보안 코딩의 미래에서 인적 요소는 어떤 역할을 할까요?
사이버 위협의 수가 계속 증가함에 따라 조직은 보안, 실용성 및 속도 사이에서 매일 균형을 유지하며 프로세스의 위험에 노출되고 있습니다.보안 코딩에 대한 새로운 접근 방식이 필요하므로 Secure Code Warrior는 Evans Data Corp. 와 협력하여 보안 코딩, 보안 코드 관행 및 보안 운영에 대한 개발자의 태도에 대한 주요 연구를 수행했습니다 (백서 다운로드) 이리).
이 보고서에서 밝혀진 바에 따르면 '구식' 반응적 사고가 여전히 지배적이지만, 개발자 자신을 1차 방어선으로 만드는 보다 능동적인 솔루션이 필요하다는 인식이 높아지고 있습니다.
보안 코딩 관행의 채택에 대한 모든 탐구는 구현에 관련된 사람, 이에 대한 인식, 구현 능력에 대한 이해에서 시작해야 합니다.그러면 가장 중요한 수수께끼가 생깁니다. 어떻게 하면 처음부터 더 안전하게 코딩하고 품질 좋은 코드를 자신 있게 더 빠르게 출시할 수 있을까요?
보안 코딩 — 우리는 지금 어디에 있으며, 무엇을 바꿔야 할까요? 다운로드 이제 인포그래픽 '휴먼 엘리먼트'가 나왔습니다.
현재 관점 — 사후 대응적 vs. 사전
개발자와 개발 관리자에게 보안 코딩과 관련된 활동에 대해 질문했을 때 가장 많이 받은 세 가지 응답은 다음과 같습니다.
- 배포된 애플리케이션에서 스캐닝 도구 사용
- 코드의 취약점을 수동으로 검토합니다.
- 취약점으로부터 보호되는 소프트웨어를 개발하는 적극적이고 지속적인 사례.
보시다시피 상위 3개 응답 중 2개는 여전히 반응형 접근 방식에 초점을 맞췄습니다. 첫 번째는 도구 (스캐너) 에 의존하고 두 번째는 수동 검사를 수행하는 개발자 (예: 사람) 에 관한 것입니다.
동시에, 후보에 오른 세 가지 활동 중 두 가지는 인적 요소에 의존합니다.이는 보안에 대한 인간의 문제라는 인식이 커지고 있다는 것을 의미합니다.하지만 후보에 오른 모든 활동 중에서 가장 눈에 띄는 것은 인적 요소를 파악한 3위입니다. 애초에 취약점으로부터 보호되는 소프트웨어를 작성할 때.이는 SDLC의 시작부터 소프트웨어에 보안을 적용하는 사전 예방적이고 예방적인 접근 방식인 처음부터 처음부터 시작하는 방식으로의 전환을 잘 보여줍니다.
SDLC의 보안은 어디에 적합할까요?
개발자와 개발 관리자에게 SDLC에 통합되는 보안 코드 관행이 어디에 있는지 물으면 의견이 다릅니다. 전체 개발 프로세스에 보안 코딩이 통합되어 있다고 생각하는 관리자는 55% 인 반면, 개발자의 43% 만이 보안 코딩이 전체 개발 프로세스에 통합되어 있다고 생각합니다.이러한 차이는 SDLC 내에서 이 두 그룹의 역할이 서로 다르기 때문일 수 있습니다.경영진은 일반적으로 실제 코딩 작업에 덜 관여하고 높은 수준의 관점을 갖는 경향이 있는 반면, 개발자는 기본 사항에 더 신경을 쓸 수 있습니다.
그러나 전반적인 보안 및 코드 품질 관점에서 볼 때 놀라운 점은 개발자의 13% 와 관리자의 10% 만이 SDLC 시작 직후인 설계 단계 내에 보안 코드 프랙티스를 통합해야 한다고 답했다는 것입니다.이는 실현되지 않은 거대한 기회입니다.IBM의 연구에 따르면 출시 후 코드의 취약점을 처음 발견하여 해결하는 것보다 30배 더 많은 비용이 든다고 합니다.1 이는 개발자가 처음부터 더 안전하게 코딩할 수 있도록 지원하는 새로운 사전 예방적이고 사람이 주도하는 소프트웨어 보안 방어에 대한 강력한 인센티브입니다.소프트웨어 보안은 툴링에만 의존해서는 해결할 수 없습니다. 인적 요소를 고려해야 하기 때문입니다.
