본문 바로가기
WebBook/DevSecOps

보안의 어려움

by 올엠 2022. 3. 23.
반응형

보안 요소들을 실제 코드와 어플리케이션에 반영하는 것은 쉬운일이 아니다.
아래 그림은 현재 마지막으로 조사된 DevSecOps에게 2018년도 조사한 내용으로 DevSecOps가 있는 조직과 없는 조직의 어플리케이션 보안성 검사에 대해 비교해 놓은 부분이다. 한눈으로 보아도 각 단계별로 DevSecOps가 없는 조직과 있는 조직의 보안 수준에 대해 상당한 차이가 있음을 알 수 있다.

이유를 알기 위해서는 일반적인 보안 검사 방법에 대해서 이해해볼 필요가 있다.
아래 그림은 일반적인 보안 검사에 걸리는 시간이다.

일반적인 보안 검사

위 상황을 보면, 개발 코드를 받아서 보안팀에서 소비해야 하는 부분들중 코드 검사도 크지만, 보고서 작성과 예외 협의등에서 상당한 시간이 필요하게 된다.
하지만 현재 개발 속도는 점점 빨라지고 있다. 그리고 프로젝트는 더 작아지고 더 많은 사람이 프로젝트별로 독립적으로 움직이는 상황에 위의 예전 보안 검사를 적용하기에는 한계에 다다랐다고 볼 수 있다.
이러한 보안적 어려움을 DevOps에 책임을 묻기도 힘들기 때문에, DevSecOps는 다음과 같은 역활을 담당하게 된다.
1. 개발 코드에 대한 보안 검사 적용
2. 모든 테스트를 빠르게 완료
3. DevOps내 보안 책임
4, 개발자들의 셀프 보안 환경 제공
DevSecOps를 통해 최근 여러 회사에서 도입한 에자일(Agile) 프로세스는 물론 지속적인 자동 배포 프로세스에도 보안적으로 안전한 코드를 생산할 수 있을 것이다.

반응형

'WebBook > DevSecOps' 카테고리의 다른 글

DevSecOps 란  (0) 2021.11.29