Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

데브섹옵스

데브섹옵스팀에 카오스 엔지니어링이 꼭 필요한 이유

‘카오스(chaos)’와 ‘엔지니어링’이라는 단어는 보통 잘 어울리지 않는다. 훌륭한 엔지니어는 결과적으로 혼란(chaos)스러운 상황을 멀리하기 때문이다. 그러나 최근에는 여러 소프트웨어 개발자가 숨겨진 결함을 드러냄으로써 컴퓨터 시스템을 강화하기 위해 적당한 수준의 ‘카오스’를 사용한다. 카오스 특성상 결과가 보장되지는 않으므로 완벽한 방법은 아니지만, 의외로 효과적인 경우가 많다.   카오스 엔지니어링은 문서화되지 않고 예측할 수 없는 백도어를 찾아야 하는 보안 애널리스트에게 특히 유용하다. 카오스 테스트로 모든 보안 문제를 찾을 수는 없지만, 개발자가 생각하지 못한 패치하지 않은 위험한 취약점을 발견할 수 있다. 좋은 카오스 엔지니어링은 데브섹옵스팀과 데브옵스팀에 모두 도움이 된다. 안정성 또는 탄력성 문제가 곧 보안 문제로 이어지는 경우도 있고, 동일한 코딩 실수가 전체 시스템 중단이나 사이버 공격자의 침입으로 이어질 수 있어서다. 카오스 엔지니어링이란? ‘카오스 엔지니어링’은 성공적인 결과가 입증된 여러 기법을 통칭하는 신조어다. 컴퓨터 시스템을 비틀어 균형을 무너뜨리고 멈추게 만들기도 하므로 ‘퍼징(fuzzing)’이나 ‘글리칭(glitching)’이라는 용어를 사용하기도 한다. 카오스 엔지니어링은 소프트웨어에 스트레스를 가하는 무작위 행동을 주입한 후 오작동이나 버그가 나타나는지 주의 깊게 관찰하는 방법이다. 정상적인 사용 환경에서는 발견까지 몇 년이 걸리는 문제를 카오스 엔지니어링으로 비교적 짧은 시간 안에 발견하는 경우가 많다.  EFF(Electronic Freedom Foundation) 공동 설립자 존 길모어는 “코딩은 지속적인 개선 과정이며 카오스 엔지니어링은 가능한 모든 실행 경로를 찾는 속도를 높이는 대표적인 방법이다. 오랜 기간 실행되는 코드는 해당 코드를 처음 실행하는 1,000만 명의 사용자, 코드를 처음 컴파일하는 20개의 컴파일러, 그리고 코드를 처음 실행하는 5개의 운영체제를 통해 대부분의 버그...

카오스엔지니어링 취약점발견 개발 4일 전

소프트웨어 신뢰성 확보는 보안 강화의 지름길

지난 몇 년 간 소프트웨어 보안과 신뢰성은 비교 및 대조 대상이었다. 소프트웨어 보안과 신뢰성의 핵심 목표는 모두 기업 및 최종 사용자를 보호하는 것이다. 하지만 데브섹옵스(DevSecOps) 및 SRE(Site Reliability Engineering) 도입이 지속되고 성숙하면서 소프트웨어 보안과 신뢰성의 공통분모는 점차 커지고 있다. 그리고 기업은 데브섹옵스와 SRE를 적절히 수행했을 때 가치를 극대화할 수 있다.   사이버보안 부문에 종사했던 사람은 CIA(Confidentiality, Integrity, Availability)에 익숙하다. 특히 가용성(Availability) 관련 지표는 데브옵스와 이후 등장한 데브섹옵스로의 변화에서 중요한 요소다. DORA(Devops Research and Assessments)와 MTTR(Meantime to Recover), CFR(Change Failure Rate)이 대표적인 지표다. 제안된 변경사항이 실패해 가용성이 낮아지고 결과적으로 회복에 오랜 시간이 투입되면, 보안과 신뢰성 모두 위태로워진다.  기업은 데브옵스를 안전하게 도입해야 한다. 데브옵스 실태 보고서에 따르면, 데브옵스 도입 담당자는 가용성을 확보하기 위해 도입 속도를 늦추지는 않는다. 점차 많은 기업이 SRE 원칙을 도입하고 있으며, 고장 나거나 작동을 멈춘 시스템에서 배울 점을 찾아 취약한 시스템의 보안과 신뢰성을 높이고자 한다.  짧은 리드 타임이 보안을 강화한다 MTTR과 CFR의 관계는 명확하지만, 보안 관점에서 영향력이 높은 또 다른 DORA 지표가 존재한다. 바로 변화 지표를 위한 리드 타임으로, 작성한 코드를 프로덕션 단계에서 성공적으로 구현하는 데 걸리는 시간과 관련된 지표다. 일반적으로 기업 또는 최종 사용자에게 가치를 신속하게 전달하는 맥락에서 논의된다.  시스템 보안 업데이트를 신속하게 배치하는 것도 일종의 가치 제공이다. 프로덕션 시스템에서 안전하지 못한 구성요소나 취약점을...

