기술 주제

DevSecOps란 무엇인가요?

물음표에 초점을 맞춘 IT 항목의 일러스트레이션

개요

DevSecOps를 사용하면 완화해야 하는 취약점 발견을 구현하기가 더 어렵고 비용이 많이 드는 마지막 단계가 아니라 소프트웨어 개발 수명 주기 초기에 애플리케이션 보안 테스트를 통합할 수 있습니다.

데브섹옵스는 데브옵스의 확장된 개념으로, 시큐어 데브옵스라고도 불립니다. 데브옵스는 사람이나 조직에 따라 다른 의미를 가질 수 있지만, 문화적 변화와 기술적 변화를 모두 수반합니다. 이상적으로 보안은 성공적인 데브옵스를 위한 암묵적인 요구 사항입니다.

데브섹옵스는 처음부터 애플리케이션 및 인프라 보안을 계획해야 합니다. 올바른 도구는 보안 기능이 있는 통합 개발 환경(IDE)을 선택하는 등의 결정을 포함하여 지속적으로 통합된 보안이라는 목표를 달성하는 데 도움이 될 수 있습니다. 또한 도구와 프로세스는 DevOps 워크플로우의 속도를 늦추지 않도록 일부 보안 게이트를 자동화할 수 있어야 합니다.

개발자 보안 운영

DevSecOps의 이점

개발자가 항상 보안을 염두에 두고 코딩하는 것은 아닙니다. DevSecOps 사고방식으로 개발자는 소프트웨어 및 애플리케이션 배포 파이프라인 전반에서 향상된 자동화를 통해 코딩 실수를 방지하고 궁극적으로 보안 침해를 줄일 수 있습니다.

DevSecOps 도구와 프로세스를 구현하여 보안을 DevOps 프레임워크에 통합하는 팀은 안전한 소프트웨어를 더 빠르게 릴리스할 수 있습니다. 개발자는 코드가 작성될 때 보안을 테스트하고 보안 결함을 감지할 수 있습니다. 자동화된 스캔은 코드 체크인, 빌드, 릴리스 또는 CI/CD 파이프라인의 기타 구성 요소의 일부로 시작할 수 있습니다. 개발자가 이미 사용 중인 도구와 통합함으로써 개발팀은 웹 애플리케이션 개발의 보안 측면을 더욱 쉽게 개선할 수 있습니다.

DevSecOps의 핵심 구성 요소는 무엇인가요?

데브섹옵스 접근 방식에는 이러한 중요한 구성 요소가 포함될 수 있습니다:

