기술 자체와 마찬가지로 코드 개발을위한 도구, 기술 및 최적 프로세스가 빠르게 발전합니다. 우리 인간은 더 많은 소프트웨어, 더 많은 기능, 더 많은 기능에 대한 끊임없는 요구를 가지고 있습니다. 불과 몇 년 전, 애자일 개발은 큰 작업 덩어리를 작은 조각으로 나누고 고객의 빠른 피드백주기에 빠르게 적응할 수있는 다음으로 큰 일이었습니다. 그 전에 폭포 법은 언덕의 왕이었습니다.
많은 사람들과 조직이 Waterfall에서 Agile로 나아가고 있지만 아직 모든 사람이있는 것은 아니지만 실제로 새로운 문제에 직면하고 있습니다. 개발 팀과 운영 담당자는 여전히 사일로에서 작업하고 있습니다. 이 환경에서 애자일 방식으로 작업하는 소규모 팀은 더 빠른 배포와 더 빠른 제공을 약속하는 방법을 어떻게 제공 할 수 있습니까?
개발자새로운 소프트웨어를 만들 때 개발자와 운영 팀의 기능을 통합하기 위해 개발과 운영의 조합 인 모니 커를 만들었습니다. 본질적으로 이것은 개발자가 물건을 프로덕션 팀에 넘겨서 운영 팀에 맡기지 않고 책임을지는 대신 소유권을 갖도록하는 것이 었습니다.
그들은 하루에 몇 번이라도 더 빨리 배송 할 수 있습니다. 그러나 DevOps는 여전히 규모가 큰 엔지니어 및 운영 인력으로 구성된 팀을 만들지 만 실제로는 민첩하게 정렬되지 않을 수 있습니다. 궁극적으로 방법론은 여러 가지면에서 비슷하고 차이점이 보완 적이므로 DevOps를 Agile의 진화로 생각하는 것이 가장 좋습니다. DevOps는 자동화 된 지속적인 통합 및 배포 파이프 라인을 장려합니다.이 릴리스는 빈번한 릴리스를 지원하는 데 필수적이지만 팀 수준에서는 충분하지 않습니다. 여기에서 Agile이 시작됩니다. Agile은 팀, 특히 소규모 팀이 이러한 빠른 속도에 보조를 맞출 수 있도록합니다. 작업 및 협업을 유지하면서 릴리스 및 변경 요구 사항. 확실히 이상적인 것처럼 보이며 프로세스는 팀이 최종 목표를 달성 할 수 있도록 해줄 수 있지만 자체 문제가있는 것은 아닙니다.
DevOps 모범 사례를 사용하여 만든 소프트웨어는 여전히 첫 번째 보스 싸움 인 보안 팀에서 우연히 발견 될 가능성이 있습니다. 툴링이나 복잡한 수동 검토를 통해 전통적인 / 폭포 AppSec 전문가가 코드를 검사 할 때 종종 받아 들일 수없는 위험과 취약점을 발견 한 후 사실을 수정해야합니다. 완성 된 앱에 보안 픽스를 개조하는 프로세스는 빠르지도 쉽지 않습니다. 조직에 훨씬 더 비쌉니다.
그렇다면 세계가 Waterfall, Agile, 그리고 이제 DevOps를 지나고 있다면 해결책은 무엇입니까? 그리고 개발자로서 이러한 접근 방식의 변화에 발 맞추어 당신의 역할은 무엇입니까?
개발 기술은 끊임없이 진화하는 상태에 있지만 고맙게도이 기술은 그렇게 큰 변화가 아닙니다. 조직은 "DecOps"에 "Sec"을 입력하면됩니다. 따라서 DevSecOps가 탄생했습니다. DevSecOps의 주요 목표는 개발, 운영 및 보안 팀 간의 장벽을 허물고 협업을 공개하는 것입니다. DevSecOps는 소프트웨어 개발 라이프 사이클 전체에서 보안 자동화 및 모니터링을 옹호하는 소프트웨어 엔지니어링 전술이자 문화가되었습니다.
이것은 또 다른 조직 수준 프로세스처럼 보일 수 있으며, 빌드 할 기능 목록이 긴 개발자에게는 "조리가 너무 많은"프로세스 일 수 있습니다. 그러나 DevSecOps 방법론은 보안 인식 개발자가 실제로 빛을 발할 수있는 기회를 제공합니다.
DevSecOps의 밝은 미래
그렇다면 왜 코더가 DevSecOps 엔지니어가되고 싶어할까요? 아마도 DevOps (또는 Agile)에 대한 경험이 있지만 DevSecOps에 능숙 해지려면 다음 단계를 밟고 싶을 것입니다. 우선, 비용이 많이 드는 사이버 공격으로부터 세상을 안전하게 지키려는 노력이 아니라 매우 현명한 움직임이라는 것을 아는 것이 좋습니다. 전문가들은 말한다 에 대한 수요 유능한 사이버 보안 요원이 눈에 띄지 않게 급증하고 있습니다. DevSecOps를 마스터하는 사람들은 길고 수익성있는 경력을 기대할 수 있습니다.
DevSecOps 엔지니어는 다양한 소프트웨어 기반 도구를 사용한 취약성 검색과 같은 기존의 사이버 보안 전술과 달리 코딩시 보안 구현 방법을 알고있는 사람들이 필요하기 때문에 DevSecOps 엔지니어의 작업 보안이 더욱 보장됩니다. Booz, Allen 및 Hamilton의 분석가는 블로그에서 DevSecOps 채택에 대한 5 가지 신화, 조직은 DevSecOps를 원하고 필요로하지만 구매할 수는 없습니다. DevSecOps는 교차 기능 팀이 전체 소프트웨어 개발 라이프 사이클 동안 기술을 통합하고 협업 할 수 있도록하는 방법론으로, 숙련 된 인력, 변경 관리 및 여러 이해 관계자의 지속적인 노력이 필요합니다.
Booz, Allen 및 Hamilton에 따르면 회사는 릴리스 관리 소프트웨어와 같은 DevSecOps의 특정 측면을 지원하는 데 도움이되는 앱과 도구를 구입할 수 있지만“실제로 제공하는 것은 납품 팀입니다.” 이들은 DevSecOps가 제공하는 지속적인 개선과 문화 및 패러다임 전환을 주도하고 있습니다.
조직은 실행 가능한 DevSecOps 프로그램을 "구매"할 수 없습니다. 다양한 도구, 사내 지식 및 보안 문화를 향상시키는 지침을 사용하여 구축 및 유지 관리하는 동시에 비즈니스를 의미있게 만들어야합니다. 쉽지는 않지만 불가능하지는 않습니다.
DevSecOps 운동에서 엉덩이를 걷어차는 방법
DevSecOps 엔지니어가되기위한 첫 번째 단계 중 하나는 기술 세트만큼이나 문화라는 것을 깨닫는 것입니다. 이를 위해서는 생성하는 모든 코드의 일부로 보안을 구현할 의지가 있으며, 코드를 작성할 때 보안 결함과 취약점을 적극적으로 찾아 조직을 사전에 보호하여 프로덕션 환경으로 만들기 전에 수정해야합니다. 대부분의 DevSecOps 엔지니어는 직업과 기술을 매우 중요하게 생각합니다. DevSecOps 전문 조직도 선언문이있다 그들의 믿음을 진술.
선언문은 거의 읽지 않기 때문에 선언문은 일종의 힘이 있습니다. 그러나 핵심은 모든 위대한 DevSecOps 엔지니어가 다음과 같이 포용하는 법을 배워야한다는 사실입니다.
- 응용 프로그램 보안 팀이 당신의 동맹임을 깨달으십시오. 대부분의 조직에서 AppSec 전문가는 항상 더 많은 작업을 위해 완성 된 코드를 다시 보내므로 개발자와 상충됩니다. AppSec 팀은 일반적인 보안 버그를 도입하여 완성 된 코드가 프로덕션에 들어가는 것을 지연시킬 수 있기 때문에 개발자에게도 큰 사랑을받지 않습니다. 그러나 똑똑한 DevSecOps 엔지니어는 보안 팀의 목표가 궁극적으로 개발자 및 코더와 동일하다는 것을 인식 할 것입니다. 당신은 가장 친한 친구 일 필요는 없지만, 침착하고 협력적인 업무 관계를 형성하는 것은 성공에 필수적입니다.
- 안전한 코딩 기술을 연습하고 개선하십시오. 앱이 아직 구축되는 동안 취약한 방법을 찾을 수 있다면 이러한 허점을 막 으면 미래의 해커가 추적을 중단 할 수 있습니다. 물론, 취약점에 대한 이해와이를 해결하는 데 도움이되는 도구가 필요합니다. 그만큼 안전한 코드 워리어 블로그 페이지는 가장 일반적이고 위험한 취약점에 대한 통찰력을 제공 할뿐만 아니라 지식을 테스트하기위한 실질적인 조언과 과제를 제공합니다. 가장 중요한 측면은 보안을 염두에두고 기존 지식을 바탕으로 한 입 규모의 교육을위한 시간을내는 것입니다. 개발자와 보안의 상호 작용이 현저하지 않고 (부정적 일지라도) 일반적으로 보안에 대한 기술을 익히는 것이 진로를 옮기는 데 큰 도움이 될 수 있습니다.
- 기억하십시오 : DevSecOps 수퍼 스타는 조직의 긍정적 인 보안 문화에 기여합니다. 고유 한 문제에 관계없이 앱을 신속하게 제공하는 것과 같이 과거의 목표에 초점을 맞추는 대신 코드 개발시 취약점을 찾아 수정하는 것이 최우선 과제입니다. 보안은 모든 사람의 직무로 보여야하며, 모든 사람은 매번 효과적이고 매우 안전한 응용 프로그램을 배포함으로써 발생하는 보상과 보상을 공유해야합니다.
안전한 코딩 및 보안 모범 사례를 처음부터 준수하고 교육 솔루션을 추천하며 모든 상황에서 빠르게 진행되는 세계에서 코더가 남지 않도록하여 조직에서 놀라운 보안 문화를 육성 할 수 있습니다. DevSecOps. 유일하게 좋은 코드는 안전한 코드이며, 숙련 된 보안 인식 개발자는 퍼즐의 중요한 부분입니다. 개인적이고 전문적인 보상은 확실히 가치가 있으며 매년 수많은 개인 데이터 기록이 손상되어 점점 증가하고 있습니다. 최전선에서 당신의 자리를 차지하고 우리의 디지털 세계에서 나쁜 사람을 방어하는 데 도움이됩니다.
마티아스 마두 박사 공동 창립자이자 CTO입니다. 안전한 코드 워리어그는 회사의 기술 비전을 이끌고 엔지니어링 팀을 감독하는 책임을 맡고 있습니다. Matias는 HP Fortify를 비롯한 회사를위한 솔루션의 범위를 정하고 개발하는 기존 솔루션을 개선하기위한 연구를 포함하여 15 년 이상의 실제 소프트웨어 보안 경험을 보유하고 있습니다. Matias는 이전에 Sensei Security라는 회사를 설립했습니다. 그의 경력을 통해 Matias는 여러 응용 프로그램 보안 연구 프로젝트를 이끌 었으며, 이로 인해 여러 상용 제품이 출시되었습니다. Matias는 10 개 이상의 특허를 보유하고 있으며 연구 결과를 바탕으로 광범위한 논문을 작성했습니다. 이 논문들은 소수의 성공적인 상용 제품의 개발로 이어졌습니다. Matias는 책상에서 떨어져있을 때 고급 애플리케이션 보안 교육 과정의 강사로 재직했으며 RSA 컨퍼런스, Black Hat, DefCon, BSIMM 및 OWASP AppSec을 포함한 글로벌 컨퍼런스에서 정기적으로 연설합니다. Matias는 박사 학위를 보유하고 있습니다. Ghent University의 컴퓨터 공학에서 응용 프로그램의 내부 작업을 숨기려면 프로그램 난독 처리를 통해 응용 프로그램 보안을 연구했습니다.
출처 : https://www.informationsecuritybuzz.com/articles/how-to-become-a-kick-ass-devsecops-engineer/