인간적 요소는 준비되어 있는가?
설문 조사에 참여한 개발자 중 97% 는 보안 코딩에 대한 충분한 교육을 받았다고 생각했으며 95% 는 보안 코딩 교육이 자신의 경력에 유용했다는 데 동의했습니다.하지만 이러한 주장을 액면 그대로 받아들이기 전에 먼저 다음과 같은 질문을 던져야 합니다. 코드 취약점이 여전히 만연해 있는 이유는 무엇일까요?보안 코드 전문 지식에 대한 개발자의 주장은 인간의 자존심에 불과할까요?증거들은 분명 이러한 방향을 가리키고 있습니다.설문에 응한 개발자 중 88% 이상이 시큐어 코딩을 배우기 어렵다고 답했고, 개발 관리자의 91% 는 시큐어 코딩 프랙티스를 구현하기 어렵다고 인정했습니다.보안 코드 구현과 관련된 개인적인 주요 관심사를 묻는 질문에, 개발자의 28% 는 학습 과정이 어렵다고 답한 반면 24% 는 학습 과정이 지루하다고 답했습니다.이는 개발자 교육을 개선해야 한다는 사실을 일깨워줍니다.
인간 요소에는 무엇이 필요합니까?
'도전적인' 요인을 극복하기 위해, 가치 있는 보안 교육을 위해서는 개발자가 단계별로 보안 코딩 기술을 구축할 수 있도록 지원하는 '스캐폴딩' 프로세스가 필요합니다.관련성을 극대화하고 즉각적인 적용 가능성을 높이려면 매일 사용하는 특정 언어, 즉 프레임워크로 교육을 진행해야 합니다.
'지루함' 요인을 극복하기 위해, 보안 코드 교육은 실습 방식으로 제공되어야 합니다. 이는 시대에 뒤떨어진 강의실이나 '이 비디오를 시청하세요' 모델보다 개발자에게 훨씬 더 매력적인 것으로 입증되었습니다.여기에는 개발자가 안전한 환경에서 때때로 위험한 보안 문제를 해결할 수 있는 실시간 시뮬레이션이 포함되어야 합니다.개발자에게 작업 시 코드의 취약점을 찾아 수정하는 방법을 알려주고 보안 코딩을 일상 업무의 일부로 활용하는 방법을 알려주는 것이 목표여야 합니다.또 다른 주요 지원 요소는 IDE 내부 린팅 및 코칭입니다. 이를 통해 개발자는 코드를 작성하면서 지속적으로 학습하고 기술을 향상시켜 취약점을 예방하고 제거할 수 있습니다.
개발자에게 이 새로운 수준의 개발자 중심 도구 및 교육을 제공하는 방법을 알고 싶다면 데모 예약 지금.
또한 할 수 있습니다 사본 다운로드 백서의 대응에서 예방으로의 전환: 애플리케이션 보안의 변화하는 모습.
.avif)
.avif)
사이버 위협의 수가 계속 증가함에 따라 조직은 보안, 실용성 및 속도 사이에서 매일 균형을 유지하며 프로세스의 위험에 노출되고 있습니다.
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
사이버 위협의 수가 계속 증가함에 따라 조직은 보안, 실용성 및 속도 사이에서 매일 균형을 유지하며 프로세스의 위험에 노출되고 있습니다.보안 코딩에 대한 새로운 접근 방식이 필요하므로 Secure Code Warrior는 Evans Data Corp. 와 협력하여 보안 코딩, 보안 코드 관행 및 보안 운영에 대한 개발자의 태도에 대한 주요 연구를 수행했습니다 (백서 다운로드) 이리).
이 보고서에서 밝혀진 바에 따르면 '구식' 반응적 사고가 여전히 지배적이지만, 개발자 자신을 1차 방어선으로 만드는 보다 능동적인 솔루션이 필요하다는 인식이 높아지고 있습니다.
보안 코딩 관행의 채택에 대한 모든 탐구는 구현에 관련된 사람, 이에 대한 인식, 구현 능력에 대한 이해에서 시작해야 합니다.그러면 가장 중요한 수수께끼가 생깁니다. 어떻게 하면 처음부터 더 안전하게 코딩하고 품질 좋은 코드를 자신 있게 더 빠르게 출시할 수 있을까요?
