문의하기

Industry Issue

SAST 도구가 개발자 생산성을 향상시킬 수 있을까?

Software Risk Analysis
작성자
관리자
작성일
2024-03-11 11:13
조회
86

SAST 도구가 개발자 생산성을 향상시킬 수 있을까?

거짓 양성(False Positive)으로 생산성을 방해하는 것이 아닌 개발자가 실제 보안 결함을 찾아 수정하는 데 도움이 되는 SAST 도구가 있다면 가능합니다.


오늘날 조직은 점점 더 기민해지고 있습니다. 그 어느 때보다 빠르게 소프트웨어 애플리케이션을 생산하고 배포합니다. 하지만 이를 위해서는 소프트웨어 개발 수명 주기(SDLC)의 모든 요소가 응집력 있게 작동해야 합니다. 보안 결함의 절반 이상이 예방 가능한 코딩 실수로 인해 발생한다는 점을 생각해보면, SDLC에서 보안 프로세스는 특히 중요합니다. 프로세스 효율성 개선을 위해 개발자가 보안 프로세스를 준수하도록 하는 것은 보다 더 중요합니다. 따라서 조직들은 DevOps 프로세스에 민첩하게 반응하여 개발자의 데스크톱부터 CI/CD 파이프라인에 이르기까지 소프트웨어 개발의 일부가 되는 보안 도구를 채택하고 있습니다.

보안 실행의 필수 요소 네 가지


조직에서 보안 사례를 DevOps 프로세스에 성공적으로 통합하기 위해서는 다음의 네 가지 필수 요소를 고려해야 합니다.

1. 엔지니어링 중심 보안

조직은 워크플로우에서 보안 테스트 솔루션으로 개발자의 편의를 보장해야 합니다. 개발자의 워크플로우로 통합되는 보안 도구는 개발자가 사용하는 프로그래밍 언어, 프레임워크, 플랫폼을 지원해야 합니다. 이러한 도구는 개발자가 도구를 계속 전환할 필요가 없도록 개발자의 워크플로우, 특히 IDEs 및 SCMs에 원활하게 통합되어야 합니다. 또한 개발자가 거짓 양성(False Positive)으로 인해 시간을 낭비하지 않도록 이러한 도구는 결함을 정확하게 식별해야 합니다.

2. SDLC로의 원활한 통합

보안 도구는 조직의 고속으로 진행되는 민첩한 개발 파이프라인에 원활히 통합되는 것이 필수입니다. 이렇게 통합이 되어야 개발자, 개발 관리자, 보안 관리자 및 DevOps 관리자를 포함한 다양한 이해관계자들이 자신의 필요에 따라 보안 테스트 결과를 평가, 분석하고 정보에 기반한 행동을 취할 수 있습니다.

3. 대시보드와 보고서

조직은 전체 SDLC에서 애플리케이션 보안을 모니터링하고 관리하기 위해 프로젝트 관리 대시보드 및 보고 기능을 활용해야 합니다. 이러한 대시보드 및 보고서는 높은 수준의 개요를 제공하여 경영진은 보안 정책 및 전략의 효율성을 평가할 수 있습니다.

4. 위험 평가 및 우선순위결정

정보에 입각한 의사결정과 수정 사항의 우선 순위 지정을 위해 위험 평가는 보안 테스트에 기반해야 합니다. 조직은 위험 평가와 수정 사항의 우선 순위 지정에 있어 OWASP Top 10과 PCI DSS 등의 다양한 산업 표준 준수를 지원하는 보안 도구를 사용해야합니다.

SAST 도구를 사용한 DevOps에서의 보안 사례 관리


커버리티(Coverity®)와 같은 정적 애플리케이션 보안 테스트(SAST) 도구는 조직이 변화하는 트렌드에 적응하고 DevOps 프로세스 초기에 보안 프로세스를 통합할 수 있게 돕는 데 중요한 역할을 합니다. 커버리티(Coverity)는 시놉시스(Synopsys®)의 최첨단 SAST 솔루션입니다. 개발자가 코드 작성시 보안 취약성을 찾고 수정하도록 하여 개발자 생산성 향상을 돕습니다. 업계 표준 준수에 더해 조직에 확장성, 문제 관리, 위험 분석 역량을 제공합니다. 또한 개발자의 워크플로우 및 조직의 CI/CD파이프라인에 원활하게 통합됩니다.

그간 SAST 도구들은 높은 거짓 양성(False Positive)으로 인해 불편함과 개발자 생산성에 방해가 된다고 여겨져 왔습니다. 이와 달리 커버리티(Coverity)는 매우 정확한 데이터 흐름, 제어 흐름, 의미 분석 기술 등 특허 분석 기술로 심도 있고 정확한 분석을 수행합니다. 커버리티(Coverity)는 전체 경로 및 제어 분석에 이러한 기술을 사용하여 보안 및 안정성 문제를 일으킬 수 있는 코드를 정확히 식별해내고 실행 가능한 수정 단계를 추천할 수 있습니다.

커버리티(Coverity)가 개발자의 데스크톱에서 개발 파이프라인으로 원활하게 통합하고 보안을 SDLC에 통합하여 조직의 요구 사항을 해결하는 데 어떻게 도움을 주는지 알아보세요. Code Sight™ IDE 플러그인이 포함된 커버리티(Coverity)는 코드 작성 시 개발자가 보안 결함을 찾고 수정하는데 도움을 제공할 수 있습니다. 조직은 시놉시스의 Polaris Software Integrity Platform™을 통한 클라우드 배포 또는 Coverity Connect™를 통한 온프레미스(On-premise) 배포를 위해 커버리티(Coverity)의 직관적인 대시보드 및 보고 기능을 활용할 수 있습니다. 이러한 기능들을 이용해 프로젝트 관리, 규정 준수 표준에 대한 위험 평가, 정보에 기반한 의사 결정이 가능합니다.

 

Coverity 더 알아보기 CLICK!!!

 

원문 게시일: 2020. 09. 30

원문 기고자: Ashutosh Kumar

출처: Synopsys Blog

« 개발자를 위한 오픈 소스 의존성 모범 사례
스마트 홈 퍼징 테스트 »
목록보기
Powered by KBoard
/about-us/inquiry/
https://www.youtube.com/@softflow2018
https://blog.naver.com/softflow_group
#