2019년 1월 10일
DevSecOps
I. 조직측면 CARTA 실현, DevSecOps
- 보안팀, 프로세스 및 툴을 DevOps에 통합하여 보안팀과 개발팀 간 장벽을 해소한 공동 작업 기법
II. DevSecOps 라이프사이클 및 주요 기술
가. DevSecOps 라이프사이클
- 개발 전 주기에 보안을 강화하여 수명주기 확보하며 검증강화
나. DevSecOps 활용을 위한 주요기술
구분 | 기술 요소 | 설명 |
---|---|---|
이슈 관리 | Jira | – 이슈 사항 등록, 모니터링 |
Splunk | – SIEM기반 보안 모니터링, 시각적 | |
개발 관리 | CONTRAST | – 어플리케이션 정적 분석도구 |
J-Unit | – 테스트 코드 자동생성, 테스트수행 | |
소스 관리 | Gitrob | – Github 소스 분석 도구 |
SVN | – 버전 별 소스 관리/분석 도구 | |
운영 환경 | Evident.io | – 클라우드 보안 모니터링 |
nessus | – 보안 취약점 스캐너 |
- 개발팀과 보안팀의 인식 및 습관, 소통 방법 전환 필요
III. DevSecOps 적용 위한 고려사항
고려사항 | 주안점 |
---|---|
반복의 이해 | – 개발과정 반복, 보안, 개발 중요성 인지 |
마찰 제거 | – 보안이 개발 저해 요인이 아님 인지 |
개발팀 입장 | – 보안 전문가들의 개발 프로세스 이해 |
Bottom-Up 방식 | – 개발과 보안의 상충을 고려 |