DevSecOps란?

DevSecOps는 소프트웨어 개발 라이프사이클(SDLC) 초기 단계에서 보안 테스트의 통합을 지원합니다. 이를 일반적으로 "시프트 레프트(shift-left) 보안" 또는 " 시프트 레프트(shift-left)"라고 합니다. DevSecOps는 소프트웨어 개발 라이프사이클에서 취약성을 찾아 완화하기가 더 어렵고 비용도 많이 드는 후반이 아닌, 초기에 원활한 애플리케이션 보안을 지원합니다.

DevSecOps는 DevOps의 확장이며, 때로는 Secure DevOps라고도 합니다. DevOps는 사람이나 조직에 따라 다른 의미를 가질 수 있지만 문화적, 기술적 변화를 수반합니다. 보안은 성공적인 DevOps의 필수 요건입니다.

DevSecOps는 처음부터 애플리케이션 및 인프라 보안 계획이 필요합니다. 적절한 도구를 사용하면 보안 기능을 갖춘 통합 개발 환경(IDE) 선택과 같은 결정을 비롯한 지속적인 통합 보안 목표를 달성하는 데 도움이 됩니다. 또한 도구와 프로세스는 DevOps 워크플로의 속도가 느려지지 않도록 일부 보안 게이트를 자동화할 수 있어야 합니다.

DevSecOps의 이점

개발자가 코딩 작업을 하는 동안 항상 보안을 염두에 두는 것은 아닙니다. 개발자들은 DevSecOps의 사고방식을 통해 소프트웨어 및 애플리케이션 배포 파이프라인 전반에서 향상된 자동화를 구축하여 코딩 실수를 없애고 궁극적으로 침해를 줄일 수 있습니다.

DevSecOps 도구 및 프로세스를 구현하여 DevOps 프레임워크에 보안을 통합하는 팀은 보안 소프트웨어를 더 빠르게 출시할 수 있습니다. 개발자는 코드가 작성되면 코드를 테스트하여 보안을 확인하고 보안 결함을 감지할 수 있습니다. 자동화된 스캔을 코드 체크인, 빌드, 릴리스 또는 CI/CD 파이프라인의 기타 구성 요소의 일부로 시작할 수 있습니다. 개발자가 기존에 사용하던 도구와 통합할 수 있으므로 개발팀은 웹 애플리케이션 개발의 보안 측면을 더 쉽게 개선할 수 있습니다.

DevSecOps의 주요 구성 요소

DevSecOps 접근 방식에는 다음과 같은 중요한 구성 요소가 포함될 수 있습니다.

