬렉션을 찾을 수 있습니다.

사이버몬 2025: 비트 더 보스 조직은 이러한 고난이도 AI 보안 문제를 언제든지 보안 코딩 프로그램에 통합할 수 있습니다.

비트 더 보스가 뭔가요?

Beat the Boss는 실제 보안 AI 개발 기능을 테스트하기 위해 설계된 네 가지 고급 AI/LLM 챌린지를 제공합니다.

각 주제에는 짧은 소개 비디오와 가이드, 워밍업 가이드, Cybermon 2025의 오리지널 고난이도 보스 미션이 포함되어 있습니다.이러한 몰입형 시나리오는 AI 지원 애플리케이션이 발전함에 따라 개발자가 이해해야 하는 실제 AI 취약성 클래스에 초점을 맞춥니다.

4개의 보스 미션은 각각 별개의 AI 위험 영역을 대상으로 하며 AI 기반 시스템의 실제 위협 패턴을 시뮬레이션합니다.

• 바이파사우루스 — 직접 신속 주사
• 키크라켄 — 간접 신속 주사
• 프롬프트가이스트 — 벡터 및 임베딩 약점
• 프록시서파 — 과도한 에이전시

‍원하는 방식으로 실행

각 취약점에 적절한 초점을 맞출 수 있도록 한 번에 한 명의 보스를 집중 조명하는 것이 좋습니다.많은 조직에서 다음을 실행하기로 선택합니다.

• 주당 한 명의 보스를 집중 AI 보안 스프린트로
• 또는 “이달의 취약점” 이니셔티브로 매월 1회

내부 이벤트를 구성하는 관리자를 위해 Knowledge Base에서 구조화된 롤아웃 지침 및 다운로드 가능한 브랜딩 자산을 이용할 수 있습니다.
사이버몬 2025: 직접 운영해 보스를 물리치세요 이벤트

AI 보안 준비 운영

AI 가속화 개발은 소프트웨어 위험 환경을 변화시키고 있습니다.새롭게 등장하는 취약점 클래스에는 인식뿐만 아니라 적용 경험이 필요합니다.

Beat the Boss는 조직이 진화하는 AI 위협 패턴을 실용적인 개발자 역량으로 전환할 수 있도록 지원합니다.

개발자는 각 챌린지를 독립적으로 시도한 다음 안내 솔루션을 검토하여 공격자 사고방식과 방어 전략을 강화할 수 있습니다.챌린지 후 학습을 위한 전체 솔루션 안내 비디오가 제공됩니다.

많은 팀이 내부 지식 공유 세션을 통해 경험을 확장하여 이벤트 기반 학습을 경쟁 학습에서 협업 학습으로 전환합니다.보안과 개발은 팀 스포츠입니다.개발자, 보안 리더 및 엔지니어링 팀이 협력하여 확장되는 AI 공격 표면을 이해하고 완화할 때 조직을 가장 잘 보호할 수 있습니다.원활한 디브리핑, 솔루션 검토 공유, 팀 간 토론은 개별 과제 완수를 집단적 역량으로 전환하는 데 도움이 됩니다.

Beat the Boss를 보안 코딩 이니셔티브에 통합하면 안전한 AI 채택을 강화하는 동시에 개발 팀 전체에서 측정 가능한 AI 보안 성숙도를 구축할 수 있습니다.

시작하기

새 퀘스트를 만들 때 보안 개념 아래의 특정 개념 섹션에서 사이버몬 2025: 비트 더 보스 컬렉션을 찾을 수 있습니다. 시큐어 코드 워리어 계정에 로그인하세요 롤아웃을 구성하고 팀 전체의 보안 AI 개발을 강화할 수 있습니다.

Cyber Resilience Action은 EU 기반 기업일 뿐만 아니라 유럽 시장에서 디지털 보호, 모든 우선 전략적 기업의 전략적 기업의 가치로 급부상하고 있습니다.규정 준수 기운 2027년까지 연장되는 관계 및 보안 팀은 이미 설계 관행, 취약성 개발 및 역량에 대해 어려운 질문을 던지고 있습니다.

문서화 및 감사에 중점을 둔 많은 규정과 달리 크레이는 보안 소프트웨어 설계 및 개발 규정 준수의 핵심입니다.Secure by Design 기능에 미리 투자한 정직으로 더 빠르게 전환하고 제품 보안이 더 빠르게 전환하고 있습니다.

사이버 복원법에 필요한 사항

사이버 복원법 (CRA) 은 소프트웨어, 운영 체제, 연결된 장치 및 임베디드 시스템을 포함하여 EU 시장에 출시된 디지털 구성 요소가 포함된 대부분의 제품에 대한 기본 사이버 보안 요구 사항을 도입합니다.

더 중요한 것은 변화가 있을 것입니다. 할 것이 있는 곳.

보안은 더 이상 런타임 또는 운영상의 문제가 아닙니다.CRA에서는 다음과 같이 됩니다. 설계 및 개발 의무 아키텍처, 구현, 유지 관리 및 취약성 처리를 망라합니다.

엔지니어링 및 보안 이는 리더에게 다음을 의미합니다.

• 제품은 보안 설계 원칙에 따라 제작되어야 합니다.
• 알려진 취약성은 가능한 경우 예방하고 효과적으로 처리해야 합니다.
• 조직은 보안 개발 관행이 있음을 입증해야 합니다.

간단하게 말하자면, 규정 준수는 돈을 벌고 유지 관리하는 방식과 분리될 수 없습니다.

자동차 신청 대상

EU에서 도입했지만 다음에 적용됩니다. 전 세계 모든 조직 이를 통해 시장에 대상 디지털 제품을 출시할 수 있습니다.여기에는 몇 가지 사항이 있습니다.

• 서비스가 적용 대상: 제품의 원격 데이터 처리, 구성, 주목하는 소프트웨어, SaaS 제공업체
• 디지털 또는 커넥티드 제품 제조업체
• 수입업체, 유통업체 및 소매업체
• 타사 디지털 구성 요소를 포함하는 조직

글로벌 기업의 경우 자동차 준비는 국경 간 개발 요구 사항, 지역 규정 준수 활동이 없습니다.

조직이 지금 시작하는 이유

주요 마일스톤:

• 2026년 9월 — 취약점 신고 시작 의무
• 2027년 12월 — 완전한 규정 준수 필요

서류상으로는 그 타임라인이 편안해 질 수 있습니다.실제로 개발 혁신은 분기 단위로 이루어지는 것이 늘 수년에 걸쳐 이루어집니다.

보안 설계는 다음과 같습니다. 필수 사항은 다음과 같습니다.

• 언어 및 전반에서 수천 개의 개 개발 기술
• 보안을 고려한 설계: 일상적인 작업 수행에 대한 기대치
• 사후 대응적 취약성 개선에서 예방으로 전환
• 보안 개발 관행이 일관되게 적용되고 측정 가능한 증거 생성

이러한 변화는 '온보딩', '아키텍처 결정, SDLC' 프로세스 및 '공감 문화' 미칩니다.2026년 말까지 미루는 조직은 규제 압박을 받고 개조하려고 시도하게, 이는 훨씬 더 많은 비용이 드는 파괴적인 경로입니다.

