Pipeline3 SAST DAST IAST 애플리케이션 보안 테스트 방법론 애플리케이션 보안 테스트 기술 선택은 많은 요소에 의존하며, 단순히 '최고'라고 여겨지는 기술을 선택하는 것이 아니라 조직의 특정 요구사항, 리소스, 그리고 개발 및 운영 환경을 고려해야 합니다. SAST(Static Application Security Testing), DAST(Dynamic Application Security Testing), 그리고 IAST(Interactive Application Security Testing)는 각각 고유의 장점과 한계를 가지며, 이들 기술은 서로 대체하는 것이 아니라 보완적으로 작동할 수 있습니다.SAST (Static Application Security Testing)장점: 코드가 실행되지 않기 때문에 개발 초기 단계에서 사용할 수 있으며, 코드의 정적.. 2024. 4. 25. Jenkins ZAP(Zed Attack Proxy) 플러그인 통한 취약점 점검 자동화 Jenkins에 ZAP(Zed Attack Proxy) 플러그인을 사용하여 코드가 푸시될 때마다 도커(Docker)로 서비스를 배포하고, ZAP을 통해 취약점 점검을 수행한 후 결과를 리포팅하는 프로세스는 CI/CD 파이프라인에 보안 테스트를 통합하는 효과적인 방법입니다. 이를 위해서는 Jenkins, Docker, ZAP을 함께 사용하는 방법을 이해해야 합니다. 아래는 이 과정을 구현하는 단계별 안내입니다. 준비 단계 Jenkins 설치: Jenkins 서버가 설치되어 있어야 하며, 필요한 경우 Jenkins를 설치합니다. Docker 설치: Docker가 설치되어 있어야 하며, Jenkins 서버에서 Docker 커맨드를 실행할 수 있어야 합니다. ZAP 설치: OWASP ZAP이 설치되어 있어야 합.. 2024. 3. 19. ArgoCD 활용 GitOps 시스템 K8S CI/CD Pipeline 구축 ArgoCD는 Kubernetes 클러스터에서 애플리케이션을 배포 및 관리하기 위한 오픈 소스 도구 중 하나입니다. ArgoCD는 GitOps라는 개념을 기반으로 하여 클러스터 구성을 Git 리포지토리에 정의하고, Git 리포지토리에 있는 정의를 기반으로 애플리케이션을 배포하고 업데이트하는 데 사용됩니다. 주요 특징 GitOps 방식의 배포: ArgoCD는 애플리케이션 및 클러스터 설정을 Git 리포지토리에 정의합니다. 이를 통해 변경 사항의 추적, 버전 관리, 롤백 등을 쉽게 할 수 있습니다. 자동 동기화: Git 리포지토리에 저장된 애플리케이션의 정의를 기반으로 ArgoCD는 클러스터의 상태를 지속적으로 감지하고, 정의와 클러스터 간의 불일치가 감지되면 자동으로 동기화를 수행합니다. 멀티-클러스터 지.. 2024. 1. 8. 이전 1 다음 728x90