보안 코딩 — 우리는 지금 어디에 있으며, 무엇을 바꿔야 할까요? 다운로드 이제 인포그래픽 '휴먼 엘리먼트'가 나왔습니다.
현재 관점 — 사후 대응적 vs. 사전
개발자와 개발 관리자에게 보안 코딩과 관련된 활동에 대해 질문했을 때 가장 많이 받은 세 가지 응답은 다음과 같습니다.
- 배포된 애플리케이션에서 스캐닝 도구 사용
- 코드의 취약점을 수동으로 검토합니다.
- 취약점으로부터 보호되는 소프트웨어를 개발하는 적극적이고 지속적인 사례.
보시다시피 상위 3개 응답 중 2개는 여전히 반응형 접근 방식에 초점을 맞췄습니다. 첫 번째는 도구 (스캐너) 에 의존하고 두 번째는 수동 검사를 수행하는 개발자 (예: 사람) 에 관한 것입니다.
동시에, 후보에 오른 세 가지 활동 중 두 가지는 인적 요소에 의존합니다.이는 보안에 대한 인간의 문제라는 인식이 커지고 있다는 것을 의미합니다.하지만 후보에 오른 모든 활동 중에서 가장 눈에 띄는 것은 인적 요소를 파악한 3위입니다. 애초에 취약점으로부터 보호되는 소프트웨어를 작성할 때.이는 SDLC의 시작부터 소프트웨어에 보안을 적용하는 사전 예방적이고 예방적인 접근 방식인 처음부터 처음부터 시작하는 방식으로의 전환을 잘 보여줍니다.
SDLC의 보안은 어디에 적합할까요?
개발자와 개발 관리자에게 SDLC에 통합되는 보안 코드 관행이 어디에 있는지 물으면 의견이 다릅니다. 전체 개발 프로세스에 보안 코딩이 통합되어 있다고 생각하는 관리자는 55% 인 반면, 개발자의 43% 만이 보안 코딩이 전체 개발 프로세스에 통합되어 있다고 생각합니다.이러한 차이는 SDLC 내에서 이 두 그룹의 역할이 서로 다르기 때문일 수 있습니다.경영진은 일반적으로 실제 코딩 작업에 덜 관여하고 높은 수준의 관점을 갖는 경향이 있는 반면, 개발자는 기본 사항에 더 신경을 쓸 수 있습니다.
그러나 전반적인 보안 및 코드 품질 관점에서 볼 때 놀라운 점은 개발자의 13% 와 관리자의 10% 만이 SDLC 시작 직후인 설계 단계 내에 보안 코드 프랙티스를 통합해야 한다고 답했다는 것입니다.이는 실현되지 않은 거대한 기회입니다.IBM의 연구에 따르면 출시 후 코드의 취약점을 처음 발견하여 해결하는 것보다 30배 더 많은 비용이 든다고 합니다.1 이는 개발자가 처음부터 더 안전하게 코딩할 수 있도록 지원하는 새로운 사전 예방적이고 사람이 주도하는 소프트웨어 보안 방어에 대한 강력한 인센티브입니다.소프트웨어 보안은 툴링에만 의존해서는 해결할 수 없습니다. 인적 요소를 고려해야 하기 때문입니다.
인간적 요소는 준비되어 있는가?
설문 조사에 참여한 개발자 중 97% 는 보안 코딩에 대한 충분한 교육을 받았다고 생각했으며 95% 는 보안 코딩 교육이 자신의 경력에 유용했다는 데 동의했습니다.하지만 이러한 주장을 액면 그대로 받아들이기 전에 먼저 다음과 같은 질문을 던져야 합니다. 코드 취약점이 여전히 만연해 있는 이유는 무엇일까요?보안 코드 전문 지식에 대한 개발자의 주장은 인간의 자존심에 불과할까요?증거들은 분명 이러한 방향을 가리키고 있습니다.설문에 응한 개발자 중 88% 이상이 시큐어 코딩을 배우기 어렵다고 답했고, 개발 관리자의 91% 는 시큐어 코딩 프랙티스를 구현하기 어렵다고 인정했습니다.보안 코드 구현과 관련된 개인적인 주요 관심사를 묻는 질문에, 개발자의 28% 는 학습 과정이 어렵다고 답한 반면 24% 는 학습 과정이 지루하다고 답했습니다.이는 개발자 교육을 개선해야 한다는 사실을 일깨워줍니다.
