Industry Issue

SANS 리포트: 변화하는 애플리케이션 개발 환경 보호

Software Risk Analysis
작성자
관리자
작성일
2024-05-16 14:04
조회
117

SANS 리포트: 변화하는 애플리케이션 개발 환경 보호

 

애플리케이션 발전에 따른 주요 변화로 인해 새롭고 심각한 보안 위험이 발생하고 있습니다. CI/CD(지속적 통합/지속적 배포) 파이프라인과 자동화 및 AI와 같은 기술 발전으로 인해 개발 프로세스가 이제 너무 복잡하고 빠르게 진행되어 기업, DevOps 책임자 및 보안 그룹이 이를 방어하는 것은 물론 이해하고 관리하는 데 어려움을 겪고 있습니다. 최근 SANS 기업 리포트인 "Shift Left to Shift Everywhere: 지속적인 개발이 보안에 미치는 영향"은 DevSecOps 상태에 대한 흥미로운 정보를 제공하고 설문 조사 인구 통계, 주요 결과 및 중요한 초점 영역에 대한 포괄적인 분석을 제시합니다.

 

확장되는 공격 표면

리포트에서는 개발 프로세스의 지속적인 변화로 인해 숙련된 보안 실무자라도 보안 관행을 확립하기가 어렵고 일관되지 않는 복잡성이 어떻게 발생할 수 있는지 살펴봅니다. DevOps 보안 프로세스에서 직면하는 이슈는 다음과 같습니다.
  • 안전하지 않은 접근 제어
  • 열악한 자격 증명 관리
  • 취약한 소프트웨어 종속성
  • 보안이 적용되지 않은 개발 파이프라인 및 공급망
  • 엔드투엔드 DevOps 프로세스에 대한 가시성 부족
 

DevOps 프로세스에서 취약점이 얼마나 큰 피해를 줄 수 있는지 인식하는 것이 중요합니다. 개발자는 내부 사용자, 외부 파트너, 기업 고객, 최종 사용자 및 기타 제3자에게 영향을 미치는 프로젝트를 수행합니다. 이는 보안 실패의 잠재적인 영향을 극적으로 확장합니다. 개발 과정에서 도입된 악의적이거나 약하거나 취약한 코드는 문자 그대로 기업 내 어느 곳에나 발생할 수 있습니다. 그리고 잘못된 코드가 감지되지 않은 채로 남아 있다면 최종 제품에 포함될 가능성이 높습니다.

 

모든 곳으로의 전환이 시급

소프트웨어 개발 수명주기를 보호하기 위한 새로운 접근 방식, 즉 지속적인 개발에 지속적인 테스트를 적용하는 접근 방식이 시급히 필요합니다. "Shift Left to Shift Everywhere: 지속적인 개발이 보안에 미치는 영향"에서는 개발 프로세스의 모든 단계에서 위협과 취약점을 식별, 수정, 방지 및 완화하는 방법을 포함하여 이를 달성하는 방법을 자세히 설명합니다. 그리고 이를 위해서는 널리 사용되는 "Shift Left" 보안 프레임워크를 구축하고 이를 넘어서 점점 "Shift Everywhere"라고 불리는 접근 방식으로 이동해야 합니다.

Shift Everywhere 접근 방식에서는 개발자와 기타 많은 이해관계자가 보안에서 수행하는 중요한 역할에 대한 인식을 심어주고 보안 기술도입을 통해 위험을 신속하게 해결하거나 방지하는 것이 중요합니다. 애플리케이션 개발에 있어 이러한 패러다임 변화를 수용함으로써 기업은 민첩성과 혁신을 저하시키지 않으면서 보안의 우선순위를 정할 수 있습니다. 지속적인 테스트, 협업 및 고급 기술을 특징으로 하는 사전 예방적인 DevSecOps 접근 방식은 디지털 자산을 보호하고 기업의 개발 생태계 내에서 신뢰를 유지하는 데 필수적입니다. DevSecOps 원칙을 수용하고 혁신적인 기술을 활용함으로써 기업은 최신 개발의 복잡성을 탐색하는 동시에 새로운 위협으로부터 보호하고 안전하고 탄력적인 디지털 미래를 보장할 수 있습니다.

 

DevSecOps 기술 구현

"Shift Left to Shift Everywhere: 지속적인 개발이 보안에 미치는 영향"에서는 기업에서 정적 애플리케이션 보안 테스트(SAST), 소프트웨어 구성 분석(SCA), 대화형 애플리케이션 보안 테스트(IAST), 동적 애플리케이션 보안 테스트(DAST) 및 런타임 애플리케이션 자체 보호(RASP)를 통해 소프트웨어 개발 수명주기를 강화합니다. CI/CD 파이프라인에 통합된 이러한 도구는 취약점의 조기 감지 및 해결을 촉진합니다.

 

원문 게시일: 2024.04.03

원문 기고자: Charlotte Freeman

출처: https://www.synopsys.com/blogs/software-security/sans-report-expanding-appsec-attack-surface.html

/about-us/inquiry/
https://www.youtube.com/@softflow2018
https://blog.naver.com/softflow_group
#