벌금은 1,500만 유로 또는 전 세계 연간 매출액의 2.5% 에 달할 수 있습니다. 제64조에 따라 제64조에 따라 사이버 보안 요구 사항을 위반할 수 있습니다.

2026년 말까지 기다리는 것은 너무 늦을 것입니다.

CR는

많은 규정이 정책과 문서에 대해 이야기를 나누었습니다.CRA는 소프트웨어 설계 및 준수를 통한 실제 관행과 연결함으로써 한 걸음 더 나아갑니다.이는 단순한 거버넌스 요구 사항으로 인한 원칙과 운영 환경에 대한 기대치를 높여줍니다.

<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<

• 일반적인 취약성 클래스에 대한 이해
• 보안 설계 및 아키텍처 원칙 적용
• 안전하지 않은 패턴 구축 방지
• 타사 및 오픈 소스 구성 요소를 책임감 있게 처리

보안 도구 문제를 해결하는 데 중요한 역할을 합니다.하지만 코드를 작성하면 도구에는 약점이 드러납니다.보안을 염두에 두고 설계하려면 처음부터 취약점을 예방해야 합니다.

도구만으로는 이 작업을 수행할 수 없습니다.보안 기반 설계 결과는 다음에 따라 다릅니다. 인간의 능력.

#시큐어 코드: 워리어가 자동차 준비를 위한 방법

보안 코드 워리어가 있습니다 CRA에 맞게 조정된 학습 경로 그 조합은 다음과 같습니다.

• A 자동차 스탠다드 퀘스트 부록 I, 파트 I 기술 취약성 요구 사항 매핑
• A 시큐어 바이 디자인 컨셉추얼 컬렉션
• 언어별 취약성 실습 학습

SCW의 모든 자동차 정렬 학습 콘텐츠에 대한 원시트 가이드를 보십시오. SCW는 규정 준수를 인증하지 않습니다.를 통해 자동차 지원을 제공합니다. 규정의 보안 개발 원칙에 부합하는 체계적이고 학습 가능한 능력 향상.

지금 자동차 준비 구축을 시작하세요

CR는 업계의 방향을 반영합니다.설계 엔지니어링에 의한 보안이 기본 기대치입니다.현재 개발자 역량에 투자하는 노조는 규정 준수를 위한 유리한 입지를 확보하고 장기적으로 복원력이 뛰어나고 위험이 낮은 플랫폼을 구축할 수 있습니다.

시큐어 코드 워리어가 규정 준수를 달성하는 데 어떻게 도움을 줄 수 있는지, 자세한 내용은 지식 베이스를 참조하십시오. #시큐어 코드 > 워리어가 규정 준수를 달성하는 데 도움을 줄 수 있는 방법

심층에 대한 분석을 수행합니다. 성공의 10가지 요인 기본 의 단계와 함께 성공 요인 1: 정의되고 측정 가능한 성공 기준.시큐어 코딩 프로그램이 첫 번째 여정인 첫 번째이자 가장 중요한 것은 어디로 가고 있는지 파악하는 것입니다.이것이 첫 번째 성공 요인의 본질입니다.

성공 기준을 통한 비즈니스 성과에 연결

성공적 보안 체계 구축하려면 비즈니스 성과와 밀접히 연결된 명확한 목표가 있어야 합니다. Enabler 1은 “매우 구체적이고 측정 가능한 용어로 보안 코딩 | 해결하려는 문제나 문제점은 무엇인가?”라는 핵심 질문에 대한 답을 찾다.

회의를 헤매고 있을 수도 있습니다. 규정 준수 요구 사항, 또는 보안 침해 및 사이버 공격 방지.아니면 계실을 찾고 있습니다. 왼쪽으로 시작 조직자, 재작업 및 비용 절감 개발자들이 처음부터 안전하게 코딩할 수 있도록 교육합니다.

동기, 조직의 현재 상태 또는 선택한 보안 교육 플랫폼에 관계없이 팀의 장기적 성공은 얻을 수 있는 지속적인 성공을 위해 비즈니스 목표와 연계된 목표를 수립하는 데 크게 좌우됩니다.

Consider key stakeholders of your program when determining Success Criteria. Knowing your executive sponsors and their business objectives will help drive wider adoption across departments.

‍성공을 위한 가시성과 측정

이러한 목표는 그 특상 조직에 따라 달라야 합니다.그렇긴 하지만, 여전히 같은 비즈니스 목표를 향해 나아가다 보면 이러한 목표가 어떻게 아이디어를 창출할 수 있는지 알 수 있습니다.

Risk Reduction: Mitigate developer risk and reduce vulnerabilities introduced by coding flaws. This includes risk identification and reducing the application attack surface.

Programs often target metrics like Vulnerability Density or Vulnerability Injection Rate reduction and avoidance.

Operational Velocity: Maximize product delivery velocity, reducing developer frustration and attrition, and decreasing the amount of time spent on rework. Secure code training acts as a significant incentive for developers by helping them avoid time-consuming rework of buggy code identified later in the software development lifecycle.

Programs often target a reduction in developers' Mean Time to Remediate (MTTR) vulnerabilities.

Regulatory Compliance: Achieve external compliance, such as adhering to standards like PCI-DSS (which mandates training for all developers working on payment systems).

Talent and Trust: Raise engagement and awareness of Security & Vulnerabilities within the developer organization, while maintaining and building customer trust. For some businesses, security-enabled developers help establish market differentiation.

Programs often establish minimum skill requirements for developers or even create specialized Security Champion programs.

‍공동 성공 팀의 성공 문서화

‍성공 기준을 정의하면 다음 성공 단계는 문서화하는 것입니다. 공동 성공 계획.이 계획은 #교육 플랫폼 CSM과 같은 외부 지원을 포함합니다. #의 주요 관계자와 부서 간에 공유되는 청사진입니다.

성공 계획에는 다음이 포함됩니다.

1. 가치 창출 요인: 여기에는 코드 보안 개선 및 “프로그램의 이유”에 대한 해답과 관련된 상위 비즈니스 목표가 있습니다.
2. 현재 상태: 이것은 “우리는 지금 어디에 있는가?”를 사용합니다.(예: 현재의 보안 코딩 기술 또는 기존 교육 프로그램).
3. 미래 (희망) 상태: 다음으로 “우리는 어디에 있고 싶은가?”를 문서화합니다.그리고 보안 기술 코딩 격차를 해결할 방법을 정립하세요.
4. KPI/측정값: 이러한 지표는 성공을 거두고 프로그램이 시작되는데 따라 현재 주와 미래 간의 격차가 좁혀지고 있음을 나타냅니다.

다음과 같이 시작하는 것이 좋습니다. 특정 지표 1개 또는 2개 필요한 경우 나중에 확장할 수 있습니다.이러한 KPI/은 측정은 S.M.A.R.T. 원칙 (구체적, 측정 가능, 달성, 가능 관련성, 기한 제한) 을 준수해야 합니다.추적하기 쉬워야 하며 잘못 해석할 수 없습니다.계획을 실행하려면 모든 당사자의 책임이 매일 합의된 주기로 함께 가치를 재검토해야 합니다.

