DevSecOps

DevSecOps

개발(Dev), 보안(Sec), 운영(Ops)을 통합하여 소프트웨어 개발 주기 전체에 보안을 자동화하고 내재화하는 문화 및 실천

특징: Shift Left(초기 단계에 보안), 자동화, 지속적 보안

구성요소: 보안 자동화, CI/CD 통합, SAST/DAST/SCA, 인프라 as 코드(IaC) 보안, 컨테이너 보안

기술요소: SAST(정적 분석/SonarQube), DAST(동적 분석/OWASP ZAP), SCA(의존성 검사/Snyk), 비밀 스캔(GitGuardian), IaC 스캔(Checkov), 이미지 스캔(Trivy)

Shift Left: 개발 초기(코딩/커밋 단계)에 보안 통합 → 늦게 발견할수록 비용 증가

파이프라인 통합: 코드 커밋 → SAST/비밀 스캔 → 빌드 → 이미지 스캔 → DAST → 배포 → 런타임 모니터링

대응: 보안 교육(개발자), 자동화된 보안 테스트, 정책 as 코드(OPA), 빠른 피드백, 협업 문화

적용사례: 클라우드 네이티브 앱, 마이크로서비스, CI/CD 파이프라인

비교: 전통 보안(마지막 단계/느림) vs DevSecOps(초기 통합/빠름/자동화)

연관: CI/CD, SAST/DAST, 컨테이너 보안, 공급망 보안