문의하기

Industry Issue

SANS 보고서: DevSecOps의 역학 관계

Software Risk Analysis
작성자
관리자
작성일
2024-03-12 09:29
조회
94

SANS 보고서: DevSecOps의 역학 관계

 

빠르게 발전하는 디지털 환경에서 개발, 보안, 운영의 교합점이 중요해졌습니다. DevOps 워크플로우에 보안 관행을 통합하는 방법론인 DevSecOps는 소프트웨어 개발 프로세스의 보안과 효율성을 보장하기 위한 중요한 접근 방법으로 부상했습니다. 최근 SANS 설문조사 보고서에서는 DevSecOps의 현황을 흥미롭게 살펴볼 수 있으며 설문조사 인구 통계, 주요 결과 및 주요 초점 영역에 대한 포괄적인 분석을 제공합니다.

인구통계 설문조사

이 보고서에서 주목할 만한 점은 인구통계 설문조사에 있습니다. 다양한 역할, 산업, 조직 규모에 걸쳐 363명의 응답자가 참여한 이 보고서를 통해 DevSecOps를 한눈에 파악할 수 있습니다. 응답자의 34%가 보안 기능에 직접 관여하는 등 보안에 대한 인식이 변화하고 있음을 알 수 있습니다. 보안 관리자 및 분석가(10.2%)가 눈에 띄는 것은 DevSecOps 패러다임에서 보안이 얼마나 중요한지 여실히 보여줍니다.

또한 주목할 만한 점은 개발 직군의 비중이 상당히 높다는 점입니다. 전체 응답자의 21%가 애플리케이션 개발자, 클라우드 설계자, 소프트웨어 엔지니어, DevOps 엔지니어 등의 직책을 맡고 있었습니다. DevSecOps가 보안을 개발 영역으로 옮기면서 이러한 영역 간의 통합이 필요하다는 점을 이번 설문조사에서 확인할 수 있습니다.

이 뿐만 아니라 또 하나 가장 눈에 띄는 점은 응답자의 13%가 비즈니스 관리 직책을 맡고 있다는 것으로 DevSecOps가 단순한 기술적 문제가 아니라 중요한 비즈니스 전략으로 인식되고 있다는 것을 알 수 있습니다. 이러한 변화는 DevSecOps가 조직 전체에 필수적인 요소가 되고 있음을 보여줍니다.

 

DevSecOps 과제 탐색

DevSecOps 도입의 어려움에 대한 SANS 보고서의 조사 결과에 따르면 새로운 보안 및 테스트 도구에 대한 자금 확보가 여전히 많은 조직에서 장애물임을 알 수 있습니다. 이는 DevSecOps의 도입을 강화하기 위해서는 재정 자원이 필수적으로 조정되어야 한다는 것입니다.

응답자들이 꼽은 성공 요인은 보안 커뮤니케이션을 통해 조직 전체의 유대감을 형성하는 것입니다. 전문성 개발 활동을 통해 'security champions'을 양성하는 것이 팀 간의 보안 인식과 협력을 촉진하는 효과적인 전략으로 나타났습니다.

올해 보고서의 새로운 트렌드는 DevSecOps를 향상하기 위해 인공 지능(AI)과 데이터 과학을 탐색하는 응답자 수(16%)를 보면 알 수 있습니다. 이러한 추세는 보안 조치를 자동화하고 강화하기 위해 점점 더 많은 조직이 AI를 활용함에 따라 광범위하게 업계 동향을 반영할 것입니다.

 

강력한 DevSecOps 프로그램 구축

최근 SANS 보고서에는 성공적인 DevSecOps 프로그램을 구축하기 위한 몇 가지 중요한 점들이 요약되어 있습니다.