이러한 기준을 명시적으로 정의하고 측정함으로써 보안 강화 프로그램은 단순한 비용, 중요한 비즈니스 결과의 검증 가능한 동인으로 이동합니다.이 프로그램은 성숙도를 위한 필수 첫 번째 단계입니다.

이제 자세히 알아보겠습니다. 인에이블러 2: 시니어 리더십 스폰서십 보안 프로그램의 성공적인 출시에서 리더십이 수행하는 주요 역할에 대해 논의합니다.

추가 문제가 있으신가요?고객은 어카운트 팀에 문의하거나 support@securecodewarrior.com.잠재 고객은 언제든지 영업팀 구성원과 상담할 수 있습니다. 이리.

An individual who decides to plunge headfirst into a startup venture is called many things, from the aspirational moniker “entrepreneur” to the decidedly less glamorous “freaking crazy.” After eleven years at the helm of Secure Code Warrior, I’m happily somewhere in the middle. 

The past five years have been a lesson in resilience for many, with curveballs thrown, economic and otherwise, in ways that some of the smartest people on the planet failed to predict. “Survival of the fittest” may come to mind here, but I prefer this quote:

"It is not the strongest of the species that survives, nor the most intelligent that survives. It is the one that is most adaptable to change."

(This is often misattributed to Charles Darwin, but it was actually said by Professor Leon C. Megginson, who was summarizing Darwin's work, Origin of Species. Hopefully, that will win you a great pub quiz prize sometime in the future.)

Now, what better example of change and adaptability is there, in our world, than artificial intelligence? More than three years since the LLM bomb dropped, and we’re still scrambling to understand what this iteration is, what it can do, and how it can best serve us in virtually every role that exists today. Regardless, it is here to stay, and as cybersecurity practitioners in particular, we need to stay one step ahead to safeguard it, even in the absence of official guardrails and regulations.

2025 was a big year for AI, for cybersecurity, and for SCW. I’m approaching 2026 with quiet confidence, and the optimism that only hard work paying off can bring. 

We hit some major milestones, including our foray into safeguarding AI-powered software development. We:

• Released Trust Agent: AI into beta testing: With new research from the CCIA confirming that generative AI is the fastest-adopted technology in history, it’s no great shock to see the huge uptake of AI coding agents and assistants among developers, including hasty enterprise-level rollouts that are moving faster than their security programs.
  
  Our latest technology, Trust Agent: AI, provides the missing ingredient of visibility and governance over AI-generated code. It affords enterprise security leaders the deep observability and control they need to confidently manage AI adoption in their software development lifecycle (SDLC) without sacrificing security.
• Surpassed our latest major revenue milestone: Exceeding our revenue goal is a testament to the tenacity and innovation of the entire Secure Code Warrior team. When we started this journey, our mission was to move beyond the "checkbox" approach to security and actually empower developers to write secure code from the very first line.
  
  Seeing that vision resonate with so many global enterprises proves that the industry is finally shifting its focus toward developer-centered security, and I couldn’t be prouder of how our Warriors have leaned in to make software safer for everyone.
• Expert integrations with strategic partners: Our partnerships with great companies like Aikido, OpenText and Black Duck, represent a significant step forward in our mission to create a seamless, developer-centric security ecosystem. By bridging the gap between identifying vulnerabilities and providing the specific skills needed to fix them, we are effectively closing the loop on developer-oriented software risk.
  
  I am incredibly proud of this partnership, which signifies a strategic shift away from fragmented tooling toward a unified experience where security is a natural extension of the development workflow.

As we dive into another big year, I’d like to thank our growing swell of supporters, especially those in the wider cyber community, who continue to take charge in the fight against recurring vulnerabilities, low security awareness, and poor-quality code output. By adopting a new, safer standard, we can start to see real improvements in the security of our software, services, and technology. 

We’re surging ahead with full investment in a future where AI writes the majority of the code, under the watchful eye of skilled humans. Our SCW Learning is evolving quickly to meet the requirements of this new world, and our SCW Trust Agent: AI will be made available in the next three months to support the safe operation of LLMs, MCPs, and more in the SDLC. We’re also poised to announce an exciting new partnership with a major market player very soon.

Stay tuned!

이 기사의 한 버전이 에 게재되었습니다. SC 매거진.여기에서 수정 및 신디케이트되었습니다.


도둑이 집에 침입한 적이 있다면 처음에는 무언가 잘못되었다는 느낌을 이해하게 될 것입니다. 그리고 나서 실제로 도난당하고 침해를 당했다는 사실을 깨닫게 될 것입니다.이로 인해 대개 불편함이 오래 지속되며, 포트 녹스에 필적하는 보안 조치로 전환되는 것은 말할 것도 없습니다.

도둑들이 스스로를 열쇠로 삼았기 때문에 집이 뚫렸다고 상상해 보세요.그들은 마음대로 이리저리 기어다니며 오고 가지만 들키지 않도록 조심합니다.그러던 어느 날, 냉동실에 숨겨둔 장신구가 사라지고, 금고가 비워지고, 개인 소지품이 샅샅이 뒤졌음을 너무 늦게 알게 됩니다.이는 제로데이 사이버 공격의 피해자가 될 경우 조직이 직면하는 현실과 동일합니다.2020년 포네몬 연구소의 연구에 따르면 성공적인 데이터 침해의 80% 제로데이 익스플로잇의 결과였고, 안타깝게도 대부분의 기업은 이 통계를 크게 개선할 준비가 되어 있지 않습니다.

정의에 따르면 제로 데이 공격은 위협 행위자가 먼저 침입하기 때문에 개발자가 악용될 수 있는 기존 취약점을 찾아 패치할 시간을 전혀 주지 않습니다.피해를 입은 다음에는 소프트웨어와 비즈니스에 미치는 평판 훼손 모두를 해결하기 위한 광란의 난타전이 벌어집니다.공격자는 항상 우위를 점하기 때문에 최대한 우위를 점하는 것이 중요합니다.

아무도 원하지 않았던 명절 선물인 Log4Shell은 현재 인터넷을 뜨겁게 달구고 있습니다. 10억 개 이상의 장치가 이 치명적인 Java 취약점의 영향을 받았다고 합니다.이는 기록상 최악의 0일 공격이 될 것으로 예상되며, 이제 시작에 불과합니다.그럼에도 불구하고 일부 보고서 익스플로잇이 공개되기 며칠 전에 시작되었다고 진술하고 2016년 블랙햇 컨퍼런스에서 열린 프레젠테이션 이것이 한동안 알려진 문제였음을 시사합니다.아.설상가상으로, 악용하기 매우 쉽고, 지구상의 모든 대본 키디와 위협 행위자들이 이 취약점을 가지고 페이더트를 쫓고 있습니다.

그렇다면 소프트웨어 개발 프로세스에서 놓친 취약점은 말할 것도 없고, 미끄럽고 사악한 위협으로부터 방어하기 위한 최선의 방법은 무엇일까요?한 번 살펴보겠습니다.

대형 표적에 대한 제로데이 공격은 드물고 비용도 많이 듭니다.

