AppSec 팀을 위해 설계 · 당사의 감사에 매핑

AI 시대의개발자 보안플랫폼

AI 시대의 시큐어 코딩과 컴플라이언스 증적 — OWASP LLM, Agentic AI, Secure AI-Assisted Development를 EU AI Act, ISO 42001, NIST AI RMF에 매핑하고, Web/API/Mobile Top 10을 PCI DSS 및 ISO 27001에 연결합니다.

0
취약점 유형
0
코드 리뷰
0
공격 시나리오
0
엔지니어링 스택
PCI DSS 4.0·ISO 27001·OWASP Top 10·EU CRA·EU AI Act·ISO 42001·NIST AI RMF
동작 방식 보기
증거 내보내기 완료
PCI 6.2.4 · CWE-89 · 서명된 PDF
users.controller.ts단계 1 — 탐지
12async getUser(req) {
13  const q = `SELECT * FROM users WHERE id = ${req.params.id}`;
14  return db.query(q);
15}
스캔 중 · A03:2021 발견 — InjectionCWE-89OWASP A03:2021PCI 6.5.1ISO 27001 A.8.28EU AI Act Art. 15
동작 방식

챌린지당 두 단계.

1단계: 운영 환경 코드에서 취약한 블록을 식별합니다. 2단계: "정답이 빤히 보이는" 형태가 아니라, 그럴듯한 네 가지 후보 중에서 올바른 수정안을 선택합니다.

1단계 — 찾기
1단계 — 운영 환경 코드에서 취약한 블록 찾기

코드 리뷰 1500+개가 310+개 취약점 유형에 걸쳐 있습니다 — 각각은 팀이 실제로 배포하는 언어로 작성된 운영 환경 수준의 스니펫입니다. 후보 블록 5개, 실제 결함 1개.

2단계 — 수정
2단계 — 네 가지 후보 중에서 올바른 수정안 선택

스마트 디스트랙터 — 각각의 잘못된 수정안은 실제 AppSec 실수(이스케이프만 처리, 정규식 검증, 바인딩 없는 ORM)이며, 그것이 왜 실패하는지에 대한 설명이 함께 제공됩니다. 개발자는 수정과 완화의 차이를 배웁니다.

가이드 공격 워크스루

정찰부터 익스플로잇, 수정까지 — 단계별로.

시나리오 114개. 인터랙티브 단계 1537개. 각 시나리오는 엔지니어를 시뮬레이션된 브라우저, 터미널, 인터셉트 프록시에 배치하여 정찰을 수행하고, 익스플로잇을 성공시키고, 코드에서 빈틈을 메우게 합니다. 한 공격 유형, 한 차례의 짧고 집중된 세션.

LoveNest 계정 열거 시나리오 — 10단계, 14분
114
시나리오
1537
인터랙티브 단계
~17m
평균 워크스루
당사의 스택에 맞춰 작성

범용 의사 코드가 아닙니다. 당사의 관용구입니다.

각 엔지니어는 첫 방문에서 자기 스택을 선택합니다. 그러면 모든 챌린지가 실제로 배포하는 언어와 프레임워크로 로드됩니다 — Python의 f-string, Go의 fmt.Sprintf, C#의 문자열 보간, Java의 PreparedStatement처럼 — 운영 환경에 어떤 것과도 매핑되지 않는 축소된 의사 코드가 아닙니다.

백엔드
  • JavaScript
  • TypeScript
  • C#
  • Java
  • Python
  • Go
  • PHP
프런트엔드
  • React TS · JS
  • Vue TS · JS
  • Angular TS · JS
모바일
  • Swift
  • Kotlin
백엔드, 프런트엔드, 모바일에 걸친 15개 언어 및 프레임워크 대상 — 각 챌린지는 선택한 스택의 관용적인 코드로 렌더링됩니다.
고객 성과

엔터프라이즈 팀들이 반복 취약점을 줄이고시큐어 코딩을 표준화했습니다.

은행, 핀테크, 보험사의 익명화된 고객 성과입니다. 사전 승인 시 실명 레퍼런스 콜이 가능합니다.

엔터프라이즈 플랫폼

엔터프라이즈 보안 팀의 기존 업무 방식에 맞춰 설계되었습니다.