데브옵스 데브섹옵스 보안 2021.11.03

"마이크로서비스 기반의 앱을 위한 데브섹옵스 구현" NIST 새 가이드

미국 연방정부도 민간 기업과 마찬가지로 클라우드, 데브섹옵스(Devsecops), 그리고 클라우드 네이티브 애플리케이션을 위한 마이크로서비스 기반 아키텍처로 전환하는 중이다. 미국표준기술연구원(NIST)은 업계가 모범사례를 채택할 수 있도록 표준과 가이드를 제공한다.    이를 위해 NIST는 지난 9월 서비스 메시(Service Mesh)를 사용한 마이크로서비스 기반 애플리케이션을 위한 데브섹옵스 구현을 발표했다(800-204C). 이 문서는 데브섹옵스 구현, 그리고 마이크로서비스 아키텍처에 클라우드 네이티브 애플리케이션을 호스팅하기 위한 서비스 메시를 사용한 참조 플랫폼 사용에 관한 포괄적인 가이드다. 이는 현재 초안 형식이며, 전 미공군 최고 소프트웨어 책임자인 니콜라스 챌라인과 서비스 메시 분야 선두업체인 테트레이트(Tetrate)의 협업으로 작성됐다. 이 가이드는 성공적인 데브섹옵스 구현을 위한 구성 요소라고 할 수 있는 프리미티브(primitive) 개념을 사용했다. 데브섹옵스 프리미티브는 민첩한 개발을 위한 마이크로서비스 기반 애플리케이션에 가장 적합하다. 또한 데브섹옵스가 클라우드 네이티브 애플리케이션에 필요한 비즈니스 민첩성 요구사항을 촉진한다는 개념도 지원한다. 다음은 NIST 가이드의 각 세션의 내용을 분석했다.   데브섹옵스 프리미티브 구현을 위한 참조 플랫폼 이 가이드는 컨테이너 오케스트레이션과 관리 플랫폼 맥락에서 참조 플랫폼을 다룬다. 예를 들어 분류된 또는 연결이 끊긴 엄격한 환경(물리적) 또는 AWS, 애저와 같은 클라우드 서비스 제공업체(CSP) 환경과 같은 가상화된 환경 등 물리적 또는 가상 기반 인프라 위에 구축하는 방식이다. 가이드는 컨테이너 오케스트레이션 및 리소스 관리 플랫폼 사용을 권장한다. 가장 인기 있는 오픈소스 컨테이너 오케스트레이션 플랫폼인 쿠버네티스(Kubernetes)가 대표적이다. 쿠버네티스는 컨테이너화된 애플리케이션을 호스팅하는 팟(pod)을 기반으로 물리적 ...