다크 웹에는 거대한 익스플로잇 시장이 있습니다. 한 가지 예를 들자면 제로데이는 꽤 많은 돈을 벌게 되는 경향이 있습니다. 이 글에서 이 글을 쓰는 시점에 250만 달러에 상장되었습니다.Apple iOS를 악용한 것으로 알려졌는데, 보안 연구원의 요구 가격이 천정부지로 오른 것은 놀라운 일이 아닙니다. 결국 이는 수백만 대의 기기를 손상시키고 수십억 개의 민감한 데이터 기록을 수집하며 발견 및 패치가 적용되기 전까지 가능한 한 오랫동안 그렇게 할 수 있는 관문이 될 수 있습니다.

어쨌든 누가 그런 돈을 가지고 있니?일반적으로 조직화된 사이버 범죄 조직은 가치가 있다고 판단되면 현금을 마련합니다. 특히 항상 인기 있는 랜섬웨어 공격의 경우에는 더욱 그렇습니다.하지만 글로벌 정부와 국방부는 위협 인텔리전스에 사용할 수 있는 익스플로잇의 고객으로 꼽히고 있으며, 좀 더 긍정적인 시나리오에서는 기업 자체가 잠재적인 제로데이 익스플로잇을 구매하여 재해를 완화할 수도 있습니다.

2021년에는 기록이 깨졌습니다 실시간 제로 데이 익스플로잇 발견의 경우 취약점이 발견될 위험이 가장 큰 것은 대규모 조직, 정부 부처 및 인프라입니다.제로데이 공격의 가능성으로부터 완전히 안전할 수 있는 방법은 없지만, 넉넉하고 체계적인 버그 바운티 프로그램을 제공하면 어느 정도 “게임”을 할 수 있습니다.어두운 웹 마켓플레이스에서 누군가가 소프트웨어 캐슬의 키를 제공할 때까지 기다리지 말고 합법적인 보안 버프를 확보하고 윤리적 정보 공개와 잠재적 수정에 대해 적절한 보상을 제공하세요.

제로데이 위협이 너무 심할 경우 Amazon 기프트 카드보다 더 많은 돈을 써야 한다고 가정하는 것이 안전합니다 (그리고 그렇게 하는 데 그만한 가치가 있을 것입니다).

툴링은 보안 담당자의 책임일 수 있습니다.

일반적인 CISO가 관리하는 번거로운 보안 툴링은 오랫동안 문제가 되어 왔습니다. 55개에서 75개에 이르는 다양한 도구 그들의 보안 무기고에세계에서 가장 혼란스러운 (은유적인) 스위스 아미 나이프 (Swiss Army Knife) 라는 점을 제외하면, 기업 중 53% 는 자신이 효과적으로 일하고 있다는 확신조차 하지 못합니다. 연구에 따르면 포네몬 인스티튜트. 또 다른 연구 17% 의 CISO만이 자신의 보안 스택이 “완전히 효과적”이라고 생각하는 것으로 나타났습니다.

번아웃, 수요를 충족할 보안 전문 인력의 부족, 민첩성에 대한 요구로 잘 알려진 이 분야에서 보안 전문가가 방대한 도구 집합에 대한 데이터, 보고 및 모니터링의 형태로 정보 과부하를 처리하도록 강요하는 것은 부담스러운 일입니다.Log4j의 약점을 제대로 평가했을 때 중요한 경고를 놓칠 수 있는 시나리오가 바로 이런 시나리오입니다.

예방적 보안에는 개발자 중심의 위협 모델링이 포함되어야 합니다.

코드 수준 취약점은 개발자가 도입하는 경우가 많으며 보안 코딩 기술을 구축하려면 정확한 지침과 정기적인 학습 경로가 필요합니다.하지만 보안 수준이 한 단계 높은 개발자에게는 소프트웨어 개발 프로세스의 일부로 위협 모델링을 배우고 실습할 수 있는 기회가 주어졌습니다.
‍
자신의 소프트웨어를 가장 잘 아는 사람들이 그곳에 앉아서 소프트웨어를 만든 개발자들이라는 것은 놀라운 일이 아닙니다.이들은 사용자가 소프트웨어와 상호 작용하는 방식, 기능이 사용되는 위치, 보안을 충분히 인식할 경우 소프트웨어가 손상되거나 악용될 수 있는 잠재적 시나리오에 대한 강력한 지식을 가지고 있습니다.

이 문제를 Log4Shell 익스플로잇으로 되돌리면 안타깝게도 치명적인 취약점이 전문가와 복잡한 도구 집합에 의한 탐지를 피할 수 있는 시나리오가 나타납니다. 하지만 라이브러리가 사용자 입력을 삭제하도록 구성된 경우에는 전혀 발생하지 않았을 수 있습니다.그렇게 하지 않기로 한 결정 추가 편의를 위해 애매한 기능이었던 것 같습니다., 하지만 악용하기가 매우 쉬워졌습니다 (SQL 인젝션 수준을 생각해 보세요. 천재적인 것은 아닙니다).예리하고 보안에 정통한 개발자 그룹이 위협 모델링을 수행했다면 이 시나리오를 이론화하고 고려했을 가능성이 큽니다.

훌륭한 보안 프로그램에는 인간이 야기한 문제를 해결하는 데 있어 인간의 개입과 뉘앙스가 핵심인 감정적 요소가 있습니다.위협 모델링이 효과적이려면 공감과 경험이 필요하며, 소프트웨어 및 애플리케이션의 아키텍처 수준에서의 보안 코딩 및 구성도 마찬가지입니다.개발자들이 하룻밤 사이에 이런 일에 몰두할 필요는 없지만, 이 중요한 작업에 대한 보안 팀의 압박을 덜 수 있는 수준까지 기술을 업그레이드할 수 있는 명확한 경로가 있으면 이상적입니다 (그리고 양 팀 간의 관계를 구축할 수 있는 좋은 방법이기도 합니다).

0일이 n일로 이어집니다

제로데이 대응의 다음 단계는 가능한 한 빨리 패치를 제거하는 것입니다. 취약한 소프트웨어의 모든 사용자가 가능한 한 빨리, 그리고 확실히 공격자가 먼저 도착하기 전에 패치를 적용하기를 바랍니다.Log4Shell을 사용하면 하트블리드를 능가할지도 몰라요 수백만 개의 장치에 내장되어 있고 소프트웨어 빌드 전반에 걸쳐 복잡한 종속성을 생성한다는 점에서 내구성과 효능이 뛰어납니다.

현실적으로 이러한 유형의 교활한 공격을 완전히 막을 방법은 없습니다.하지만 모든 수단을 동원해 품질이 우수하고 안전한 소프트웨어를 만들고 중요 인프라와 같은 사고방식으로 개발에 접근한다는 약속이 있다면 우리 모두가 싸울 기회를 잡을 수 있습니다.

AI 지원 개발 (또는 더 트렌디한 버전인 “바이브 코딩”) 은 코드 생성에 방대하고 혁신적인 영향을 미치고 있습니다.이미 자리를 잡은 개발자들은 이러한 도구를 대거 채택하고 있으며, 소프트웨어를 직접 만들고 싶었지만 관련 경험이 없었던 개발자들도 예전에는 비용과 시간이 많이 걸렸던 자산을 구축하는 데 이를 활용하고 있습니다.이 기술은 혁신의 새로운 시대를 열 것으로 기대되지만, 보안 리더들이 이를 완화하기 위해 고군분투하고 있는 다양한 새로운 취약성과 위험 프로파일을 야기합니다.

A 최근 발견 InvariantLabs는 강력한 AI 도구가 다른 소프트웨어 및 데이터베이스와 자율적으로 상호 작용할 수 있도록 하는 API와 유사한 프레임워크인 MCP (Model Context Protocol) 에서 심각한 취약점을 발견했으며, 이를 통해 기업에 특히 해를 끼칠 수 있는 새로운 취약성 범주인 “도구 중독 공격 (Tool Docuining Atars)" 이 가능해졌습니다.Windsurf 및 Cursor와 같은 주요 AI 도구도 예외는 아닙니다. 수백만 명의 사용자가 있기 때문에 이러한 새로운 보안 문제를 관리하는 데 필요한 인식과 기술이 가장 중요합니다.

현재 이러한 도구의 출력은 다음과 같습니다. 아니 에서 언급한 바와 같이 엔터프라이즈급 제품으로 분류할 수 있을 만큼 지속적으로 안전합니다. 최근 연구 논문 AWS와 인튜이트의 보안 연구원, 비니스 사이 나라잘라, 이단 하블러 (Idan Habler) 의 의견:”AI 시스템의 자율성이 향상되고 MCP와 같은 기능을 통해 외부 도구 및 실시간 데이터와 직접 상호 작용하기 시작함에 따라 이러한 상호 작용의 보안을 유지하는 것이 절대적으로 중요해졌습니다..”

에이전트 AI 시스템 및 모델 컨텍스트 프로토콜의 위험 프로필

모델 컨텍스트 프로토콜은 편리한 소프트웨어입니다. 앤트로픽이 제작했습니다. 이를 통해 대형 언어 모델 (LLM) AI 에이전트와 기타 도구 간의 더 원활하고 원활한 통합이 가능합니다.이는 독점 애플리케이션과 GitHub와 같은 비즈니스 크리티컬 SaaS 도구 사이에서 최첨단 AI 솔루션과 상호 작용하는 가능성의 세계를 열어주는 강력한 사용 사례입니다.MCP 서버를 작성하고 원하는 작동 방식과 목적에 대한 가이드라인을 설정하는 작업을 시작하기만 하면 됩니다.

실제로 MCP 기술이 보안에 미치는 영향은 대부분 긍정적입니다.보안 전문가들이 사용하는 기술 스택과 LLM 간의 보다 직접적인 통합이 가능하다는 약속은 무시할 수 없을 만큼 매력적이며, 적어도 일반적으로 각 작업에 대해 사용자 지정 코드를 작성하고 배포하지 않고는 이전에는 불가능했던 수준의 정밀 보안 작업 자동화가 가능하다는 것을 보여줍니다.데이터, 도구 및 인력 간의 광범위한 가시성과 연결성이 효과적인 보안 방어 및 계획의 기본이라는 점을 고려할 때 MCP가 제공하는 LLM의 향상된 상호 운용성은 엔터프라이즈 보안에 대한 흥미로운 전망입니다.

그러나 MCP를 사용하면 다른 위협 벡터가 유입되어 신중하게 관리하지 않는 한 엔터프라이즈 공격 범위가 크게 확장될 수 있습니다.에서 언급한 바와 같이 인바리언트 랩, 툴 포이즌 공격은 민감한 데이터 유출 및 AI 모델의 무단 활동으로 이어질 수 있는 새로운 취약성 범주이며, 거기서부터 보안에 미치는 영향은 매우 빠르게 어두워집니다.

InvariantLabs에 따르면 사용자는 볼 수 없지만 AI 모델이 완전히 읽을 수 있고 실행할 수 있는 MCP 도구 설명에 악의적인 명령이 포함되어 있을 때 도구 중독 공격이 발생할 수 있습니다.이렇게 하면 도구가 사용자 인식 없이 무단으로 잘못된 작업을 수행하도록 속일 수 있습니다.문제는 모든 도구 설명을 신뢰할 수 있어야 한다는 MCP의 가정에 있습니다. 이는 위협 행위자의 귀에 들리는 소리입니다.

이들은 손상된 도구로 인해 발생할 수 있는 다음과 같은 결과에 주목합니다.

• 민감한 파일 (예: SSH 키, 구성 파일, 데이터베이스 등) 에 액세스하도록 AI 모델 지시
• 이러한 악의적 행위가 인식하지 못하는 사용자에게 본질적으로 숨겨져 있는 환경에서 AI에 이 데이터를 추출하고 전송하도록 지시합니다.
• 도구 인수 및 출력의 믿을 수 없을 정도로 단순한 UI 표현 뒤에 숨어 사용자가 보는 것과 AI 모델이 수행하는 작업 간의 단절을 만들 수 있습니다.

이는 우려스러운 취약성 범주이며, MCP 사용의 불가피한 증가가 계속됨에 따라 더 자주 보게 될 것이 거의 확실합니다.기업 보안 프로그램이 발전함에 따라 이러한 위협을 찾아내고 완화하기 위해 신중한 조치를 취할 것이며, 개발자들이 해결에 참여할 수 있도록 적절히 준비하는 것이 핵심입니다.

보안 기술을 갖춘 개발자만 에이전트 AI 도구를 활용해야 하는 이유

Agentic AI 코딩 도구는 AI 지원 코딩의 차세대 진화로 간주되며 소프트웨어 개발의 효율성, 생산성 및 유연성을 향상시키는 기능을 제공합니다.컨텍스트와 의도를 이해하는 기능이 향상되어 특히 유용하지만 공격자의 즉각적인 주사, 환각 또는 행동 조작과 같은 위협으로부터 자유롭지는 않습니다.

개발자는 좋은 코드 커밋과 나쁜 코드 커밋을 구분하는 방어선이며, 보안 및 비판적 사고 능력을 모두 예리하게 유지하는 것이 미래의 보안 소프트웨어 개발의 기본이 될 것입니다.

AI 결과는 절대 맹목적인 신뢰로 구현되어서는 안 됩니다. 상황에 맞는 비판적 사고를 적용하는 보안 숙련된 개발자는 이 기술이 제공하는 생산성 향상을 안전하게 활용할 수 있습니다.그래도 인간 전문가가 툴을 통해 생성된 작업을 평가하고, 위협을 모델링하고, 최종적으로 승인할 수 있는 페어 프로그래밍 환경이라면 어느 정도 수준이어야 합니다.

개발자가 AI를 사용하여 기술을 업그레이드하고 생산성을 높이는 방법에 대해 자세히 알아보십시오. 이리.

실용적인 완화 기법 및 최신 연구 논문에서 더 읽어보기

AI 코딩 도구와 MCP 기술은 사이버 보안의 미래에 중요한 요소가 될 것으로 예상되지만, 물을 확인하기 전에 자세히 알아보지 않는 것이 중요합니다.

나라얄라와 하블러스 종이 기업 수준에서 MCP를 구현하고 위험을 지속적으로 관리하기 위한 포괄적인 완화 전략을 자세히 설명합니다.궁극적으로는 심층 방어 원칙과 제로 트러스트 원칙을 중심으로 이 새로운 생태계가 기업 환경에 가져오는 고유한 위험 프로필을 명시적으로 겨냥합니다.특히 개발자의 경우 다음 영역에서 지식 격차를 해소하는 것이 필수적입니다.