인간 요소에는 무엇이 필요합니까?
'도전적인' 요인을 극복하기 위해, 가치 있는 보안 교육을 위해서는 개발자가 단계별로 보안 코딩 기술을 구축할 수 있도록 지원하는 '스캐폴딩' 프로세스가 필요합니다.관련성을 극대화하고 즉각적인 적용 가능성을 높이려면 매일 사용하는 특정 언어, 즉 프레임워크로 교육을 진행해야 합니다.
'지루함' 요인을 극복하기 위해, 보안 코드 교육은 실습 방식으로 제공되어야 합니다. 이는 시대에 뒤떨어진 강의실이나 '이 비디오를 시청하세요' 모델보다 개발자에게 훨씬 더 매력적인 것으로 입증되었습니다.여기에는 개발자가 안전한 환경에서 때때로 위험한 보안 문제를 해결할 수 있는 실시간 시뮬레이션이 포함되어야 합니다.개발자에게 작업 시 코드의 취약점을 찾아 수정하는 방법을 알려주고 보안 코딩을 일상 업무의 일부로 활용하는 방법을 알려주는 것이 목표여야 합니다.또 다른 주요 지원 요소는 IDE 내부 린팅 및 코칭입니다. 이를 통해 개발자는 코드를 작성하면서 지속적으로 학습하고 기술을 향상시켜 취약점을 예방하고 제거할 수 있습니다.
개발자에게 이 새로운 수준의 개발자 중심 도구 및 교육을 제공하는 방법을 알고 싶다면 데모 예약 지금.
또한 할 수 있습니다 사본 다운로드 백서의 대응에서 예방으로의 전환: 애플리케이션 보안의 변화하는 모습.
사이버 위협의 수가 계속 증가함에 따라 조직은 보안, 실용성 및 속도 사이에서 매일 균형을 유지하며 프로세스의 위험에 노출되고 있습니다.보안 코딩에 대한 새로운 접근 방식이 필요하므로 Secure Code Warrior는 Evans Data Corp. 와 협력하여 보안 코딩, 보안 코드 관행 및 보안 운영에 대한 개발자의 태도에 대한 주요 연구를 수행했습니다 (백서 다운로드) 이리).
이 보고서에서 밝혀진 바에 따르면 '구식' 반응적 사고가 여전히 지배적이지만, 개발자 자신을 1차 방어선으로 만드는 보다 능동적인 솔루션이 필요하다는 인식이 높아지고 있습니다.
보안 코딩 관행의 채택에 대한 모든 탐구는 구현에 관련된 사람, 이에 대한 인식, 구현 능력에 대한 이해에서 시작해야 합니다.그러면 가장 중요한 수수께끼가 생깁니다. 어떻게 하면 처음부터 더 안전하게 코딩하고 품질 좋은 코드를 자신 있게 더 빠르게 출시할 수 있을까요?
보안 코딩 — 우리는 지금 어디에 있으며, 무엇을 바꿔야 할까요? 다운로드 이제 인포그래픽 '휴먼 엘리먼트'가 나왔습니다.
현재 관점 — 사후 대응적 vs. 사전
개발자와 개발 관리자에게 보안 코딩과 관련된 활동에 대해 질문했을 때 가장 많이 받은 세 가지 응답은 다음과 같습니다.
- 배포된 애플리케이션에서 스캐닝 도구 사용
- 코드의 취약점을 수동으로 검토합니다.
- 취약점으로부터 보호되는 소프트웨어를 개발하는 적극적이고 지속적인 사례.
보시다시피 상위 3개 응답 중 2개는 여전히 반응형 접근 방식에 초점을 맞췄습니다. 첫 번째는 도구 (스캐너) 에 의존하고 두 번째는 수동 검사를 수행하는 개발자 (예: 사람) 에 관한 것입니다.
동시에, 후보에 오른 세 가지 활동 중 두 가지는 인적 요소에 의존합니다.이는 보안에 대한 인간의 문제라는 인식이 커지고 있다는 것을 의미합니다.하지만 후보에 오른 모든 활동 중에서 가장 눈에 띄는 것은 인적 요소를 파악한 3위입니다. 애초에 취약점으로부터 보호되는 소프트웨어를 작성할 때.이는 SDLC의 시작부터 소프트웨어에 보안을 적용하는 사전 예방적이고 예방적인 접근 방식인 처음부터 처음부터 시작하는 방식으로의 전환을 잘 보여줍니다.
