DevSecOps

I. 조직측면 CARTA 실현, DevSecOps

  • 보안팀, 프로세스 및 툴을 DevOps에 통합하여 보안팀과 개발팀 간 장벽을 해소한 공동 작업 기법

 

II. DevSecOps 라이프사이클 및 주요 기술

가. DevSecOps 라이프사이클

  • 개발 전 주기에 보안을 강화하여 수명주기 확보하며 검증강화

나. DevSecOps 활용을 위한 주요기술

구분기술 요소설명
이슈
관리
Jira– 이슈 사항 등록, 모니터링
Splunk– SIEM기반 보안 모니터링, 시각적
개발
관리
CONTRAST– 어플리케이션 정적 분석도구
J-Unit– 테스트 코드 자동생성, 테스트수행
소스
관리
Gitrob– Github 소스 분석 도구
SVN– 버전 별 소스 관리/분석 도구
운영
환경
Evident.io– 클라우드 보안 모니터링
nessus– 보안 취약점 스캐너
  • 개발팀과 보안팀의 인식 및 습관, 소통 방법 전환 필요

 

III. DevSecOps 적용 위한 고려사항

고려사항주안점
반복의 이해– 개발과정 반복, 보안, 개발 중요성 인지
마찰 제거– 보안이 개발 저해 요인이 아님 인지
개발팀 입장– 보안 전문가들의 개발 프로세스 이해
Bottom-Up 방식– 개발과 보안의 상충을 고려

 

콘텐츠 사용 시 출처 표기 부탁 드리고, 댓글은 큰 힘이 됩니다^^