안전한 개발 관행 팀을 위한
AI 코딩 어시스턴트, 공급망 공격, 새로운 규제가 안전한 개발의 의미를 새로 정의했습니다. 귀사의 스택, 도구, 실제 코드베이스로 개발자를 교육합니다.
공급망 공격 3배 증가
소프트웨어 공급망 공격은 2024-2025년에 300% 증가했습니다. 이제 개발자가 경계가 아닌 주요 공격 표적입니다.
클라우드 구성 오류가 침해를 주도
클라우드 보안 실패의 95%는 정교한 제로데이가 아니라 잘못된 구성이나 코드 오류로 거슬러 올라갑니다.
AI 코드가 새로운 취약점을 도입
GitHub Copilot과 Cursor는 측정 가능한 비율로 안전하지 않은 패턴을 생성합니다. AI 출력을 검토할 수 없는 개발자는 점점 더 큰 부담이 됩니다.
DORA는 시프트 레프트 보안을 요구
EU 디지털 운영 복원력 법(DORA)은 금융 서비스의 개발 수명 주기에 보안 통합을 의무화합니다.
Trivy 및 Grype와 같은 도구를 사용한 컨테이너 및 이미지 스캐닝에 대한 실무 지식
실습 CI/CD 파이프라인 강화: 브랜치 보호, SAST, 종속성 스캐닝
Vault, Azure Key Vault, GitHub Actions를 위한 시크릿 관리 구성
자체 코드베이스에서의 OWASP Top 10 식별 및 해결
공급망 보안: SBOM 생성, 종속성 고정, 아티팩트 서명
AI가 생성한 코드를 위한 보안 코드 검토 기법
환경 설정 및 위협 모델링
참가자의 실제 파이프라인을 매핑하는 것으로 시작합니다. 어떤 도구를 사용하는지, 시크릿이 어디에 있는지, 위험한 핸드오프가 어디에 있는지 파악합니다.
컨테이너 및 파이프라인 보안 랩
실습 연습: 실제 이미지를 스캔하고 CVE를 찾아 수정합니다. SAST 및 시크릿 스캐닝이 포함된 GitHub Actions 워크플로를 구성합니다.
OWASP Top 10 코드 검토
참가자는 AI가 생성한 코드를 포함한 코드 샘플에서 인젝션, 깨진 인증, 안전하지 않은 역직렬화 및 기타 일반적인 패턴을 검토합니다.
공급망 및 시크릿 모듈
실습: SBOM 생성, 종속성 고정 설정, 유출된 시크릿 교체, Vault 또는 Azure Key Vault 구성.
팀 안전 개발 정책
팀의 안전 개발 체크리스트와 코드 검토 기준을 작성하거나 업데이트하는 공동 세션으로 마무리합니다.
애플리케이션 개발자
웹 애플리케이션, API 또는 내부 도구를 구축하는 백엔드, 프론트엔드, 풀스택 엔지니어.
DevOps 및 플랫폼 엔지니어
CI/CD 파이프라인, 컨테이너 인프라, 클라우드 환경을 담당하는 엔지니어.
테크 리드 및 아키텍트
조직에서 소프트웨어를 구축, 검토, 배포하는 방식을 정의하는 의사 결정권자.