• 인증 및 액세스 제어: Agentic AI 도구는 인간이 엔지니어링 작업에 접근하는 방식과 마찬가지로 문제를 해결하고 계획된 목표를 달성하기 위해 자율적인 결정을 내리는 기능을 합니다.그러나 지금까지 확립한 바와 같이 이러한 프로세스에 대한 숙련된 사람의 감독도 무시할 수 없습니다. 워크플로우에서 이러한 도구를 사용하는 개발자는 자신이 어떤 액세스 권한을 갖고 있는지, 검색하거나 노출할 수 있는 데이터가 무엇인지, 어디서 공유될 수 있는지 정확히 이해해야 합니다.
• 일반 위협 탐지 및 완화: 대부분의 AI 프로세스와 마찬가지로 도구 출력의 잠재적 결함과 부정확성을 찾아내려면 사용자가 직접 작업에 능숙해야 합니다.개발자는 보안 프로세스를 효과적으로 검토할 수 있도록 해당 기술에 대한 지속적인 업스킬링과 검증을 받아야 합니다. 과 보안의 정확성과 권한을 갖춘 AI 생성 코드를 검토할 수 있습니다.
• 보안 정책 및 AI 거버넌스와의 조정: 개발자에게 승인된 도구를 알리고 기술을 익히고 해당 도구에 액세스할 수 있는 기회를 제공해야 합니다.커밋을 신뢰할 수 있으려면 개발자와 도구 모두 보안 벤치마킹을 거쳐야 합니다.

최근에 출시한 연구 논문 바이브 코딩 및 AI 지원 코딩의 등장과 기업이 차세대 AI 기반 소프트웨어 엔지니어를 향상시키기 위해 취해야 할 조치에 대해 설명합니다.확인해 보시고 지금 바로 연락하여 개발 코호트를 강화하세요.

이 기사의 한 버전은 원래 에 게재되었습니다. DZone.여기에서 업데이트 및 신디케이트되었습니다.

결제 카드 산업 데이터 보안 표준 (PCI DSS) 버전 4.0은 거의 모든 것을 바꿔라 전자 결제를 수락하는 모든 비즈니스 또는 조직의 보안에 관한 정보 (대다수)이번 업데이트는 대부분의 기업에 획기적인 변화를 가져다 줄 것이며, 기업에서는 많은 보안 프로세스를 업그레이드하고 암호화, 인증, 액세스 제어, 키 관리 및 지금까지는 도입이 느렸던 기타 영역에 대한 새로운 보호 기능을 도입해야 할 수도 있습니다.

새로운 요구 사항의 복잡성으로 인해 조직은 2025년 3월까지 규정을 완전히 준수해야 합니다.하지만 이 마감일은 대부분의 사람들이 생각하는 것보다 더 빨리 도래할 것입니다.실제로 많은 미래 지향적인 기업들은 개발자들이 현재 진행 중인 규정 준수 환경을 헤쳐나갈 수 있도록 조치를 취하고 있습니다.

체크박스 트레이닝을 넘어서다

조직의 개발자는 인프라의 대부분이 사용하는 코드를 작성하므로 새로운 PCI DSS 4.0 요구 사항을 구현할 때는 개발자가 시작하기에 좋은 출발점이라고 할 수 있습니다.그러나 대부분의 개발자는 업데이트된 보안 인식 프로그램의 일환으로 기술 향상을 위해 전략적 지원이 필요합니다.이는 새 표준에서 요구하는 더 높은 수준의 보안을 구현하고 유지하는 데 필요한 경험을 갖출 수 있도록 하기 위한 것입니다.

실제로 PCI DSS 4.0의 요구 사항 12.6.2는 조직에 공식 보안 프로그램을 구현하고 최신 위협 정보 및 방어 기술로 최신 보안 프로그램을 업데이트하도록 지시합니다.이전 표준에서는 기본 보안 프로그램이나 “체크-더-박스” 방식의 연례 규정 준수 교육도 목표를 달성했습니다.이 새로운 표준은 보안 교육 프로그램이 기업 환경 내의 특정 위협과 취약점을 해결하도록 요구하는 등 훨씬 더 많은 것을 요구합니다.예를 들어 조직에서 ID 도용을 당하는 것이 큰 문제라면 교육을 통해 이를 해결해야 합니다.

최소한의 교육만으로는 더 이상 실용적인 관점에서나 새로운 표준을 준수하기에 충분하지 않을 것이 분명합니다.대신 조직은 개발자에게 보안 모범 사례를 실제 일상 업무에 적용하는 방법을 알려주는 포괄적이고 민첩한 학습 경로를 제공해야 합니다.조직은 최소한의 규정 준수 노력을 넘어 개발자에게 보안을 제대로 이해하는 데 필요한 리소스를 제공함으로써 PCI DSS 4.0을 준수하면서 개발자가 전반적으로 더 나은 보안 결정을 내릴 수 있도록 역량을 강화할 수 있습니다.

좋은 소식은 PCI DSS 4.0의 새로운 요구 사항 중 상당수가 인증, 암호화, 액세스 제어, 키 관리 등과 같이 대부분의 개발자에게 이미 익숙한 영역을 대상으로 한다는 것입니다.개발자에게 기술을 향상시킬 수 있는 적절하고 관련성이 높으며 친숙한 리소스가 제공되면 조직은 PCI DSS 4.0에 필요한 새로운 표준과 강화된 책임에 보다 쉽게 대비할 수 있습니다.

PCI DSS 4.0을 런웨이로 사용하여 전반적인 보안 강화

우수한 보안 교육을 통해 개발자의 요구 사항을 해결하는 것이 새로운 PCI DSS 4.0 표준을 성공적으로 준수하는 데 중요하겠지만 조직을 더 나은 사이버 보안으로 이끌기 위한 노력은 여기서 끝나지 않아도 됩니다.예, 요구 사항은 엄격하지만 대부분의 조직은 요구 사항을 준수하기 위해 노력해야 하므로 전반적으로 더 나은 보안 인식 및 교육을 시작하기 위한 발판으로 이러한 노력을 사용하지 않을 이유가 없습니다.이를 통해 조직은 규정 준수 요구 사항을 충족하는 데 도움이 될 뿐만 아니라 모범 사례를 우선시하고 조직의 모든 사람이 동일한 보안 우선 목표를 향해 노력하도록 하는 긍정적인 보안 문화를 조성하기 시작할 수 있습니다.

물론 학습 곡선이 있긴 하지만 개발자들도 이러한 노력을 기울일 것입니다.에반스 데이터에서 설문 조사 전 세계에서 활발히 활동하는 1,200명 이상의 전문 개발자 중 압도적 다수가 보안 코드를 만들고 조직에 더 나은 보안 문화를 구축한다는 개념을 지지한다고 답했습니다.대부분의 개발자가 보안 코딩으로의 전략적이고 지원되는 전환과 개발 프로세스의 일환으로 보안의 우선 순위 변경을 환영한다는 것은 분명합니다.

