by
May 31. 2022
6탄-4. DevSecOps, 어디까지 구성해봤니?
AWS 프로페셔널 서비스팀
<1> 데브 옵스란?
<2> 데브 Sec 옵스 하기 위해 필요한 것 4가지
<3> DevSecOps 시작 프로세스
<4> DevSecOps 구현을 위해 필요한 것
<5 > 예제
<10> 개인 의견
<1> 데브 옵스란?
1
현재 기업들은?
마이그레이션 진행 중
애플리케이션을 현대화 진행 중 - 클라우드 네이티브로 해서 빠르게 오픈하기 위함.
2
목적은?
민첩한 애플리케이션 개발
3
데브옵스 , 데브Sec옵스 필요.
더 빠른 시간에 개발.
내부의 퀄리티가 보장된 자동화가 필요!
4
애플리케이션과 서비스 빨리 오픈 필요하다.
데브 옵스 = 기술 + 문화 + 철학
기술, 문화, 방법, 도구 모두 포함.
5
데브 Sec 옵스 목적?
데브 옵스 프로세스 안에서 자연스럽게 위협을 탐지, 예방, 제어하는 게 목적이다.
<2> 데브 Sec 옵스 하기 위해 필요한 것 4가지
1
더 빠른 보안 테스트가 필요하다.
2
예방 우선순위를 선정해야 한다.
3
반응형 제어를 통한 탐지 - 프로세스와 도구 제공
4
자동화 필수. 자동화!!
라이프 사이클을 생성하는 것!
5
살펴볼 항목?
Security of the Pipeline - 파이프라인 보안 , 암호화 키등
Security in the Pipeline - 소프트웨어 보안 , 애플리케이션 보안
<3> DevSecOps 시작 프로세스
1
현황 분석 - 인터뷰한다. 6개 카테고리
수치화
액션 아이템 도출
2
비즈니스와 일치되는 목표 정의
조직의 목표! 비즈니스 목표와 일치해야 한다!!!
개인, 개발자, 운영자의 목표가 아니다~
3
일정
우선순위
4
개발하기
5
리뷰하기
6
다시 반복
스크럼 사용- 작은 단위로 지속 개발.
2주 단위 스프린트로 나눈다.
<4> DevSecOps 구현을 위해 필요한 것
개발 단계에서부터 보안 위협 요소들을 제거하고자 한다.
보안 때문에 개발 생산성이 떨어진다?
DevSecOps 구현을 위해 필요한 것
1
다양한 툴을 배포 파이프라인 과정에 포함 필요.
2
테스트 결과를 하나로 보고자 한다.
3
취약점에 대해 조치가 필요한 부분인지? 빠른 피드백 필요.
4
오픈 소스로 자동화 구현
이벤트 브리지 사용
스텝 펑션 사용
소나 큐브 사용
<5 > 예제
1
pull request 발생 시에 이벤트 브리지로 감지, 스템 펑션 사용.
테스트 환경을 자동으로 만든다.
테스트, 10초마다 확인한다.
소나 큐브 프로젝트와 연계해 테스트함.
2
테스트 결과가 에러 -> pull request 허용이 안됨.
3
에러 내용 확인 , 수정
테스트 완료
람다로 테스트 결과를 리포팅함.
pull request 승인됨.
4
디벨롭 브랜치를 메인 브랜치로 병합함.
병합됨.
<10> 개인 의견
1
우선 배포 ci/cd 구현해보자
https://brunch.co.kr/@topasvga/1770
2
이후 devsecops 구현하자.
3
깃도 공부
소나 큐브 공부
스텝 펑션 공부
이벤트 브리지 공부
시큐리티 허브로 통합
https://brunch.co.kr/@topasvga/1760
https://brunch.co.kr/@topasvga/2439