애플리케이션/API 인벤토리
  • 포트폴리오 전반에서 코드의 검색, 프로파일링 및 지속적인 모니터링을 자동화하세요. 여기에는 데이터 센터, 가상 환경, 프라이빗 클라우드, 퍼블릭 클라우드, 컨테이너, 서버리스 등의 프로덕션 코드가 포함될 수 있습니다. 자동화된 검색 도구와 자체 인벤토리 도구를 함께 사용하세요. 검색 도구를 사용하면 어떤 애플리케이션과 API를 보유하고 있는지 파악할 수 있습니다. 자체 보고 도구를 사용하면 애플리케이션이 스스로 인벤토리를 생성하고 메타데이터를 중앙 데이터베이스에 보고할 수 있습니다.
사용자 지정 코드 보안
  • 개발, 테스트 및 운영 전반에 걸쳐 소프트웨어의 취약점을 지속적으로 모니터링하세요. 코드를 자주 제공하여 코드 업데이트 시마다 취약점을 신속하게 파악할 수 있도록 하세요.
  • Static Application Security Testing (SAST) 애플리케이션 소스 파일을 스캔하여 근본 원인을 정확하게 파악하고 근본적인 보안 결함을 수정하는 데 도움을 줍니다.
  • Dynamic Application Security Testing (DAST) 실행 중인 웹 애플리케이션 또는 서비스에 대한 제어 공격을 시뮬레이션하여 실행 중인 환경에서 악용 가능한 취약점을 식별합니다.
  • 대화형 애플리케이션 보안 테스트(IAST)는 에이전트와 센서를 사용하여 애플리케이션을 계측하여 애플리케이션, 인프라, 종속성, 데이터 흐름은 물론 모든 코드를 지속적으로 분석하는 심층 스캔을 제공합니다.
오픈 소스 보안
  • 오픈 소스 소프트웨어(OSS)에는 보안 취약점이 포함되어 있는 경우가 많으므로 완벽한 보안 접근 방식에는 OSS 라이브러리를 추적하고 취약점 및 라이선스 위반을 보고하는 솔루션이 포함되어 있습니다.
  • 소프트웨어 구성 분석(SCA)은 위험 관리, 보안 및 라이선스 규정 준수를 위해 오픈 소스 소프트웨어(OSS)에 대한 가시성을 자동화합니다.
런타임 방지
  • 운영 중인 애플리케이션 보호 - 새로운 취약점이 발견되거나 레거시 애플리케이션이 개발 중이 아닐 수 있습니다.
  • 로깅을 통해 어떤 유형의 공격 벡터와 시스템이 표적이 되고 있는지 알 수 있습니다. Threat 인텔리전스는 위협 모델링 및 보안 아키텍처 프로세스에 대한 정보를 제공합니다.
규정 준수 모니터링
  • 감사 준비 및 GDPR, CCPA, PCI 등에 대한 지속적인 규정 준수 상태를 유지할 수 있습니다.
문화적 요인
  • 보안 챔피언을 식별하고 개발자를 위한 보안 교육을 수립하는 등의 작업을 수행합니다.

데브섹옵스 활용하기

1단계: 소프트웨어 요구 사항에 보안 구축
2단계: 조기에, 자주, 빠르게 테스트
3단계: 통합을 활용하여 애플리케이션 보안을 수명 주기의 자연스러운 일부로 만들기
4단계: 개발 및 테스트 프로세스의 일부로 보안 자동화
5단계: 출시 후 모니터링 및 보호

Fortify 데브옵스에 보안을 구축하는 데 도움이 됩니다.

  • 앱 보안 여정을 조율하고 안내하는 포괄적이고 확장 가능한 종합적인 애플리케이션 보안 플랫폼입니다.
  • Fortify 통합 에코시스템을 통해 애플리케이션 개발 및 배포에 보안을 포함하세요.
  • Fortify 을 사용하면 CI/CD 파이프라인 전반에서 향상된 테스트 자동화를 통해 코딩 오류를 찾을 수 있습니다.
  • 자동화된 정적 코드 분석을 통해 개발자는 Static Code Analyzer 을 사용하여 취약성을 제거하고 안전한 소프트웨어를 구축할 수 있습니다.
  • WebInspect 동적 애플리케이션 보안 테스트는 실행 중인 상태의 애플리케이션을 분석하고 애플리케이션에 대한 공격을 시뮬레이션하여 취약점을 찾습니다.
  • 디브릭드 및 Fortify 를 사용하여 오픈 소스 보안 규정 준수 및 커뮤니티 상태를 완벽하게 제어하세요.
  • Fortify 인사이트를 통해 출처에 관계없이 평가 결과를 단일 창으로 집계, 분석 및 보고하여 전사적으로 명확성을 확보하세요.

업계를 선도하는 앱보안 솔루션

  • Fortify 플랫폼으로 앱 보안 여정을 조율하고 안내하는 포괄적이고 확장 가능한 종합적인 애플리케이션 보안 플랫폼입니다.
  • Fortify 의 온디맨드 서비스형 보안( OpenText™) .
  • 제품의 성공은 고객이 가장 잘 측정할 수 있습니다. 가트너 피어 인사이트, G2, Fortify 고객 성공 사례.
  • 가트너 매직 쿼드런트 애플리케이션 보안 테스트 부문에서 입증된 리더입니다.

어떻게 도와드릴까요?

각주