SDLC의 보안은 어디에 적합할까요?
개발자와 개발 관리자에게 SDLC에 통합되는 보안 코드 관행이 어디에 있는지 물으면 의견이 다릅니다. 전체 개발 프로세스에 보안 코딩이 통합되어 있다고 생각하는 관리자는 55% 인 반면, 개발자의 43% 만이 보안 코딩이 전체 개발 프로세스에 통합되어 있다고 생각합니다.이러한 차이는 SDLC 내에서 이 두 그룹의 역할이 서로 다르기 때문일 수 있습니다.경영진은 일반적으로 실제 코딩 작업에 덜 관여하고 높은 수준의 관점을 갖는 경향이 있는 반면, 개발자는 기본 사항에 더 신경을 쓸 수 있습니다.
그러나 전반적인 보안 및 코드 품질 관점에서 볼 때 놀라운 점은 개발자의 13% 와 관리자의 10% 만이 SDLC 시작 직후인 설계 단계 내에 보안 코드 프랙티스를 통합해야 한다고 답했다는 것입니다.이는 실현되지 않은 거대한 기회입니다.IBM의 연구에 따르면 출시 후 코드의 취약점을 처음 발견하여 해결하는 것보다 30배 더 많은 비용이 든다고 합니다.1 이는 개발자가 처음부터 더 안전하게 코딩할 수 있도록 지원하는 새로운 사전 예방적이고 사람이 주도하는 소프트웨어 보안 방어에 대한 강력한 인센티브입니다.소프트웨어 보안은 툴링에만 의존해서는 해결할 수 없습니다. 인적 요소를 고려해야 하기 때문입니다.
인간적 요소는 준비되어 있는가?
설문 조사에 참여한 개발자 중 97% 는 보안 코딩에 대한 충분한 교육을 받았다고 생각했으며 95% 는 보안 코딩 교육이 자신의 경력에 유용했다는 데 동의했습니다.하지만 이러한 주장을 액면 그대로 받아들이기 전에 먼저 다음과 같은 질문을 던져야 합니다. 코드 취약점이 여전히 만연해 있는 이유는 무엇일까요?보안 코드 전문 지식에 대한 개발자의 주장은 인간의 자존심에 불과할까요?증거들은 분명 이러한 방향을 가리키고 있습니다.설문에 응한 개발자 중 88% 이상이 시큐어 코딩을 배우기 어렵다고 답했고, 개발 관리자의 91% 는 시큐어 코딩 프랙티스를 구현하기 어렵다고 인정했습니다.보안 코드 구현과 관련된 개인적인 주요 관심사를 묻는 질문에, 개발자의 28% 는 학습 과정이 어렵다고 답한 반면 24% 는 학습 과정이 지루하다고 답했습니다.이는 개발자 교육을 개선해야 한다는 사실을 일깨워줍니다.
인간 요소에는 무엇이 필요합니까?
'도전적인' 요인을 극복하기 위해, 가치 있는 보안 교육을 위해서는 개발자가 단계별로 보안 코딩 기술을 구축할 수 있도록 지원하는 '스캐폴딩' 프로세스가 필요합니다.관련성을 극대화하고 즉각적인 적용 가능성을 높이려면 매일 사용하는 특정 언어, 즉 프레임워크로 교육을 진행해야 합니다.
'지루함' 요인을 극복하기 위해, 보안 코드 교육은 실습 방식으로 제공되어야 합니다. 이는 시대에 뒤떨어진 강의실이나 '이 비디오를 시청하세요' 모델보다 개발자에게 훨씬 더 매력적인 것으로 입증되었습니다.여기에는 개발자가 안전한 환경에서 때때로 위험한 보안 문제를 해결할 수 있는 실시간 시뮬레이션이 포함되어야 합니다.개발자에게 작업 시 코드의 취약점을 찾아 수정하는 방법을 알려주고 보안 코딩을 일상 업무의 일부로 활용하는 방법을 알려주는 것이 목표여야 합니다.또 다른 주요 지원 요소는 IDE 내부 린팅 및 코칭입니다. 이를 통해 개발자는 코드를 작성하면서 지속적으로 학습하고 기술을 향상시켜 취약점을 예방하고 제거할 수 있습니다.
개발자에게 이 새로운 수준의 개발자 중심 도구 및 교육을 제공하는 방법을 알고 싶다면 데모 예약 지금.
