DevOps와 Security Advisory

DevOps

: 응용 프로그램을 빠르게/높은 품질로 제공하기 위한 체계 및 기술을 통칭

• full lifecycle investment
• team undertaking
• better sw development & delivery pracitces
• acclerates the last mile of continuous delivery

 

필요성

• 사용자의 요구가 빠르게 반영되기를 원함
• 높은 품질의 소프트웨어에 대한 요구가 높아짐

 

개발 프로세스  with Security

DevSecOps의 추가 요구사항

• Threat Model
• Secure Coding : Rule Book
• Security as Code : Stack guard
• SAST(Static Analysis Security Test) : Code (정적 분석)
• DAST(Dynamic Analysis Security Test) : 실행 (동적 분석)
• Penetration Test : 침투 테스트. 화이트해커가 수행
• Digital Sign
• Secure Transfer : 안전한 채널/ 암호화된 채널/ 보안 서버 이용
• Secure Config
• Security Scan
• Security Patch
• Security Audit
• Seucirty Monitoring
• Security Analysis

 

 

Security Advisories

: 소프트웨어 개발사(Vendor)에 의해 발표

• Public 공개 원칙, 초기 단계에 공개 대상 제한
• 사전 안내의 경우 : 큰 고객, 보안 기업을 대상 (패치가 없는 상황이 있을 수 있음)
• 대중 공개를 할 경우 패치 혹은 update가 존재 : 소프트웨어 제공 회사와 공급 개발자 중심으로 구성
• Advisories의 사용자는 SW의 user, 시스템 관리자, 추가 개발자들이 이용
• 각 개발사마다 자체 포맷이 있으나 이름/날짜/구별을 위한 식별자, 위험도, 영향을 받는 제품들, 대책 이 공통적
• 공개 시 고려사항 : 악용하기에 충분한 정보인가 (아니더라도 공격자는 역공학을 통해 패치 및 update를 분석함), 신중히 공개