데브섹옵스 NIST Devsecops 2021.10.29

IDG 블로그 | 클라우드 기반 워크로드의 지속적인 보안 검사가 중요한 이유

클라우드 애플리케이션 개발자는 보안 엔지니어이기도 하다. 애플리케이션 수준의 보안이 더 이상 선택지가 아니라는 점에서 이런 변화를 모를 사람은 없을 것이다. 또한 개발자는 상당한 규모의 애플리케이션을 구축해야 하는데, 이 때문에 개발자는 운영 엔지니어이자 데이터베이스 엔지니어가 되기도 한다.   개발자 대부분이 보안 전문가가 아니라는 사실이 문제다. 이 때문에 개발자에게 좀 더 안전한 클라우드 기반 애플리케이션을 구축하고 배치할 수 있는 교육과 툴과 프로세스를 제공하는 데브섹옵스 프랙티스가 필요한 것이다. 물론, 이런 문화적인 변화를 구현하려는 상당한 시간이 걸린다.  새로 등장한 개념이 이런 문제를 해결하는 데 도움이 될 것으로 보인다. 바로 CNAP(Cloud Native Application Protection) 플랫폼으로, 워크로드와 환경 구성을 지속적으로 검사해 보안 문제를 찾아 해결한다. 검사는 애플리케이션 개발부터 테스트, 배치가 진행되는 동안 계속된다. CNAP는 두 가지 종류의 보안 플랫폼을 결합한 것이다. 첫째는 CSPM(Cloud Security Posture Management)으로, 개발팀이 드러난 환경 구성의 오류나 다른 취약점을 찾는 데 이미 이용하고 있다. 둘째는 CWPP(Cloud Workload Protection Platforms)으로, 에이전트 소프트웨어를 사용해 워크로드를 보호한다. CNAP의 보안 정책은 어떤 워크로드라도 중앙에서 적용한다. 여기에는 마이크로서비스 기반 애플리케이션이나 컨테이너 기반 애플리케이션, 레거시 애플리케이션도 포함되는데, 모두 요즘 개발 중이거나 재개발 중인 애플리케이션이다.  중앙집중화된 보안 프로세스는 에이전트 소프트웨어를 사용해 사전 정의된 보안 정책을 강화한다. 게다가 이들 에이전트는 애플리케이션과 애플리케이션 환경을 지속적으로 검사해 설정된 정책에서 제외된 보안 우려사항을 찾아낸다. 이들 정책은 보통 개발자가 정의하지 않고 기업 보안팀이 정의한다. ...

CNAP CSPM CWPP 2021.09.27

데브옵스에도 여전한 보안 사각지대…핵심은 ‘설계 단계의 보안 통합’

데브옵스(DevOps)가 전 세계 소프트웨어 개발 기업 사이에서 인기를 끌고 있다. 하지만 많은 기업이 여전히 문화적인 문제와 씨름하고 있다. 차세대 클라우드 애플리케이션 개발에 필수적인 데브섹옵스(DevSecOps) 시행 과정에서 보안 담당자의 영향력을 축소하는 것이 대표적이다.   데브옵스는 도입이 차질 없이 진행될 경우 극적인 변화를 끌어낸다. 최근 깃랩(GitLab)이 개발자 약 4,300여 명을 대상으로 조사해 발표한 2021년 데브섹옵스 설문조사에 따르면, 코로나19 팬데믹으로 인해 최신 데브옵스 기술이 크게 확산한 것으로 나타났다. 여기에는 쿠버네티스(Kubernetes), AI, 머신러닝, 클라우드 컴퓨팅 등이 포함된다. 데브옵스 관련 기술을 도입하면 소프트웨어 개발에 속도가 빨라진다. 깃랩 설문조사에서 개발자의 84%가 어느 때보다 빠르게 새로운 소프트웨어를 출시하고 있으며, 다섯 명 가운데 한 명은 신규 코드를 10배 더 빨리 릴리즈하고 있다고 답했다. 데브섹옵스 도입의 문제점 개발자가 새롭고 더 빠른 개발 프로세스를 선호하는 것은 자연스럽다. 하지만 이 ‘새로운 속도’는 데브섹옵스를 둘러싸고 역설적인 문제를 만들어 냈다. 즉, 보안의 중요성이 그 어느 때보다 커졌지만, 많은 이들이 데브섹옵스를 배포 속도를 늦추는 장애요소로 인식하는 것이다. 깃랩의 보고서는 “지난해 데브옵스가 이러한 기술 도입을 견인하며 성숙해졌지만 진정한 데브섹옵스를 달성하기에 앞서 해결해야 하는 방해물이 여전히 존재한다“고 설명했다. 보안 테스트가 특히 문제다. 응답자 가운데 42%가 개발 프로세스에서 보안 테스트가 너무 늦게 진행된다고 답했으며, 유사한 비율로 보안 취약점을 발견하고 수정하는 데 어려움을 겪고 있는 것으로 나타났다. 보안 전문가 72%는 그럼에도 불구하고 소속 기업이 보안에 “적당한” 혹은 “적극적인” 노력을 기울이고 있다고 대답했다. 지난해 설문조사 결과인 59%에서 개선된 수치다. 누가 보안을 담당해야 하느냐와 같은 문제에 대한 ...

