Sh4n3e

나는 현재 Security Researcher/Engineer로 일하고 있다. 다양한 보안업무를 진행하는 와중에, 특히 보안 관련 서비스를 개발하고 이를 CI/CD 파이프라인을 통해 손쉽게 배포를 할 수 있는 환경 구성에 대한 갈증을 느끼게 한다. 근래 내가 진행했던 것에 대해서 간략하게 풀어보고자 한다. 1. Github 내에 존재하는 갖은 토큰 값의 존재로 인한 보안 이슈 해결 방안 고민 private 환경의 형상관리툴(github, gitlab 등), 그리고 private repository라고 하더라도 Data Loss(데이터 유출)에 대해선 언제나 자유로울 수 없다. 악의적인 소스코드 유출, 3rd party application의 취약점으로 인한 소스코드 유출등 갖은 위협은 우리의 곁에 함께 ..

Trivy는 신뢰할 수 있고 빠르며 사용하기 쉬운 오픈 소스 보안 스캐너이다. Trivy를 사용하여 취약성 및 IaC 구성 오류, SBOM 검색, 클라우드 스캐닝, Kubernetes 보안 위험 등을 찾는 역할을 한다. Trivy는 다음과 같은 기능을 수행할 수 있다. Trivy가 스캔할 수 있는 것: 컨테이너 이미지 파일 시스템 Git 리포지토리(원격) 가상 머신 이미지 쿠버네티스 AWS 스캐너(Trivy가 찾을 수 있는 것): 사용 중인 OS 패키지 및 소프트웨어 종속성(SBOM) 알려진 취약점(CVE) IaC 문제 및 잘못된 구성 민감한 정보 및 비밀 소프트웨어 라이선스 Trivy를 이용하면 아래와 같이 Grafana를 이용한 Dashboard를 만들어 Kubernetes 및 Container, 사..

DevOps Security (DevSecOps) DevSecOps는 소프트웨어 개발 프로세스의 모든 단계에서 보안 테스트를 통합하여 관리하는 것을 의미한다. 여기에는 개발자, 보안 전문가 및 운영 팀 간의 협업을 장려하여 효율적이고 안전한 소프트웨어를 구축할 수 있는 도구와 프로세스가 포함된다. DevSecOps는 개발, 보안 및 운영을 의미한다. 이는 DevOps 방식의 연장선에 SW 애플리케이션을 구축하는 과정에서 각자가 가지는 역할과 책임을 의미한다. 개발 개발은 응용 프로그램을 계획, 코딩, 빌드 및 테스트하는 프로세스 보안 보안이란 소프트웨어 개발 주기 초기에 보안을 도입하는 것을 의미 예를 들어 프로그래머는 코드에 보안 취약점이 없는지 확인하고 보안 실무자는 회사가 소프트웨어를 출시하기 전에..