JIT 프로비저닝 기반의 SAML 2.0, SCIM 2.0 라이프사이클 동기화, 모든 LMS를 위한 SCORM 1.2/2004, 그리고 역할 기반 위임을 제공하는 멀티테넌트 관리 평면. 어느 하나도 추가 옵션이 아니며 — 모두 첫날부터 활성화됩니다.

SAML 2.0 / OIDC
JIT 프로비저닝 SSO
Okta, Azure AD, Google Workspace, OneLogin 또는 모든 SAML 2.0 / OIDC IdP. 첫 로그인 시 JIT 사용자 생성 — 수동 온보딩 단계가 없습니다.
SCIM 2.0
사용자 라이프사이클 동기화
IdP에서 사용자 프로비저닝과 디프로비저닝이 자동으로 이루어집니다 — 퇴사자가 발생해도 유령 계정이 남지 않습니다.
SCORM 1.2 / 2004
당사의 LMS 안에서 실행
Moodle, Cornerstone, SAP SuccessFactors, Docebo 등 모든 SCORM 호환 LMS에서 실행됩니다. 완료와 북마크가 표준 런타임을 통해 다시 동기화됩니다.
PLATFORM → COMPANY → ORG → TEAM
멀티테넌트 계층
회사, 사업부, 스쿼드 단위로 데이터와 관리 범위를 격리합니다 — 계층별로 역할 기반 위임이 제공됩니다.
변경 불가능한 추적
감사 로그
모든 로그인, 과제 부여, 완료, 관리 작업이 행위자, 역할, IP, 메타데이터와 함께 기록됩니다 — 쿼리와 내보내기가 가능하여 QSA, SOC 2, ISO 감사에 사용할 수 있습니다.
과제 및 분석
마감일, 팀, 스킬 격차
주제, 프레임워크 또는 공격 시나리오 단위로 — 사용자, 팀, 또는 조직 전체에 — 과제를 할당합니다. 단일 관리자 대시보드에서 완료 현황, 점수, 팀별 격차를 추적합니다.
컴플라이언스 매핑

모든 과제가, 보고하시는 프레임워크에 매핑됩니다.

PCI DSS 4.0.1
§6.2.2 안전한 코딩 교육
요구 사항별 증거: §6.2.2 개발자 교육을 OWASP 카테고리 및 CWE 클러스터에 매핑 — 스프레드시트 발굴 없이 QSA 검토에 바로 제출할 수 있습니다.
ISO 27001:2022
부속서 A.8.28 안전한 코딩
A.8.28 안전한 코딩 통제 증거와 A.6.3 인식 교육이, 팀별 완료 현황 및 주제별 CWE 커버리지에 연결됩니다.
EU CRA 부속서 I
Secure-by-design 요구 사항
디지털 요소가 포함된 제품에 대한 필수 사이버보안 요구 사항 — 팀별 커버리지가 부속서 I (1) 및 (2)에 대해 추적됩니다.
OWASP TOP 10
Web · API · 모바일 · 클라이언트 · LLM · Agentic · AI Dev
모든 챌린지는 9개 프레임워크에 걸쳐 OWASP 카테고리에 태그되며 — Web, API, 모바일, 클라이언트, Cloud-Native, CI/CD, LLM, Agentic AI, AI-Dev-Tools — 각각에 대응되는 CWE도 함께 표시됩니다.
EU AI ACT
제9-15조
고위험 AI 시스템 요건 — 제15조 사이버 보안, 제12조 로그, 제14조 인적 감독에 대한 개발자별 증거.
ISO/IEC 42001:2023
Annex A AI 통제
AI 관리 시스템 증거 — A.6.2.6 영향 평가, A.8.2 V&V, A.8.4 모니터링이 개발자 교육에 매핑.
NIST AI RMF 1.0
Govern · Map · Measure · Manage
연방 AI 위험 기준선 — MEASURE-2.7 보안, MAP-1.1 시스템 맥락, MANAGE-2.4 위험 처리에 대한 개발자별 증거.

모든 챌린지는 충족시키는 프레임워크에 사전 태그되어 있으므로 — 감사 시점이 비상 훈련이 아니라, 쿼리 한 번이 됩니다.

당사의 감사 주기에
어떻게 들어맞는지 확인하십시오.

팀과의 30분 통화입니다. 관리자 대시보드, PCI / ISO / OWASP 매핑, 그리고 SSO와 SCIM이 당사의 IdP에서 어떻게 활성화되는지를 안내해 드립니다.

플랫폼 둘러보기