데브옵스 데브섹옵스 보고서 2021.08.26

기업이 데브섹옵스에 실패하는 가장 흔한 이유 7가지

기업은 디지털 전환 프로젝트 지원, 더 신속한 가치 제공, 경쟁 우위 확보, 보안 개선 비용 감소 등 다양한 이유로 데브섹옵스(DevSecOps)를 도입한다. 그러나 데브섹옵스 이니셔티브에 실패할 때가 있으며, 그 이유는 피할 수 없는 것들이다. 데브섹옵스 프로젝트가 실패하는 가장 흔한 이유를 알아보자.     1. 학습 문화 조성 실패 최근 매켄지(McKinsey) 보고서를 보면, 인재와 문화는 데브섹옵스를 포함한 기술 전환에 가장 큰 문제가 되는 것으로 나타났다. 지속적인 학습과 실험의 문화를 도입한 기업이 데브섹옵스에 성공할 가능성이 큰 것도 이 때문이다. '데브옵스 핸드북'에 따르면, 데브섹옵스에 성공하고 성과가 높은 조직의 성공을 위해서는 학습 문화가 열쇠다. 이는 일일 학습, 조직 학습과 개선을 위한 시간 할애, 직원 숙련도 향상을 위한 집중 투자를 통해 용이해진다. 이는 학습 구독, 수업료 지원, 자격증 환급에 대한 투자를 통해 달성할 수 있다. 기업 내부와 외부의 전문가가 전문 지식과 교훈을 공유하는 브라운 백(Brown Bag) 세션도 효과적이다.   2. 교차 기능 교육 간과 개발팀과 보안팀 사이에는 겉으로 드러나지는 않지만 널리 알려진 긴장감이 있는 경우가 많다. 따라서 학습의 필요성에 기초한 교차 기능 교육은 이런 사일로를 무너뜨리고 긴장감을 없애는 데 효과적이다. 데브섹옵스를 위한 필수 요소로 추진해야 한다. 리눅스 재단과 하버드 혁신 과학 연구소(Harvard’s Laboratory for Innovation Science)가 수행한 2020년 FOSS 기여자 설문조사를 보면, 일반적인 FOSS(Free and Open-Source Software) 개발자는 코드 보안 개선에 전체 작업 시간의 2.3%를 할애한다. 그들은 안전한 코딩과 보안을 “영혼을 말려 죽이는” 일이라고 설명한다. 기업이 “보안을 더 개발 단계 쪽으로 이동”하려 노력함에 따라 개발자는 개시 및 생산 추진에 앞서 보안 취약성을 완화...

