SEC11-BP08 보안 소유권이 워크로드 팀에 귀속되도록 프로그램 구축
빌더 팀이 개발하는 소프트웨어의 보안을 결정할 수 있도록 지원하는 프로그램 또는 메커니즘을 구축합니다. 보안 팀에서 검토 시 이러한 결정을 다시금 검증해야 하지만, 빌더 팀이 보안 소유권을 가지면 더욱 신속하고 안전하게 워크로드를 구축할 수 있습니다. 또한 이 메커니즘은 구축하는 시스템의 운영에 좋은 영향을 미치는 주인 의식 문화를 강화합니다.
원하는 성과: 팀에 보안 소유권과 의사 결정이 포함되어 있습니다. 보안에 대해 생각하는 방법을 팀에 교육했거나 소속된 인력 또는 관련 보안 인력으로 팀을 강화했습니다. 그 결과 팀은 개발 주기 초반에 더 양질의 보안 결정을 내립니다.
일반적인 안티 패턴:
-
보안 팀에 모든 보안 설계 결정을 맡깁니다.
-
개발 프로세스에서 보안 요구 사항을 조기에 해결하지 못합니다.
-
빌더 및 보안 담당자로부터 프로그램 운영 피드백을 받지 못합니다.
이 모범 사례 확립의 이점:
-
보안 검토를 빠르게 완료할 수 있습니다.
-
보안 검토 단계에서만 탐지되는 보안 문제가 감소합니다.
-
작성 중인 소프트웨어의 전반적인 품질이 향상됩니다.
-
체계 문제 또는 유의미한 개선 영역을 식별하고 이해할 수 있습니다.
-
보안 검토 결과로 인해 필요한 재작업의 양이 줄어듭니다.
-
보안 기능에 대한 인식이 개선됩니다.
이 모범 사례가 확립되지 않을 경우 노출되는 위험 수준: 낮음
구현 가이드
SEC11-BP01 애플리케이션 보안 교육의 지침부터 시작합니다. 그런 다음 조직에 가장 적합하다고 생각되는 프로그램의 운영 모델을 파악합니다. 2가지 주요 패턴은 빌더를 교육하거나 빌더 팀에 보안 인력을 투입하는 것입니다. 초기 접근 방식을 정한 후에는 단일 또는 소규모 워크로드 팀과 함께 시범 운영하여 해당 모델이 조직에 적합한지 입증해야 합니다. 조직의 빌더 및 보안 부문에서 리더십의 지원이 있으면 프로그램의 제공과 성공에 도움이 됩니다. 이 프로그램을 개발할 때 프로그램의 가치를 보여주는 데 사용할 수 있는 지표를 선택해야 합니다. AWS가 이러한 문제에 어떻게 접근했는지 알아보면 큰 도움이 됩니다. 이 모범 사례는 조직의 변화와 문화를 집중적으로 조명합니다. 빌더와 보안 커뮤니티 간의 협업을 지원하는 도구를 사용해야 합니다.
구현 단계
-
먼저 빌더에게 애플리케이션 보안 교육을 제공합니다.
-
빌더를 교육하기 위한 커뮤니티와 온보딩 프로그램을 개발합니다.
-
프로그램 이름을 선택합니다. Guardians, Champions, Advocates가 주로 사용됩니다.
-
빌더를 교육하거나, 보안 엔지니어를 합류시키거나, 보안 담당자를 연계하는 등 사용할 모델을 결정합니다.
-
보안, 빌더 및 기타 관련 그룹의 프로젝트 후원 주체를 결정합니다.
-
프로그램에 참여한 인원 수, 검토에 소요된 시간, 빌더 및 보안 인력의 피드백 지표를 추적합니다. 이러한 지표를 바탕으로 개선합니다.
리소스
관련 모범 사례:
관련 문서:
관련 비디오:
