소프트웨어의 개발 절차 및 보안관리 - DevOps and DevSecOps
취약점 - 공격의 시간적 관계
DevOps
- 응용 프로그램을 빠르게/높은 품질로 제공하기 위한 체 계 및 기술을 통칭
DevOps의 필요성
- 사용자의 요구가 빠르게 반영되기를 원한다.
- 높은 품질의 소프트웨어에 대한 요구는 더 높아진다.
DevOps의 추가 요구사항
- Threat Model
- Secure Coding
- Security as Code
- SAST
- DAST
- Penetration Test
- Digital Sign
- Secure Transfer
- Secure Config
- Security Scan
- Security Patch
- Security Audit
- Security Monitoring
- Security Analysis
취약점에 대한 Public Release - Security Advisory
Security advisories (어드버져리)
- 소프트웨어 개발사(Vendor)에 의해 발표됨
- Public 공개 원칙, 초기단계에 공개대상 제한
- 사전 안내의 경우 : 큰 고객, 보안기업을 대상 / 패치가 없는 상황이 있을 수 있다.
- 대중공개를 할 경우: 패치 혹은 update가 존재 / 소프트웨어 제공 회사와 공급 개발자 중심으로 구성한다.
- Advisories의 사용자는 SW의 User, 시스템관리자, 추가 개발자들이 이용
'Study > Software Security' 카테고리의 다른 글
[소프트웨어보안] 컴퓨터의 구조 및 소프트웨어 실행 원리, C언어와 어셈블리어의 이해 (0) | 2022.10.19 |
---|---|
[소프트웨어보안] 소프트웨어의 정적 분석 방법 (0) | 2022.10.12 |
[소프트웨어보안] Security advisories, CVE (0) | 2022.10.12 |
[소프트웨어보안] Argc/Argv Programming, sscanf (0) | 2022.10.05 |
[소프트웨어보안] SW 보안의 5 요소 (0) | 2022.09.28 |