  • 초기 보안 고려사항: 성공적인 DevSecOps 계획은 개발 초기부터 보안 문제를 구축하는 것부터 시작됩니다. 코드를 작성하기 전에 위험 평가와 위협 모델링을 수행함으로써 조직은 취약점과 보안 공백을 미리 파악할 수 있습니다.
  • 자동화된 보안 테스트: 보안 테스트를 자동화하여 보안 관행을 적용하면 개발 수명 주기 전반에 걸쳐 일관되고 효율적인 보안 검증을 수행할 수 있습니다.
  • 전체적인 보안 이해: 강화된 소프트웨어를 구축하려면 조직은 애플리케이션에 필수적인 모든 리소스의 보안 상태를 포괄적으로 이해해야 합니다. 여기에는 인프라, 타사 소프트웨어, 자체 개발한 소프트웨어가 포함됩니다.
  • 엔드투엔드 자동화: 이 보고서는 빌드, 테스트, 배포 프로세스의 엔드투엔드 자동화의 필요성을 강조합니다. 이를 통해 보안 위협 및 취약점에 대한 대응을 신속하게 처리할 수 있을 뿐만 아니라 자동 수정이 가능하여 노출 기간을 최소화할 수 있습니다.

위의 간략한 요약은 높은 수준의 요점적인 내용을 제공하지만 현재 DevSecOps를 형성하는 과제, 성공 사례 및 트렌드를 이해하려면 DevSecOps에 대한 SANS 보고서를 자세히 살펴볼 필요가 있습니다. 이 보고서는 조직이 보안 태세를 강화하는 동시에 원활한 개발 및 운영 관행을 촉진할 수 있는 지식을 제공하고 있습니다. DevSecOps는 단순한 기술적 노력이 아니라 보안, 개발, 운영 영역을 연결하여 조직을 새롭고 발전된 소프트웨어 시대로 안내하는 전략적 필수 요소라는 분명한 메시지를 전달하고 있습니다.

 

Synopsys가 어떻게 도움을 드릴 수 있나요?

Synopsys는 조직의 통합 노력을 강화하기 위해 업계 최고의 애플리케이션 보안 테스트(AST) 솔루션 포트폴리오를 제공합니다. Synopsys는 정적 애플리케이션 보안 테스트(SAST), 동적 애플리케이션 보안 테스트(DAST), 소스 코드 분석(SCA) 등 "3대" 테스트 프로토콜과 대화형 애플리케이션 보안 테스트(IAST), 퍼징 그리고 모바일 침투 소프트웨어를 포함한 기타 다양한 테스트도 제공합니다. Synopsys AST 솔루션은 개방형 플랫폼이며 135개 이상의 통합을 포함하므로 이미 소유하고 있는 도구를 보다 효율적으로 사용할 수 있습니다. Synopsys는 온프레미스, SaaS(Software as a Service) 또는 헤드리스 API 환경에 대한 결과를 제공하는 완전히 유연한 보안 테스트 솔루션을 제공합니다. Synopsys 솔루션을 사용하든 타사, 오픈 소스 또는 수동 테스트 솔루션을 사용하든 상관없이 모두 당사의 애플리케이션 보안 상태 관리(ASPM) 솔루션인 Software Risk Manager에 통합됩니다. SDLC의 모든 단계에서 Synopsys는 귀하의 프로그램을 통합 성공으로 이끌 수 있는 최고의 가치를 지닌 전략적 솔루션을 보유하고 있습니다.

 

SANS report 다운로드: https://www.synopsys.com/software-integrity/resources/analyst-reports/sans-devsecops-survey.html

 

원문 게시일: 2023.08.31

원문 기고자: Synopsys Editorial Team

출처: https://www.synopsys.com/blogs/software-security/sans-devsecops-survey.html

« 미래의 IoT를 더욱 안전하게 만드는 방법
성공적인 AppSec 프로그램의 중요한 기능은 무엇일까요? »
목록보기
Powered by KBoard
/about-us/inquiry/
https://www.youtube.com/@softflow2018
https://blog.naver.com/softflow_group
#