• 애플리케이션/API 인벤토리
  • 포트폴리오 전체에서 코드를 검색, 프로파일링하고 지속적으로 모니터링하는 작업을 자동화합니다. 여기에는 데이터 센터, 가상 환경, 프라이빗 클라우드, 퍼블릭 클라우드, 컨테이너, 서버리스 등의 제조 코드가 포함될 수 있습니다. 자동 검색 도구와 자체 인벤토리 도구를 함께 사용할 수 있습니다. 검색 도구를 사용하여 보유 중인 애플리케이션 및 API를 확인할 수 있습니다. 자체 보고 도구를 사용하면 애플리케이션에서 자체적으로 목록을 생성하고 중앙 데이터베이스에 메타데이터를 보고할 수 있습니다.
• 맞춤형 코드 보안
  • 개발, 테스트, 운영의 전체 과정에서 소프트웨어의 취약성을 지속적으로 모니터링합니다. 코드 업데이트 시 취약성을 신속하게 식별할 수 있도록 코드를 자주 전송합니다.
  • 정적 애플리케이션 보안 테스트(SAST)는 애플리케이션의 소스 파일을 검사하고 근본 원인을 정확하게 식별하여 기본 보안 결함을 해결하는 데 도움이 됩니다.
  • 동적 애플리케이션 보안 테스트(DAST)는 실행 중인 웹 애플리케이션 또는 서비스를 대상으로 제어된 공격을 시뮬레이션하여 실행 환경에서 악용될 수 있는 취약점을 식별합니다.
  • 대화형 애플리케이션 보안 테스트(IAST)는 에이전트 및 센서를 사용하여 애플리케이션을 계측하고 애플리케이션, 인프라, 종속성, 데이터 흐름 및 모든 코드를 지속적으로 분석하여 심층 검색을 지원합니다.
• 오픈 소스 보안
  • 오픈 소스 소프트웨어(OSS)에는 종종 보안 취약성이 포함되어 있기 때문에 완전한 보안 접근 방식에는 OSS 라이브러리를 추적하고 취약성 및 라이선스 위반을 보고하는 솔루션이 포함됩니다.
  • 소프트웨어 구성 분석(SCA)은 위험 관리, 보안 및 라이선스 규정 준수를 위해 오픈 소스 소프트웨어(OSS)에 대한 가시성을 자동화합니다. 
• 런타임 방지
  • 생산 단계의 애플리케이션을 보호하십시오. 새로운 취약점이 발견되거나 레거시 애플리케이션이 개발되고 있지 않을 수 있습니다. 
  • 로깅을 통해 벡터 및 시스템을 타겟으로 하고 있는 공격의 유형을 알 수 있습니다. 위협 인텔리전스는 위협 모델링 및 보안 아키텍처 프로세스에 대한 알림을 제공합니다. 
• 규정 준수 모니터링
  • GDPR, CCPA, PCI 등에 대한 지속적인 규정 준수 상태와 감사 준비 상태를 유지할 수 있습니다.
• 문화적 요인
  • 보안 챔피언을 식별하고, 개발자를 위한 보안 교육 등을 수립합니다.

DevSecOps 활용하기

1단계: 소프트웨어 요구 사항에 보안 구축
2단계: 초기 테스트를 자주 빠르게 실행
3단계: 통합을 활용하여 애플리케이션 보안을 기본 라이프사이클의 일부로 적용
4단계: 보안을 개발 및 테스트 프로세스의 일부로 자동화
5단계: 릴리스 이후 모니터링 및 보호

DevOps 보안 구축에 유용한 Fortify

• 귀사의 AppSec 여정을 조율하고 안내해 주는 전체적이고 포괄적이며 확장 가능한 애플리케이션 보안 플랫폼입니다.
• Fortify 통합 생태계로 애플리케이션 개발 및 배포에 보안 기능을 구현하십시오.
• Fortify와 DevSecOps를 사용하면 CI/CD 파이프라인 전체에서 향상된 테스트 자동화를 통해 코딩 오류를 찾아낼 수 있습니다.
• 자동화 정적 코드 분석은 정적 코드 분석기를 통해 개발자가 취약성을 제거하고 안전한 소프트웨어를 구축하도록 도와줍니다.
• WebInspect 동적 애플리케이션 보안 테스팅은 애플리케이션이 실행되고 있는 상태에서 애플리케이션을 분석하고 애플리케이션에 대한 공격을 시뮬레이션하여 취약점을 찾아냅니다. 
• Debricked 및 Fortify를 통해 오픈 소스 보안 규정 준수 및 커뮤니티 상태를 제어하십시오.
• Fortify Insight를 사용하면 출처와 관계없이 하나의 화면으로 평가 결과를 집계하고 분석하며 보고할 수 있으므로 기업 전반에서 명확성이 확보됩니다.

업계 최고의 AppSec 솔루션

• Fortify 플랫폼은 귀사의 AppSec 여정을 조율하고 안내해 주는 전체적이고 포괄적이며 확장 가능한 애플리케이션 보안 플랫폼입니다.
• Fortify on Demand를 통한 SaaS(Security-as-a-Service)입니다.
• 제품의 성공을 판단하는 가장 좋은 기준은 바로 고객입니다. Gartner Peer Insights, G2s, Fortify 고객 성공 사례. 
• 애플리케이션 보안 테스트에 대한 Gartner Magic Quadrant 부문의 입증된 리더입니다.