검증 스캔 또는 자동화

조직은 애플리케이션 보안검증 프로그램을 시작하거나 완성할 때 여러 선택에 직면합니다. 

보안 코딩 교육을 실시하고, 침투 테스트 서비스를 고용하고, 스캐닝 도구에 라이선스를 부여하거나, 설계 검토 및 위협 모델링 연습을 수행할 수 있습니다. 

한 번에 한두 가지 이상의 작업을 수행할 수 있는 예산과 내부 기능을 갖춘 조직은 거의 없습니다.

검증

오늘날의 빠른 배포 환경에서 모든 프로그램의 목표는 두 가지입니다.

즉, 악의적인 행위자가 악용할 수 있는 응용 프로그램의 약점을 줄이고 개발 수명 주기 후반의 취약성을 완화하기 위해 재작업을 최소화하여 개발 속도를 유지하는 것입니다.

후자의 목표는 최소화할 수 없습니다. 개발 수명 주기 후반에 발견된 취약점 및 기타 약점은 수정하는 데 훨씬 더 많은 비용이 듭니다. 

수명 주기 후반에 재작업하면 릴리스가 느려지지만 보안과 개발 간의 마찰도 증가합니다. 

솔루션은 개발 프로세스의 초기 단계로 보안 활동을 구축하고 왼쪽으로 이동하여 이러한 문제를 피하는 것입니다.

옵션 이해 검증

팀이 소프트웨어 보안을 개선하기 위한 선택 사항을 살펴보면 선택할 수 있는 소프트웨어 보안 범주가 부족하지 않습니다. 

개발 과정에서 SAST(Static Application Security Testing) 및 IAST(Interactive Application Security Testing)는 취약성을 유발할 수 있는 코딩 오류를 식별할 것을 약속합니다. 

소프트웨어 구성 분석(SCA) 및 소프트웨어 BOM은 해당 구성 요소(또는 지적 재산을 위험에 빠뜨릴 수 있는 라이선스)의 알려진 취약점 데이터베이스에 매핑할 수 있습니다.

이들 중 다수는 빌드 서버와 통합되어 코드를 자동으로 스캔하거나 개발자의 IDE(통합 개발 환경)로 더 왼쪽으로 이동합니다.

ASOC(Application Security Orchestration and Correlation) 도구는 팀이 스캔을 조정하고 취약점 발견을 집계하며 완화의 우선 순위를 정하는 데 도움이 됩니다. 

수명 주기 후반에 DAST(Dynamic Application Security Testing)는 실행 중인 애플리케이션을 테스트하여 문제를 식별합니다. 

애플리케이션이 배포되면 웹 애플리케이션 방화벽, 컨테이너 및 Kubernetes용 보안 솔루션, 개발 환경 자체를 보호하도록 설계된 도구를 비롯한 추가 솔루션을 사용할 수 있습니다.

가장 먼저 초점을 맞출 위치

취약성을 수정하는 상대적 비용으로 인해 많은 조직이 조기 테스트를 선택합니다. 

결국 약점을 조기에 발견하면 시간과 비용을 절약할 수 있습니다. 스캐닝은 좋은 연습이지만 조직의 주요 보안 활동이 되어서는 안 됩니다.

먹튀검증

개발자 푸시백 방지

좋은 보안 프로그램은 소프트웨어 엔지니어링 팀의 지원이 필요합니다. 

소프트웨어 보안 프로그램을 성숙시킬 때 개발 팀의 요구 사항을 고려해야 합니다. 

이는 특정 날짜까지 정의된 기능 세트를 제공하여 해당 팀이 일반적으로 평가되는 방식으로 시작합니다.

보안 스캐너가 개발 프로세스에 추가되면 지연이 일반적입니다. 스캐닝 도구의 출력은 개발자가 경합해야 하는 세 가지 아티팩트를 생성합니다. 

기사 더 보기