- API 게이트웨이. 이 도구는 두 가지 주요 작업을 수행한다. 모든 API의 전체 인벤토리를 유지하여 문제 해결을 용이하게 하고, 서드파티 공급업체를 조사하고 의심스러운 활동이 있는지 모든 API를 모니터링하는 데 도움을 준다.
- 코드 스캔 및 테스트 도구 개발자가 코딩 오류를 발견하고 취약점을 식별 및 해결하는 데 도움이 되는 도구다. 이러한 도구는 코드가 작성되는 동안 소프트웨어 공급망을 보호하여 2020년의 솔라윈즈 오리온(SolarWinds Orion) 익스플로잇 같은 재난을 방지하는 데 도움이 된다.
- 소위 웹 애플리케이션 방화벽은 실제로 SQL 인젝션과 같은 공격으로부터 모든 애플리케이션을 보호한다. 일반적으로 상위 프로토콜 수준에서 작동하지만 DDoS나 봇넷과 같은 낮은 수준의 네트워크 기반 공격을 차단하는 데에도 사용할 수 있다.
하지만 개발자가 실제로 배포할 도구를 올바르게 선택할 수 있도록 보안 문화를 이해하는 것이 두 번째 문제다. 이 문제에 대해 지바 싱은 블로그에서“방대한 취약점 목록으로 엔지니어링 기업을 압도하지 않도록 모든 것을 한꺼번에 쇼핑하는 것이 아니라 작은 것부터 시작해야 한다”라고 언급했다. 이러한 취약점을 살펴보고 보호하고자 하는 데이터를 이해하고 우선순위를 정해야 한다. 싱은 많은 기업이 비즈니스 요구 사항에 맞지 않는 솔루션을 선택한다는 사실을 발견했다. 도구를 활용하지 않기 때문에 일상적인 프로세스에 통합되지 않는다.
베라코드가 전하는 메시지는 간단하다. 앱을 자주 검사하고, 다양한 기술을 사용하여 검사하고, 앱이 어떻게 구축되고 수정되는지에 대한 큰 그림을 이해하여 지속적인 수정 작업을 수행해야 한다는 것이다.
코펜이 트래픽 처리 엔진이라고 부르는 여러 카테고리를 결합한 애플리케이션 보안 제품(Barracuda, Imperva, F5 등)이 몇 개 있다. 이러한 통합은 궁극적으로 오탐을 추적하는 데 많은 시간을 소비하는 도구 및 알림의 피로를 없애는 데 도움이 된다. CSO는 “가장 큰 과제는 전반적인 리스크 관리를 제대로 처리하는 것이다. 도구를 간소화하고 가능한 한 여러 도구를 통합해야 한다”라고 요약했다.