데브섹옵스 2021.04.22

아태지역 경영진 74% “소프트웨어 개발 전 과정에 보안은 필수 요소”…데브섹옵스 필요성 절감해

마이크로 포커스가 수요일, IDC 아시아 태평양 2020 "데브섹옵스(DevSecOps) : 디지털 혁신을 위한 프레임워크” 설문 조사의 결과를 발표했다. 이번 조사에서 아시아 태평양 지역 응답자 74%가 코로나19 확산으로 보안 소프트웨어 개발 이니셔티브 수요가 급증했다고 답했다. 코로나19로 온라인 활동이 늘어나고, 디지털 서비스와 애플리케이션에 대한 사용자 기대치도 늘어났다. 한편으로 IT 리더는 점차 고조되는 사이버 위협 환경에 대응해야 하는 과제를 안게 됐다. 데브섹옵스는 이런 시점에 등장해 많은 관심을 모았으나, 아직 대다수 아시아 태평양 기업은 문제를 해결할 준비가 되지 않았고, 응답자 중 55%는 자사의 데브섹옵스 성숙도가 보통 이하 수준이라고 평가했다. 아시아 태평양 14개 지역에서 기업 경영진 약 1,200명을 대상으로 한 이번 설문조사에서는 기업의 데브섹옵스 성숙도 외에도 연관 활동과 계획, 과제, 프로세스에 관한 질문도 다뤘다. 데브섹옵스는 기획 단계부터 배포, 전송까지의 소프트웨어 개발 공급망에 보안 기능을 추가하는 실무 활동을 의미한다. 이번 조사에서는 IT 리더가 데브섹옵스 도입에 따른 이점을 인식하고는 있으나 전면 도입에 이르기까지는 아직 많은 과제를 해결해야 하는 것으로 나타났다. 오늘날의 기업은 효율적인 소프트웨어 개발, 보안 위협, 비즈니스 민첩성을 아시아 태평양 지역에서의 데브섹옵스 이니셔티브에 대한 주요 동인으로 인식하고 있다. 그러나 지역 측면에서는, 데브옵스 및 보안 팀을 연합하여 소프트웨어 개발을 개선했다고 답한 응답자는 40%에 지나지 않았으며, 인도(53%)와 중국(51%)이 가장 높은 응답률을 보였다. 한국(29%)과 일본(30%)에서 데브섹옵스 도입은 여전히 초기 단계에 머물러 있다. 마이크로 포커스 아시아 태평양 및 일본 담당 사장인 스티븐 맥널티는 “특히 최근에는 사용자나 직원이 가상 형태로 기업과 상호작용하는 경우가 늘어나고 있다. 따라서 새로운 디지털 이니셔티브를 빠르게 도입해 고객의 온...

마이크로포커스 데브섹옵스 CI/CD 2020.12.10

통계가 말하는 애플리케이션 보안 현황

지난 몇 년간 데브옵스(DevOps) 문화가 부상하면서 소프트웨어 개발에 큰 변화가 발생했고, 기업들이 새 기능과 혁신을 지원하는 데 필요한 인프라를 자동으로 축소, 또는 확장하고, 코드를 더 빨리 배포할 수 있게 되었다. 그리고 이제 개발과 운영 파이프라인에 보안을 통합시키는 데브섹옵스(DevSecOps)가 확대되면서 애플리케이션 보안에도 변화가 발생하고 있다. 그러나 업계의 새 보고서에 수록된 데이터는 여전히 ‘갭’이 존재한다는 점을 보여준다. 보안 테스트의 주체가 바뀌고 있다 ESG가 북미의 애플리케이션 개발자 및 애플리케이션 보안 담당자 378명을 조사해 발표한 새 보고서에 따르면, 많은 기관과 기업이 자신의 애플리케이션 보안 프로그램이 견고하다고 판단하고 있음에도 불구하고 알려진 취약점이 있는 코드를 계속 배포하고 있다. 취약한 코드를 배포하는 것을 결코 바람직한 일이 아니지만, 이에 대해 알고 배포하는 것이 모르고 배포하는 것보다는 낫다. 위험 평가, 문제점을 바로잡을 계획, 일시적인 경감 대책 아래 이런 결정을 내리는 경우가 많기 때문이다. 조사 대상의 약 절반이 소속 조직이 정기적으로 이렇게 하고 있다고 대답했다. 또 간헐적으로 이렇게 한다고 대답한 비율은 1/3이었다. 그 이유로는 ‘아주 중요한 일정 준수’, ‘취약점의 위험인 낮아’, ‘릴리스 주기에서 너무 늦게 문제점을 발견’이 가장 많이 언급됐다(45%). 이번 조사 결과는 가능한 개발 프로세스 초기에 보안 테스트를 통합시키는 것이 중요한 이유를 설명한다. 또한, 취약한 코드를 배포하는 것이 반드시 보안 프로그램이 견고하지 않다는 것을 알려주는 신호는 아니라는 점을 알려준다. 여러 이유에서 이런 일이 일어날 수 있고, 한 종류의 보안 테스트로는 모든 버그를 포착하기 불가능하기 때문이다.  그러나 이 보고서는 여전히 애플리케이션 보안 프로그램을 확대하는 과정에 있는 조직들이 많다는 점도 알려준다. 구체적으로 코드 기반의 3/4 이상이 애플리케이션 보안 프로그램의 대상이라고 대...