PCI DSS 4.0에서 요구하는 보안 업그레이드는 기업이 개선된 보안 모범 사례 및 교육에 투자하고 조직 내에 더 나은 전반적인 보안 문화를 도입할 수 있는 완벽한 구실을 제공합니다.

보안 코딩 기술을 관련 도구 및 교육과 통합할 수 있는 프로그램에 회사가 투자하면 개발자는 더 쉽게 보안 성숙도를 높일 수 있습니다.이를 통해 개발자는 엄격한 새 PCI DSS 4.0 표준을 훨씬 능가하는 더 나은 의사 결정을 내릴 수 있는 권한을 부여받아 보안 문화를 조성할 수 있습니다.
‍

단 몇 분만 기술 뉴스를 살펴본다면 위협 환경이 얼마나 위험해지고 있는지 금방 알 수 있을 것입니다.주요 보안 침해, 새로운 취약점 또는 사이버 공격자와 범죄자의 적극적인 악용 위협에 대한 신고가 매일 쏟아지는 것 같습니다.그리고 거의 모든 업계 지표와 보고서에는 점점 더 위험해지다 사이버 위협의 수, 대부분의 전문가들은 이러한 추세를 예측하고 있습니다. 계속할 것이다 앞으로 몇 년 동안.

이러한 새로운 위협에 대응하기 위해 최전선에서 근무하는 IT 보안 인력은 고갈되고 인력도 부족합니다.높은 급여를 받고 모든 기업이나 조직에 거의 필수 불가결한 존재임에도 불구하고 돌아다닐 수 있는 보안 인력은 결코 충분하지 않습니다.한 최근 설문조사 전략 및 국제학 센터에서 실시한 조사에 따르면 IT 의사 결정권자의 82% 는 조직이 사이버 보안 기술 부족으로 어려움을 겪고 있다고 답했으며, 71% 는 이러한 기술 부족으로 인해 조직에 직접적이고 측정 가능한 피해가 발생했다고 답했습니다.보고서에 따르면 미국에서만 약 940,000명의 고용이 있는 분야에서 52만 개 이상의 사이버 보안 일자리가 채워지지 않은 것으로 나타났습니다.

전 세계적으로 현재 약 350만 개의 사이버 보안 일자리 아직 채워지지 않고 있습니다. 즉, 최고 수준의 전문가를 고용하고 유지하기 위해 막대한 비용을 지불하려는 조직조차도 적합한 후보자를 찾는 데 어려움을 겪고 있습니다.평균적으로 이 작업을 완료하는 데 걸리는 시간이 약 21% 더 깁니다. 사이버 보안 강화 다른 어떤 직무보다도 높은 직책을 맡을 수 있다면 말이죠.

개발자 지원이 너무 오랫동안 무시되었습니다.

에서 언급했습니다. 많은 이전 블로그 사이버 보안 방어의 중요한 격차 중 일부를 보완하기 위해 개발자를 활용할 수 있다는 것이죠.단지 전통적으로 개발자들은 사이버 보안에 대한 교육을 받은 적이 없었을 뿐입니다.이들의 업무 성과는 거의 전적으로 배포 속도와 시간에 기반했습니다.더 나아가 AppSec 팀은 보안을 담당했습니다.

안타깝게도 단순히 방향을 바꾸고 개발자들에게 애플리케이션과 프로그램에 보안을 갑자기 추가하도록 요청하기만 하면 되는 문제가 아닙니다.이러한 변경 사항을 기꺼이 적용하고 설문조사 결과 상당수가 변경되고 있다고 해도, 이를 실현하기 위해서는 여전히 교육이 필요합니다.또한 상급 경영진의 격려와 지원도 필요하지만, 의미 있는 학습을 가능하게 하는 것이 첫 번째이자 종종 가장 큰 걸림돌입니다.

전 세계적으로 수백만 명의 고임금, 고도로 안전한 IT 보안 직책이 아직 채워지지 않은 데에는 이유가 있습니다.쉬운 일이었다면 누구나 그 분야에 뛰어들었을 것입니다.위협에 대처하고 코드 내에서 취약점을 제거하는 방법을 배우는 것은 어려운 일이며 위협 환경은 끊임없이 변화하고 있습니다.비교적 기술에 정통한 개발자들에게도 사이버 보안을 가르치려는 시도는 시간이 빠르고 기억에 남지 않으며 긍정적인 영향도 미미합니다. 특히 이미 과장된 일정에 이러한 요구 사항이 추가될 경우 더욱 그렇습니다.

발판을 만들어 더 높은 곳으로 올라가세요

전통적인 방법을 사용하여 사이버 보안 기술을 가르치는 것은 땅에서 발을 떼지 않고 초고층 건물을 짓는 것과 같습니다.학생들이 사이버 보안과 같은 복잡한 분야의 많은 상위 수준 개념을 마스터하는 데 필요한 기초가 없기 때문에 불가능합니다.이를 보완하기 위해 다음과 같은 개념을 스캐폴드 러닝 고용될 수 있습니다.

스캐폴드 또는 “계층화된” 접근 방식을 사용하여 기술을 향상시킬 때 일반적으로 더 큰 주제는 개별 학습 경험 또는 개념으로 분류됩니다.이를 통해 학생들은 적절한 연습과 지침을 사용하여 각 개념을 마스터할 수 있으며 각 구성 요소에 필요한 모든 지원을 받을 수 있습니다.건물이 높이 올라감에 따라 물리적 비계가 건설되는 것처럼, 이미 숙달된 개념 위에 더 새롭고 더 발전된 개념이 겹겹이 쌓입니다.이러한 방식으로 학생들은 도움 없이 습득할 수 있는 것보다 더 높은 수준의 이해력과 기술 습득을 달성할 수 있습니다.

물리적 지지대와 마찬가지로 이러한 지원은 더 이상 필요하지 않을 때 점진적으로 제거되며, 학생들이 점점 더 능숙해짐에 따라 학생들에 대한 책임도 커집니다.

스캐폴드 러닝은 학생들이 도움 없이 어려운 과제를 시도할 때 좌절하거나 겁을 먹거나 낙담할 때 경험할 수 있는 부정적인 감정과 자기 인식을 줄이는 데 주로 사용됩니다.하지만 현대의 사이버 보안과 같이 매우 어려운 개념을 다루려고 할 때도 유용할 수 있습니다.개발자를 어린아이처럼 대하기는커녕, 보안 팀에서의 경험이 좌절과 낙담이라는 동일한 결과를 가져올 수 있다면 엄청난 도움이 됩니다. 특히 버그 수정과 새로운 비판으로 인해 그들의 노력이 회신될 때 말이죠.

개발자에게 보안 코딩 기본 사항을 이해할 수 있는 도구가 제공되는 경우 (일반적으로 다음과 같이 시작) OWASP 탑 10) 를 통해 보안 버그가 어떻게 발생하는지, 왜 위험한지, 프로덕션 단계에 들어가기 전에 이를 해결하는 방법을 직접 확인할 수 있습니다.이를 통해 더 복잡한 취약점을 해결하고 좋은 수정 사항을 적용하는 실무 경험을 쌓아 지식을 넓힐 수 있습니다.계층은 조금씩 성장하며, 안전하지 않은 소프트웨어 아키텍처나 위협 모델링과 같은 고급 보안 문제에 있어서는 이러한 도약이 그다지 위협적이지 않고 정밀하게 해결할 수 있습니다.

