AppSec 팀을 위해 설계 · 당사의 감사에 매핑

엔지니어가 건너뛰지 않는
안전한 코딩 교육,
감사 증거가 함께 쌓입니다.

엔지니어링 팀이 자기 스택의 운영 환경 수준 코드를 리뷰하고, 결함을 찾고, 수정을 배포합니다 — 그리고 컴플라이언스 증거는 자동으로 쌓입니다. PCI DSS 4.0, ISO 27001, OWASP를 모든 과제에 매핑합니다.

186
취약점 유형
930
코드 리뷰
67
공격 시나리오
15
엔지니어링 스택
PCI DSS 4.0·ISO 27001·OWASP Top 10·EU CRA
동작 방식 보기
동작 방식

챌린지당 두 단계.

1단계: 운영 환경 코드에서 취약한 블록을 식별합니다. 2단계: "정답이 빤히 보이는" 형태가 아니라, 그럴듯한 네 가지 후보 중에서 올바른 수정안을 선택합니다.

1단계 — 찾기
1단계 — 운영 환경 코드에서 취약한 블록 찾기

코드 리뷰 930개가 186개 취약점 유형에 걸쳐 있습니다 — 각각은 팀이 실제로 배포하는 언어로 작성된 운영 환경 수준의 스니펫입니다. 후보 블록 5개, 실제 결함 1개.

2단계 — 수정
2단계 — 네 가지 후보 중에서 올바른 수정안 선택

스마트 디스트랙터 — 각각의 잘못된 수정안은 실제 AppSec 실수(이스케이프만 처리, 정규식 검증, 바인딩 없는 ORM)이며, 그것이 왜 실패하는지에 대한 설명이 함께 제공됩니다. 개발자는 수정과 완화의 차이를 배웁니다.

가이드 공격 워크스루

정찰부터 익스플로잇, 수정까지 — 단계별로.

시나리오 67개. 인터랙티브 단계 973개. 각 시나리오는 엔지니어를 시뮬레이션된 브라우저, 터미널, 인터셉트 프록시에 배치하여 정찰을 수행하고, 익스플로잇을 성공시키고, 코드에서 빈틈을 메우게 합니다. 한 공격 유형, 한 차례의 짧고 집중된 세션.

LoveNest 계정 열거 시나리오 — 10단계, 14분
67
시나리오
973
인터랙티브 단계
~14m
평균 워크스루
당사의 스택에 맞춰 작성

범용 의사 코드가 아닙니다. 당사의 관용구입니다.

각 엔지니어는 첫 방문에서 자기 스택을 선택합니다. 그러면 모든 챌린지가 실제로 배포하는 언어와 프레임워크로 로드됩니다 — Python의 f-string, Go의 fmt.Sprintf, C#의 문자열 보간, Java의 PreparedStatement처럼 — 운영 환경에 어떤 것과도 매핑되지 않는 축소된 의사 코드가 아닙니다.

백엔드
  • JavaScript
  • TypeScript
  • C#
  • Java
  • Python
  • Go
  • PHP
프런트엔드
  • React TS · JS
  • Vue TS · JS
  • Angular TS · JS
모바일
  • Swift
  • Kotlin
백엔드, 프런트엔드, 모바일에 걸친 15개 언어 및 프레임워크 대상 — 각 챌린지는 선택한 스택의 관용적인 코드로 렌더링됩니다.
엔터프라이즈 플랫폼

엔터프라이즈 보안 팀의 기존 업무 방식에 맞춰 설계되었습니다.

JIT 프로비저닝 기반의 SAML 2.0, SCIM 2.0 라이프사이클 동기화, 모든 LMS를 위한 SCORM 1.2/2004, 그리고 역할 기반 위임을 제공하는 멀티테넌트 관리 평면. 어느 하나도 추가 옵션이 아니며 — 모두 첫날부터 활성화됩니다.

SAML 2.0 / OIDC
JIT 프로비저닝 SSO
Okta, Azure AD, Google Workspace, OneLogin 또는 모든 SAML 2.0 / OIDC IdP. 첫 로그인 시 JIT 사용자 생성 — 수동 온보딩 단계가 없습니다.
SCIM 2.0
사용자 라이프사이클 동기화
IdP에서 사용자 프로비저닝과 디프로비저닝이 자동으로 이루어집니다 — 퇴사자가 발생해도 유령 계정이 남지 않습니다.
SCORM 1.2 / 2004
당사의 LMS 안에서 실행
Moodle, Cornerstone, SAP SuccessFactors, Docebo 등 모든 SCORM 호환 LMS에서 실행됩니다. 완료와 북마크가 표준 런타임을 통해 다시 동기화됩니다.
PLATFORM → COMPANY → ORG → TEAM
멀티테넌트 계층
회사, 사업부, 스쿼드 단위로 데이터와 관리 범위를 격리합니다 — 계층별로 역할 기반 위임이 제공됩니다.
변경 불가능한 추적
감사 로그
모든 로그인, 과제 부여, 완료, 관리 작업이 행위자, 역할, IP, 메타데이터와 함께 기록됩니다 — 쿼리와 내보내기가 가능하여 QSA, SOC 2, ISO 감사에 사용할 수 있습니다.
과제 및 분석
마감일, 팀, 스킬 격차
주제, 프레임워크 또는 공격 시나리오 단위로 — 사용자, 팀, 또는 조직 전체에 — 과제를 할당합니다. 단일 관리자 대시보드에서 완료 현황, 점수, 팀별 격차를 추적합니다.
컴플라이언스 매핑

모든 과제가, 보고하시는 프레임워크에 매핑됩니다.

PCI DSS 4.0.1
§6.2.2 안전한 코딩 교육
요구 사항별 증거: §6.2.2 개발자 교육을 OWASP 카테고리 및 CWE 클러스터에 매핑 — 스프레드시트 발굴 없이 QSA 검토에 바로 제출할 수 있습니다.
ISO 27001:2022
부속서 A.8.28 안전한 코딩
A.8.28 안전한 코딩 통제 증거와 A.6.3 인식 교육이, 팀별 완료 현황 및 주제별 CWE 커버리지에 연결됩니다.
EU CRA 부속서 I
Secure-by-design 요구 사항
디지털 요소가 포함된 제품에 대한 필수 사이버보안 요구 사항 — 팀별 커버리지가 부속서 I (1) 및 (2)에 대해 추적됩니다.
OWASP TOP 10
Web · API · 모바일
모든 챌린지는 Web (2021), API (2023), Mobile (2024)에 걸쳐 OWASP Top 10 카테고리에 태그되며 — 각각에 대응되는 CWE도 함께 표시됩니다.

모든 챌린지는 충족시키는 프레임워크에 사전 태그되어 있으므로 — 감사 시점이 비상 훈련이 아니라, 쿼리 한 번이 됩니다.

당사의 감사 주기에
어떻게 들어맞는지 확인하십시오.

팀과의 30분 통화입니다. 관리자 대시보드, PCI / ISO / OWASP 매핑, 그리고 SSO와 SCIM이 당사의 IdP에서 어떻게 활성화되는지를 안내해 드립니다.

플랫폼 둘러보기