애플리케이션보안 데브옵스 데브섹옵스 2020.08.19

데브섹옵스의 정의와 잘 하기가 어려운 이유

데브섹옵스(DevSecOps)는 보안을 현대 애플리케이션 개발 및 배포에 있어서 일반적인 RR(Rapid Release) 사이클에 통합하는 것이 목적인 소프트웨어 산업의 문화적 변화이며, 데브옵스(DevOps) 운동으로도 알려져 있다. 이 개념을 도입하기 위해서는 일반적으로 기업의 개발팀과 보안팀 사이에 존재하는 공백을 보안 프로세스의 많은 부분이 자동화하고 개발팀이 자체적으로 처리하는 수준까지 메워야 한다. 데브섹옵스는 기존의 소프트웨어 개발과 어떻게 다를까? 기존에는 주요 소프트웨어 개발업체가 수개월 또는 수년에 한 번씩 새로운 버전의 애플리케이션을 배포했다. 이를 통해 코드의 품질 확보 및 보안 테스트 등 내부 또는 외부 계약을 체결한 별도의 특수팀이 수행하는 프로세스를 거칠 충분한 시간을 확보했다. 하지만 지난 10년 동안 퍼블릭 클라우드, 컨테이너, 마이크로서비스(microservice) 모델이 등장하면서 하나의 애플리케이션이 독립적으로 실행되는 작은 부분으로 나뉘게 되었다. 이로 인해 소프트웨어가 개발되는 방식이 직접 영향을 받아 새로운 기능과 코드가 계속해서 빠른 속도로 생산에 투입되는 롤링 릴리즈(rolling releases) 및 애자일 개발(agile development) 활동으로 이어졌다. 이런 프로세스 가운데 다수가 새로운 기술과 도구를 활용해 자동화되면서 기업은 더 빠르게 혁신하고 경쟁에서 앞서게 되었다. 클라우드, 컨테이너, 마이크로서비스의 발전은 업계에서 이야기하는 데브옵스 문화의 등장으로 이어졌다. 데브옵스에서는 개발자가 별도의 인프라팀을 기다리지 않고 필요한 인프라를 제공받을 수 있다. 모든 주요 클라우드 제공업체가 현재 배포 템플릿을 사용해 인프라 구성을 코드로 처리할 수 있는 API와 구성 도구를 제공하고 있다. 데브옵스 문화는 소프트웨어 개발에 많은 혁신을 가져왔지만 보안은 코드가 생산되고 공개되는 새로운 속도를 따라잡을 수 없었다. 데브섹옵스는 이를 시정하고 보안 테스트를 CI(Continuous Integra...