업계에서는 개발자가 보안 전문가가 될 것이라고 기대해서는 안 됩니다. 하지만 조직은 개발자 지원을 위한 새로운 표준을 채택하여 더 높은 품질의 소프트웨어를 생산할 수 있습니다.숙련도가 높은 엔지니어링 부서를 보유한 조직에게는 추가 혜택으로, 각 단계 또는 각 수준의 스캐폴딩은 학습하면서 사이버 보안 개선으로 직접 전환됩니다.교육 과정이 끝날 때까지 기다릴 필요 없이 결과를 확인할 수 있습니다.

사이버 보안에 대해 배우는 것은 어려운 일이며, 적절한 도움과 지침 없이는 이를 완벽하게 익히는 것이 거의 불가능합니다.스캐폴드 러닝과 함께 보안 프로그램을 활용하면 이점을 거의 즉시 확인할 수 있기 때문에 보안 프로그램을 최대한 활용할 수 있습니다.개선은 거의 즉시 시작되며 시간이 지남에 따라 지속적으로 개선될 것입니다.

당사와 함께 강력한 보안 개발자 구축을 시작하세요. 확인해 보세요.

교육 과정
임무
개발자 교육

... 그 외 다수!

우리는 최근에 첫 번째 것을 보게 되어 매우 기뻤습니다. 포브스 테크놀로지 카운슬 포스트 회장 겸 CEO인 피터 다니유 (Pieter Danhieux) 가 직접 제작했습니다.이 게시물에서는 개발자의 기술을 향상시켜 보다 안전한 코드를 만드는 것이 사이버 공격과 데이터 침해를 방지하는 데 얼마나 중요한지 자세히 설명했습니다.뿐만 아니라, 보안을 잘 아는 개발자들이 어떻게 많은 IT 부서가 생각하는 것보다 더 우수하고 안전한 코드를 빠르게 제공하도록 지원할 수 있는지도 알게 되었습니다.이러한 접근 방식의 필요성은 확실히 매력적입니다.최근 연구에 따르면 이제 39초마다 사이버 공격이 발생합니다.그리고 우리는 모두 단 한 번의 성공적인 랜섬웨어 공격으로 인한 혼란을 목격했습니다. 콜로니얼 파이프라인, 더 큰 틀에서 볼 때, 그것만큼 파괴적이지는 않았습니다. 솔라윈즈 해킹.

‍

많은 일반적인 취약점이 계속 존재합니다. 아무도 개발자들에게 잘못된 코딩 패턴을 더 안전하고 안전한 방법으로 동일한 기능을 수행하는 더 나은 방법으로 대체하는 방법을 보여주지 않았기 때문입니다.또한 개발 후반부에 소프트웨어를 고칠 경우 소요되는 시간과 배포 지연 측면에서 막대한 비용이 발생합니다.배포된 후, 특히 공격자가 이전에 발견되지 않은 취약점을 악용한 후 코드를 수정하려면 때때로 수백만 달러의 비용이 들 수 있습니다.여기에는 중대한 보안 침해로 인한 회사의 평판 손상도 고려되지 않았습니다.

보안 교육을 받은 개발자는 자연스럽게 더 나은 코더가 됩니다.물론 CISO는 보안 툴을 당장 포기해서는 안 됩니다. 하지만 최고위부터 포괄적이고 예방적인 보안 접근 방식을 주도함으로써 CISO는 회사의 가장 큰 리소스인 인적 요소를 활용할 수 있습니다. 특히 소프트웨어 개발 라이프사이클 초기부터 보안 코딩과 관련해서는 더욱 그렇습니다.

이를 위해 염두에 두어야 할 상위 3가지 상위 전략은 다음과 같습니다.

1.사후 대응이 아닌 능동적으로 행동하세요

예를 들어 기업은 독특한 비전을 개발하고 추구하는 대신 경쟁사의 행동에 대응하는 등 사후 대응의 함정에 빠지는 경우가 많습니다.또한 코드의 보안 취약성과 관련하여 이러한 접근 방식을 채택하는 기업도 많으며, 보안 침해가 성공적으로 발생하여 불가피한 경우에만 사이버 보안을 심각하게 받아들입니다.안타깝게도 그때쯤이면 벌금, 복구 비용, 고객 이탈, 브랜드 복원 등 손해가 발생해 결국 수익에 타격을 입게 됩니다.조치 대신 취할 수 있는 또 다른 형태의 대응책은 애초에 보안 코드를 만드는 데 초점을 맞추는 대신 자동 또는 수동 코드 스캐닝에 의존하여 기존 코드의 취약점을 찾아내는 것입니다.안타깝게도 코드 스캐닝은 완벽한 해결책이 아닙니다. 즉, 코드에 취약점이 많을수록 일부 취약점이 빠져나갈 가능성이 커집니다.

사전 예방적 접근 방식을 취하고 개발자와 협력하여 처음부터 안전한 코드를 만들 수 있도록 도와주어야만 사용자에게 코딩 취약점이 공개될 가능성을 크게 줄이는 소프트웨어 개발 수명 주기를 설정할 수 있습니다.

2.스킬 업스킬, 무리하지 마세요

개발자에게 보안 코드를 만드는 데 필요한 지식을 제공하기로 결정했다면 접근 방식을 현명하게 선택하세요.코딩을 중단시키는 사내 교육 워크숍은 개발자와 관리자 모두에게 좌절감을 안겨줍니다.야간이나 주말에 참석해야 하는 외부 교육 과정은 훨씬 덜 인기가 있습니다.가장 좋은 방법은 점진적으로 코딩 기술을 쌓는 것입니다. 코딩 프로세스 중 관련 정보를 단계별로 제공 — 개발자의 주의를 산만하게 하거나 개발 프로세스를 지연시키지 않으면서 기본적으로 기술을 향상시킬 수 있습니다.

3. 인센티브를 제공하세요, 가정하지 마세요

개발자는 보안 기술 향상을 처벌이나 완전한 고역으로 간주해서는 안 됩니다.관리자는 보안 코드가 회사의 성공에 미치는 중요한 역할을 전달하여 개발자에게 영감을 주어야 합니다.또한 보안 코더는 회사에 더 가치가 있으며 앞으로 더 많은 경력 기회를 누릴 수 있다는 점을 전달하는 것도 중요합니다.

바이든 행정부의 환영 행정 명령 사이버 보안에 대한 초점과 “개발자 및 공급업체 자체의 보안 관행을 평가하고 보안 관행과의 준수를 입증하기 위한 혁신적인 도구 또는 방법을 식별하는 기준을 포함”해야 할 필요성이 확대되었습니다.하지만 툴링이 필수적이긴 하지만 그것만으로는 충분하지 않습니다.어떤 도구도 기존의 시스템과 도구를 무시하거나, 오해하거나, 남용하거나, 다른 방식으로 우회할 수 있는 개인의 능력을 완전히 없애버릴 수는 없습니다.회사의 보안을 극대화하기 위해 CISO는 인적 요소를 활용하고 개발자가 기꺼이 보안 지지자 및 실무자가 되도록 장려해야 합니다.