인증된 보안 인식: 개발자 역량 강화를 위한 행정 명령

신성한 타이밍이라는 것이 있다면 바이든 행정부가 이를 자신들의 것으로 못 박았다고 할 수 있습니다. 행정 명령 연방 네트워크를 강화하고 전국적으로 사이버 보안 표준 및 모범 사례를 개선하려는 미국 정부의 계획을 설명하는 (EO) 발표.이 전략은 최근 두 차례에 걸친 파괴적인 사이버 공격, 즉 지속적인 공급망 침해에 따른 것입니다. 태양풍, 에 더하여 콜로니얼 파이프라인 가스 인프라 공격.

이러한 사건들은 의심할 여지 없이 모든 정부 차원에서 파문을 일으켰지만, 이 지침은 정부에게 흥미로운 시기입니다. 사이버 보안의 미래.마침내 우리의 디지털 존재를 최상위권에서 보호하는 것에 대해 진지하게 생각하고 있는 것 같습니다. 지금보다 더 나은 표준과 더 높은 품질의 소프트웨어를 추진하기에 이보다 더 좋은 시기는 없습니다.

EO에서는 기능적 사이버 보안의 여러 측면을 다루지만, 처음으로 개발자의 영향과 개발자의 필요성에 대해 구체적으로 설명합니다. 검증 보안 기술 및 인식.수년 동안 우리는 이것이 흔히 우리를 괴롭히는 일반적인 취약점을 해결하기 위한 길이며, 이러한 접근 방식에 부합하는 정부 명령이 사이버 방어 분야에서 광범위한 성공을 거둘 수 있는 길이라고 외쳐왔습니다.

조직과 연방 부서 모두 이 명령에 어떻게 대응해야 할까요?몇 가지 주요 범주를 정리해 보겠습니다.

'틱-더-박스'는 이제 출시되지 않았습니다.

우리는 개발자를 위한 대부분의 유형의 사이버 보안 교육이 비효율적이라는 점을 오랫동안 지적해 왔습니다.너무 일반적이고 원하는 결과를 이끌어내고 영감을 주는 방식으로 제공되지 않는 경우가 많으며 (참조: 더 안전한 코드), 너무 드물게 다루어집니다.설상가상으로, 많은 기업이 운영 요구 사항을 충족하고 개발자 이름 옆에 체크 표시를 하는 데 필요한 최소한의 '한 번에 끝나는' 기본 사항을 제공하는 접근 방식인 '틱-더-박스' 교육에 만족하고 있습니다.이러한 교육 전략을 바탕으로 모든 CISO는 자신의 회사가 다음 제로데이 보안 침해의 피해자가 되지 않기를 바라며 칼날을 다투고 있습니다.단순히 취약점을 줄이고 더 높은 품질의 코드를 만드는 데에는 효과가 없습니다.

바이든의 명령 섹션 4에서는 조직이 개발자가 문서화되고 검증된 보안 규정 준수를 보여주고 있음을 입증해야 할 필요성이 분명해졌습니다.

‍

”지침에는 소프트웨어 보안을 평가하는 데 사용할 수 있는 기준, 개발자 및 공급업체 자체의 보안 관행을 평가하는 기준, 보안 관행과의 준수를 입증하는 혁신적인 도구 또는 방법을 식별하는 기준이 포함되어야 합니다.”

여기에는 약간의 문제가 있습니다. 개발자 전용 업계 표준 인증은 현재 존재하지 않는다는 것입니다.개발자의 보안 코딩 기술 수준을 벤치마킹하고 이러한 기술을 개선하기 위한 과정과 평가를 통해 기업이 목표를 설정하고 규정을 준수할 수 있도록 하는 것은 기본입니다.개발자가 실용적인 실무 환경에서 핵심 역량을 보여줄 수 있다면 의미 있고 신뢰할 수 있는 방식으로 이를 평가하고 인증할 수 있습니다.이는 Secure Code Warrior에서 제공하는 서비스의 핵심이며, 당사는 기술 스택과 조직 요구 사항에 맞게 사용자 지정할 수 있는 신뢰할 수 있는 인증에 활용할 수 있는 시스템을 만들기 위해 열심히 노력해 왔습니다.

이러한 기술은 가치가 있으며 자동화할 수 없습니다.인증을 통해 개발자는 보안에 대해 잘 알고 있는 팀으로 변모하여 교활한 위협으로부터 코드베이스를 보호할 수 있습니다.

‍

개발자 도구 (및 일반 도구) 에 중점을 둡니다.