데브섹옵스 데브옵스 2020.07.27

인터뷰 : 데브옵스가 코로나19 이후 시대에 기여하는 방법

소프트웨어 개발 과정에서 자동화와 배포 주기 확대 등의 혜택을 인지하는 조직이 늘면서 개발자와 IT 운영이 결합해 더 능률적인 방식으로 소프트웨어를 제공하는 현대적 데브옵스 방식이 기업에 도입되고 있다.   팬데믹 위기로 디지털 민첩성 수준을 높일 필요성이 명확해진 만큼, 앞으로 데브옵스 도입 속도가 더욱 빨라지는 변화가 일어날까?   가상 형태로 열릴 런던의 엔터프라이즈 데브옵스 서밋(Enterprise Devops Summit)을 앞두고, Infoworld는 트립와이어(Tripwire)의 전 CTO이고 행사의 주최자인 진 킴을 인터뷰했다. 대화 내용은 명확하고 간결한 내용 전달을 위해 편집을 거쳤다.   인포월드 : 팬데믹은 전반적으로 데브옵스에 어떤 영향을 미쳤는가? 진 킴 : 요즘 트위터에는 CEO, CFO, CIO, 코로나19 중 어느 C레벨 경영진이 디지털 파괴(Digital Disruption)에 가장 기여했는지를 묻는 밈이 유행한다. 답은 코로나19인데, 맞는 말이라고 생각한다. 작년에 거의 모든 기업 경영진의 아젠다였던 디지털 파괴는 코로나19로 3~5년가량 빨라졌다. 흥미로운 점은 조직이 수만, 수십 만명의 직원을 대상으로 재택 근무를 구현할 때 내려야 하는 용단을 두고 많은 이야기가 오고 간다는 것이다. 재택 근무 구현은 사실상 모든 규칙을 어길 때만 가능하다. 이것은 IT와 비즈니스 리더십이 어떤 것을 할 수 있으며, 부서가 실제로 어떤 역량을 갖고 있는지를 보여준다. 보통 IT와 경영진이 족쇄에 묶여 있는 경우가 너무 많다. 대부분 직원은 재택 근무를 구현하기 위해(이중에는 백 오피스 재무 팀과 같이 전에 재택 근무를 해본 적이 없는 직원도 포함됨) 실행된 모든 것이 일종의 기적이었다고 생각할 것이다.   인포월드 : 가장 최근의 데브옵스 현황 보고서를 보면 데브옵스 성숙도 측면에서 중간 영역에 위치한 조직이 매우 많다. 팬데믹이 이 중간 지대를 더 성숙한 단계로 밀어 올리게 될까? 아니면 모든 직...

데브옵스 데브섹옵스 AI옵스 2020.06.16

2019 글로벌 개발자 보고서 : 데브섹옵스(DevSecOps)

데브옵스의 정착과 활성화는 결코 간단한 임무가 아닙니다. 데브섹옵스(DevOps) 부서가 가치를 더 잘 전달하려면 협업 방식을 개선해야 함을 인지한 깃랩은 개발, 운영, 보안 부서를 위한 특정 업무를 심층 탐구했습니다. 4,000명이 넘는 개발자, 운영자, 보안 전문가를 대상으로 설문조사를 진행해 부서와 부서간의 대화와 협업을 장려하고, 데브옵스 부서의 교차기능적(Cross-functional) 관계를 분석하며, 성공적인 실천 방안 문제 영역, 가능성 있는 해결책을 제공하기 위해 기획되었습니다. <26p> 주요 내용 - 소개 - 데브섹옵스 2019 – 업무 개선 - 개발 – 임무 가속화 - 보안 – 임무 준비상태 - 운영 – 임무 명확성 - 향후 전망 - 마무리

운영 애자일 데브옵스 2020.05.19

데브옵스를 완성하는 마지막 조각은 ‘보안’··· ‘데브섹옵스’의 이해와 구축 방법 - IDG Summary

모바일과 클라우드, 사물인터넷(IoT), 인공지능(AI), 로봇 등 지난 10년간 디지털 기술의 놀라운 발전과 함께 기업 활동에서 IT의 역할이 중요해지면서 IT 프로젝트의 요건이 까다로워지고 있다. 이런 요건에 맞춰 기업이 더 효과적으로 애플리케이션을 개발, 운영할 수 있도록 애자일(Agile), 데브옵스(DevOps) 등 새로운 방법론도 등장했다.  그러나 결과적으로 이들 개발방법론을 적용한 프로젝트의 상당수가 실패하고 말았다. 급부상하고 있는 데브섹옵스(DevSecOps)에 대해 살펴보며, 기업이 데브섹옵스를 성공적으로 도입하기 위한 실행 방안도 알아본다. 주요 내용 - 데브옵스와 애자일이 실패하는 이유 - 데브옵스와 보안의 결합, ‘데브섹옵스’ - 데브섹옵스 성공의 조건

