개발자가 안전한 코드를 작성하도록
코드로 직접 교육합니다.

보면서 배우지 말고, 직접 해 보며 배웁니다.

보안 책임자가 이 플랫폼을 평가하는 방식.

구매자가 일반적으로 SecureCodingHub를 평가하는 방식

체계적인 평가를 진행하는 대다수 보안 엔지니어링 책임자는 비슷한 형태로 접근합니다. 4~6주의 파일럿, 개발자 15~40명 규모의 엔지니어링 팀 1개, 그리고 최근 SAST 또는 모의해킹 보고서의 발견 사항과 연결되는 짧은 취약점 카테고리 목록입니다. 파일럿은 플랫폼의 작동 여부 자체가 아니라, 개발자의 참여도, 운영 코드 대비 콘텐츠의 견고함, 그리고 CISO나 감사관에게 방어할 수 있을 만큼 측정 스토리가 신뢰할 만한지를 검증하는 자리입니다.

저희는 완료율이 아니라 정확도를 측정할 것을 권장드립니다. 완료율은 강제 마감일로 쉽게 부풀릴 수 있으며, 개발자가 자기 서비스 안의 인젝션 싱크를 알아볼 수 있는지에 대해서는 거의 알려 주지 않습니다. 1단계 탐지에 대한 첫 시도 정확도와 2단계의 수정 도달 시간을 함께 보면, 분기 단위로 추이를 관리할 수 있는 방어 가능한 지표가 됩니다. 두 지표 모두 개발자별, 주제별로 제공되며, 팀과 카테고리 단위로도 집계됩니다.

파일럿 중에 짚어볼 가치가 있는 또 다른 질문은, 언어 커버리지가 팀이 실제 운영 환경에서 작성하는 언어와 실제로 일치하는지입니다. 스택의 절반이 Python이라면, 문서상의 커버리지는 의미가 없고 Python 콘텐츠가 얕다면 더더욱 그렇습니다. 파일럿 시작 전에 팀 리더와 콘텐츠 리뷰 세션을 진행하여, 할당되는 모듈이 개발자들이 자신의 저장소에서 알아볼 수 있는 코드와 일치하도록 합니다.

기존 SAST 및 DAST와의 조합 방식

SecureCodingHub는 교육 플랫폼이며 분석 도구가 아닙니다. SAST, DAST, IAST, SCA를 대체하지 않습니다. 고객들이 가장 명확하게 표현한 조합 방식은, 스캐너는 개발자가 어떤 버그를 작성했는지 알려 주고, SecureCodingHub는 다음 버그를 작성하지 않는 방법을 가르친다는 것입니다. 두 영역은 어휘를 공유합니다. Semgrep이나 Snyk의 발견 사항이 경로 조작 싱크를 표시할 때, 이를 수정하는 개발자는 이미 할당된 커리큘럼의 경로 조작 모듈을 마쳤어야 합니다.

개발자 보안 챔피언 프로그램을 운영하는 조직이라면, 이 플랫폼은 챔피언 역할과 자연스럽게 어울립니다. 챔피언들은 먼저 심화 학습 경로를 완료한 다음, 팀의 1차 코드 리뷰 담당자 역할을 합니다. 온보딩 단계에서 별도의 챔피언 트랙을 구성하면, 보고서상에 별도 코호트로 노출됩니다.

플랫폼이 의도적으로 제공하지 않는 것

몇 가지는 분명히 말씀드립니다. SecureCodingHub는 CTF 플랫폼이 아닙니다. 챌린지는 인위적인 플래그가 아니라 운영 코드 패턴을 중심으로 구성되어 있으며, 점수판 문화도 없습니다. 개발자별로 개별 구매하는 일회성 강좌의 마켓플레이스도 아닙니다. 라이선스는 조직 단위 또는 좌석 등급으로 제공되며, 카탈로그는 커뮤니티 업로드의 롱테일이 아닌 큐레이션된 단일 라이브러리입니다. 그리고 정적 분석을 대체하지도 않습니다. 평가 기준에 코드 스캐닝 기능이 포함되어 있다면, 카테고리 선택이 잘못된 것이며 첫 통화에서 그렇게 말씀드릴 것입니다.

이 점을 분명히 말씀드리는 이유는, 잘못된 조합은 양측 모두에 큰 비용이기 때문입니다. 1주 차에 끝났어야 할 벤더 평가가 분기 단위로 늘어지면, 고객 팀과 저희 팀 모두의 일정을 낭비합니다. 이 제품은 의도적으로 좁습니다. 단 한 가지 — 개발자가 자신의 언어로 작성된 취약점 패턴을 인식하고 수정하도록 교육하는 일 — 을 합니다. 그 외의 작업은 스택 내 다른 도구의 몫입니다.