또한 할 수 있습니다 사본 다운로드 백서의 대응에서 예방으로의 전환: 애플리케이션 보안의 변화하는 모습.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Ver informeReserva de demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
사이버 위협의 수가 계속 증가함에 따라 조직은 보안, 실용성 및 속도 사이에서 매일 균형을 유지하며 프로세스의 위험에 노출되고 있습니다.보안 코딩에 대한 새로운 접근 방식이 필요하므로 Secure Code Warrior는 Evans Data Corp. 와 협력하여 보안 코딩, 보안 코드 관행 및 보안 운영에 대한 개발자의 태도에 대한 주요 연구를 수행했습니다 (백서 다운로드) 이리).
이 보고서에서 밝혀진 바에 따르면 '구식' 반응적 사고가 여전히 지배적이지만, 개발자 자신을 1차 방어선으로 만드는 보다 능동적인 솔루션이 필요하다는 인식이 높아지고 있습니다.
보안 코딩 관행의 채택에 대한 모든 탐구는 구현에 관련된 사람, 이에 대한 인식, 구현 능력에 대한 이해에서 시작해야 합니다.그러면 가장 중요한 수수께끼가 생깁니다. 어떻게 하면 처음부터 더 안전하게 코딩하고 품질 좋은 코드를 자신 있게 더 빠르게 출시할 수 있을까요?
보안 코딩 — 우리는 지금 어디에 있으며, 무엇을 바꿔야 할까요? 다운로드 이제 인포그래픽 '휴먼 엘리먼트'가 나왔습니다.
현재 관점 — 사후 대응적 vs. 사전
개발자와 개발 관리자에게 보안 코딩과 관련된 활동에 대해 질문했을 때 가장 많이 받은 세 가지 응답은 다음과 같습니다.
- 배포된 애플리케이션에서 스캐닝 도구 사용
- 코드의 취약점을 수동으로 검토합니다.
- 취약점으로부터 보호되는 소프트웨어를 개발하는 적극적이고 지속적인 사례.
보시다시피 상위 3개 응답 중 2개는 여전히 반응형 접근 방식에 초점을 맞췄습니다. 첫 번째는 도구 (스캐너) 에 의존하고 두 번째는 수동 검사를 수행하는 개발자 (예: 사람) 에 관한 것입니다.
동시에, 후보에 오른 세 가지 활동 중 두 가지는 인적 요소에 의존합니다.이는 보안에 대한 인간의 문제라는 인식이 커지고 있다는 것을 의미합니다.하지만 후보에 오른 모든 활동 중에서 가장 눈에 띄는 것은 인적 요소를 파악한 3위입니다. 애초에 취약점으로부터 보호되는 소프트웨어를 작성할 때.이는 SDLC의 시작부터 소프트웨어에 보안을 적용하는 사전 예방적이고 예방적인 접근 방식인 처음부터 처음부터 시작하는 방식으로의 전환을 잘 보여줍니다.
SDLC의 보안은 어디에 적합할까요?
개발자와 개발 관리자에게 SDLC에 통합되는 보안 코드 관행이 어디에 있는지 물으면 의견이 다릅니다. 전체 개발 프로세스에 보안 코딩이 통합되어 있다고 생각하는 관리자는 55% 인 반면, 개발자의 43% 만이 보안 코딩이 전체 개발 프로세스에 통합되어 있다고 생각합니다.이러한 차이는 SDLC 내에서 이 두 그룹의 역할이 서로 다르기 때문일 수 있습니다.경영진은 일반적으로 실제 코딩 작업에 덜 관여하고 높은 수준의 관점을 갖는 경향이 있는 반면, 개발자는 기본 사항에 더 신경을 쓸 수 있습니다.
그러나 전반적인 보안 및 코드 품질 관점에서 볼 때 놀라운 점은 개발자의 13% 와 관리자의 10% 만이 SDLC 시작 직후인 설계 단계 내에 보안 코드 프랙티스를 통합해야 한다고 답했다는 것입니다.이는 실현되지 않은 거대한 기회입니다.IBM의 연구에 따르면 출시 후 코드의 취약점을 처음 발견하여 해결하는 것보다 30배 더 많은 비용이 든다고 합니다.1 이는 개발자가 처음부터 더 안전하게 코딩할 수 있도록 지원하는 새로운 사전 예방적이고 사람이 주도하는 소프트웨어 보안 방어에 대한 강력한 인센티브입니다.소프트웨어 보안은 툴링에만 의존해서는 해결할 수 없습니다. 인적 요소를 고려해야 하기 때문입니다.