EO는 보안 코딩 관행 검증에 관한 지침 외에도 보안의 자동화 및 도구 측면에 대해 심층적으로 다룹니다.

보안 관점에서 볼 때 사람이 혼자서 처리하기에는 너무 많은 코드가 생성되고 있으며, 광범위한 기술 스택의 일부인 자동화는 당연히 모든 보안 프로그램의 주요 부분입니다.하지만 모든 도구가 똑같이 만들어지는 것은 아니며, 모든 프로그래밍 언어에서 모든 취약점을 찾아낼 수 있는 “모든 것을 통제하는 단일 도구”도 없습니다.훌륭한 보안 프로그램은 특히 개발자 대상 도구 및 서비스의 경우 미묘한 접근 방식을 취합니다.

EO의 섹션 3에는 연방 정부가 사용할 수 있는 소프트웨어를 만드는 공급업체에 대한 기대치와 개발 프로세스에서의 도구 사용에 관한 지침 지침이 요약되어 있습니다.

‍

” (iii) 자동화된 도구 또는 유사한 프로세스를 사용하여 신뢰할 수 있는 소스 코드 공급망을 유지함으로써 코드의 무결성을 보장합니다.
(iv) 알려진 취약성 및 잠재적 취약성을 검사하고 이를 해결하는 자동화된 도구 또는 유사한 프로세스를 사용합니다. 이러한 프로세스는 정기적으로 또는 최소한 제품, 버전 또는 업데이트 릴리스 전에 작동해야 합니다.”

개발자 기술 스택의 보안 도구는 보안 모범 사례를 빠르게 개선하여 릴리스가 기한을 준수하고 보안 버그 및 기타 눈에 띄는 문제에 시달리지 않도록 하는 가장 좋은 방법 중 하나입니다.하지만 개발자들이 가장 강력한 도구를 최대한 활용하려면 여전히 상황에 맞는 학습이 필요하다는 사실입니다.개발자들이 무엇이 신고되었는지, 왜 위험한지, 어떻게 해결해야 하는지를 이해하는 것은 매우 중요하며, 애초에 도구가 식별해야 하는 실수를 줄일 수 있을 것입니다.

최고의 도구는 개발자 환경과 통합되어 개발자가 더 높은 품질의 (더 안전한) 코드를 생성할 수 있도록 지원하고 보안을 최우선으로 합니다.

‍

공급망 보안.

EO에서 제가 가장 좋아하는 부분 중 하나는 소프트웨어 공급망을 보호하기 위한 포괄적인 계획입니다.SolarWinds 이벤트를 고려하면 놀라운 일은 아니지만 중요한 하이라이트입니다.

”연방 정부가 사용하는 소프트웨어의 보안은 연방 정부가 중요한 기능을 수행하는 데 필수적입니다.상용 소프트웨어 개발에는 투명성이 부족하고, 소프트웨어가 공격에 저항하는 능력에 충분히 초점을 맞추고, 악의적인 행위자의 변조를 방지하기 위한 적절한 통제가 부족한 경우가 많습니다.제품이 안전하게 기능할 수 있도록 보다 엄격하고 예측 가능한 메커니즘을 구현하는 것이 시급합니다. 의도한 대로... 연방 정부는 중요 소프트웨어 문제를 해결하는 데 우선 순위를 두고 소프트웨어 공급망의 보안과 무결성을 빠르게 개선하기 위한 조치를 취해야 합니다.”

이 판결은 미국 정부와 거래하려는 모든 소프트웨어 회사에 영향을 미치지만 모든 곳에서 표준으로 적용되어야 합니다.타사 공급업체 (타사 구성 요소를 사용하는 개발자는 말할 것도 없고) 의 보안 조치에 대한 투명성이 부족하면 사이버 보안 모범 사례가 충족되고 있음을 평가, 검증 및 선언하기가 매우 어렵습니다.우리가 사용하는 공급업체와 그들이 개발한 소프트웨어를 분석해야 합니다.이러한 조치는 “추가 조치”로 보일 수 있지만 사이버 보안 모범 사례의 표준으로 자리 잡아야 합니다.

보안 코드를 안심하고 제공하는 것은 오랫동안 우리 업계의 골칫거리였지만, 이는 현재 프로세스를 평가하고 뒤쳐진 사람들이 부러워하는 소프트웨어 및 클라우드 인프라 강화를 주도할 수 있는 절호의 기회입니다.지금 당사와 상담하여 어떻게 활용할 수 있는지 알아보십시오. 교육 과정, 평가, 및 개발자 도구 보안을 잘 아는 개발자로 구성된 다음 팀을 인증하는 데 사용됩니다.

‍