DevSecOps 시작하기

DevOps에 대해 많이 들었을지 모르지만 DevsecOps에 대해 무엇을 알고 있습니까?

자, 이 블로그에서는 이 용어를 소개하고 DevSecOps를 핵심 기능으로 집중해야 하는 이유에 대해 설명하겠습니다.

DevSecOps란 무엇입니까?

DevSecOps는 개발자, 보안 및 운영을 의미합니다. DevSecOps는 DevOps 프로세스로 간주될 수 있지만 보안 계층이 있습니다.

전통적인 DevOps 모델을 살펴보면 보안 프로세스가 거의 없지만 일반적으로 배포 후 실행되므로 모든 종류의 도구/애플리케이션 또는 프로젝트에 대해 좋은 생각이 아닙니다. DevOps는 사람, 제품 및 프로세스(Donavan Brown이 인용)의 세 가지 기둥을 중심으로 진행되지만 DevSecOps에 대해 이야기할 때는 이 세 가지 구성 요소 모두에 보안 기술을 적용합니다.

Shannon Lietz는 "DevSecOps의 목적과 의도는 필요한 안전을 희생하지 않고 최고 수준의 컨텍스트를 보유한 사람들에게 속도와 규모에 따라 보안 결정을 안전하게 배포하는 것을 목표로 모든 사람이 보안에 대한 책임이 있다는 사고 방식을 구축하는 것입니다."라고 설명합니다. , "DevSecOps 선언문"의 공동 저자.



DevSecOps는 다음과 같은 점에서 DevOps와 다릅니다.

응용 프로그램이 프로덕션으로 푸시되기 전에 보안 테스트가 정기적이고 자동화되었는지 확인하기 위한 지속적인 통합, 전달 및 배포.

마이크로서비스처럼 구축된 애플리케이션

코드형 인프라 - 코드를 통해 앱 인프라 계획, 설계, 구현 및 관리

DevSecOps 도입의 특징-

관측 가능성

추적성

컴플라이언스

자신감

왼쪽으로 이동 추세에 따라:

The earlier you run the security,
the better for your team, product and costs.
You don’t want your developers to work again
on the code base and other issues post-deployment.
This means, the engineers work on
security issues parallelly to working on the product.

애플리케이션이 개발 중일 때 보안 운영을 개선할 수 있는 몇 가지 팁 -

백로그 또는 스프린트 활동의 보안 부분 만들기

위반 가정 - 취약성을 식별하고 수정할 수 있도록 이를 엔지니어링 팀에 점진적으로 노출합니다.

DevSecOps 관행은 취약점을 패치하는 시간을 줄이고 보안 팀이 우선 순위 작업에 집중할 수 있도록 합니다. 프로세스로서 규정 준수를 보장하고 단순화하여 애플리케이션 개발 프로젝트를 보안을 위해 개조하지 않아도 됩니다.

DevSecOps가 조직이 애플리케이션의 보안을 처리하는 방식을 혁신한다는 데에는 의심의 여지가 없습니다. 그러나 DevSecOps가 무엇인지에 대한 인식 부족과 같은 다양한 이유 때문에 관심사가 바뀔 수 있습니다.

무엇 향후 계획 ?

DevOps를 탐색한 후 DevSecOps에 대해 더 많이 배우기 위해 노력하고 있습니다. 다음은 이에 대한 오픈 소스 도구입니다. - BoxyHQ

Github 찾기 : github.com/boxyhq
BoxyHQ Discord 커뮤니티 가입here