인간적 요소는 준비되어 있는가?
설문 조사에 참여한 개발자 중 97% 는 보안 코딩에 대한 충분한 교육을 받았다고 생각했으며 95% 는 보안 코딩 교육이 자신의 경력에 유용했다는 데 동의했습니다.하지만 이러한 주장을 액면 그대로 받아들이기 전에 먼저 다음과 같은 질문을 던져야 합니다. 코드 취약점이 여전히 만연해 있는 이유는 무엇일까요?보안 코드 전문 지식에 대한 개발자의 주장은 인간의 자존심에 불과할까요?증거들은 분명 이러한 방향을 가리키고 있습니다.설문에 응한 개발자 중 88% 이상이 시큐어 코딩을 배우기 어렵다고 답했고, 개발 관리자의 91% 는 시큐어 코딩 프랙티스를 구현하기 어렵다고 인정했습니다.보안 코드 구현과 관련된 개인적인 주요 관심사를 묻는 질문에, 개발자의 28% 는 학습 과정이 어렵다고 답한 반면 24% 는 학습 과정이 지루하다고 답했습니다.이는 개발자 교육을 개선해야 한다는 사실을 일깨워줍니다.
인간 요소에는 무엇이 필요합니까?
'도전적인' 요인을 극복하기 위해, 가치 있는 보안 교육을 위해서는 개발자가 단계별로 보안 코딩 기술을 구축할 수 있도록 지원하는 '스캐폴딩' 프로세스가 필요합니다.관련성을 극대화하고 즉각적인 적용 가능성을 높이려면 매일 사용하는 특정 언어, 즉 프레임워크로 교육을 진행해야 합니다.
'지루함' 요인을 극복하기 위해, 보안 코드 교육은 실습 방식으로 제공되어야 합니다. 이는 시대에 뒤떨어진 강의실이나 '이 비디오를 시청하세요' 모델보다 개발자에게 훨씬 더 매력적인 것으로 입증되었습니다.여기에는 개발자가 안전한 환경에서 때때로 위험한 보안 문제를 해결할 수 있는 실시간 시뮬레이션이 포함되어야 합니다.개발자에게 작업 시 코드의 취약점을 찾아 수정하는 방법을 알려주고 보안 코딩을 일상 업무의 일부로 활용하는 방법을 알려주는 것이 목표여야 합니다.또 다른 주요 지원 요소는 IDE 내부 린팅 및 코칭입니다. 이를 통해 개발자는 코드를 작성하면서 지속적으로 학습하고 기술을 향상시켜 취약점을 예방하고 제거할 수 있습니다.
개발자에게 이 새로운 수준의 개발자 중심 도구 및 교육을 제공하는 방법을 알고 싶다면 데모 예약 지금.
또한 할 수 있습니다 사본 다운로드 백서의 대응에서 예방으로의 전환: 애플리케이션 보안의 변화하는 모습.
Índice
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostraciónDescargarRecursos útiles para empezar
Temas y contenidos de la formación sobre códigos de seguridad
El mejor contenido del sector evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo en cuenta el papel de los clientes. Se ofrecen temas que abarcan desde la inteligencia artificial hasta la inyección de XQuery, para diversas funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo al contenido que ofrece el catálogo por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos útiles para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ahora está disponible bajo demanda.
Cybermon 2025 Bit the Boss ya está disponible en SCW durante todo el año. Implemente tareas de seguridad avanzadas de IA/LLM para impulsar el desarrollo de IA de seguridad a gran escala.
Explicación de la Ley de Resiliencia Cibernética: El significado del diseño de seguridad en el desarrollo de software
Descubra los requisitos y el ámbito de aplicación de la Ley de Resiliencia Cibernética (CRA) de la UE, y cómo el equipo de ingeniería puede prepararse de forma segura mediante el diseño, las prácticas, la prevención de vulnerabilidades y la creación de un entorno de desarrollo.
Factor de éxito 1: Criterios de éxito definidos y medibles
El habilitador 1 ofrece una serie de 10 partes sobre los habilitadores del éxito, mostrando cómo la codificación segura puede mejorar los resultados empresariales, como la reducción de riesgos y costes y la aceleración de la madurez de los programas a largo plazo.