데브옵스 DevOps devsecops 2019.10.24

마이크로소프트, 버라이즌, 포켓몬 … 3사의 데브섹옵스 성공 사례

마이크로소프트, 버라이즌, 포켓몬 컴퍼니와 같이 성격이 매우 다른 3개의 회사가 어떻게 개발 및 보안 팀이 원활하게 협력하도록 만들었는지 알아보자.          개발팀과 보안팀의 관계는 종종 논쟁의 여지가 있다. 보안은 데이터 및 시스템 보호와 관련해 개발자의 책임으로 간주할 수 있으며, 개발자는 종종 보안을 워크플로우의 중단 원인으로 취급한다.  업무를 수행하는 조직이 공동의 협력 작업 환경을 조성하지 못하고 개발과 보안 간에 목표를 공유하지 못하면 양자는 모두 옳다. 협력의 문화가 없다면 이 2개의 그룹은 필연적으로 서로 상충하게 된다.   데브섹옵스(DevSecOps)는 보안이 개발 프로세스의 필수 부분이 되는 방식이다. 개발자와 보안 담당자는 다른 그룹이 하는 일에 대해 상호 이해하고 존중해야 한다. 성공적인 데브섹옵스 프로세스는 양 팀의 스트레스를 줄이고 실수로 코드에 취약점이 발생하는 것을 방지한다.   여기서 소개하는 3개의 기업, 즉 마이크로소프트, 버라이즌, 포켓몬 컴퍼니는 매우 다른 비즈니스 모델과 보안 요구 사항을 갖고 있다. 그러나 모두 내부 개발 프로세스에 대한 데브섹옵스 접근 방식을 통해 효과를 얻었다.  버라이즌, 개발자 대시보드 통해 취약점 가시성 제공  버라이즌 IT의 앱보안 팀은 클라우드로 이동할 때 안전한 데브옵스(DevOps) 사례를 촉진할 수 있는 방법이 필요했다. 또한 회사 내에서 문화 변화를 주도하고 싶었다. 버라이즌 앱보안 책임자 마나흐 칼릴은 “중앙 집중식 팀의 영향력을 크게 높이는 한편, 동시에 IT 애플리케이션 팀에게 더 많은 작업을 부여하지 않는 지속가능한 무언가가 필요했다”고 말했다. 이런 목표를 달성하기 위해 보안팀은 데브섹옵스(DevSecOps) 접근 방식을 채택했지만, 개발자가 이를 수용하도록 설득해야 했다. 이를 지원하고 보안 문화를 육성하기 위해서 버라이즌은 개발자 대시보드 프로그램을 만들었다. 취...

버라이즌 마이크로소프트 포켓몬 2019.10.02

"데브섹옵스, 큰 그림을 그리되 미세하게 시작하라"…한국 마이크로포커스 유재성 사장

한국 마이크로포커스가 엔터프라이즈 데브섹옵스 스위트(Enterprise DevSecOps Suite)를 국내 출시했다. 한국 마이크로포커스 측은 데브섹옵스의 일부분만 지원하는 여타 데브섹옵스와는 달리 마이크로포커스의 엔터프라이즈 데브섹옵스 스위트는 데브옵스(DevOps)의 모든 사이클을 지원할뿐만 아니라, 보안까지 자연스럽게 포함하고 있다는 것이 장점이다.  한국 마이크로포커스는 7월 11일 기자간담회를 열어 마이크로포커스의 엔터프라이즈 데브섹옵스 스위트에 대한 포트폴리오를 공개했다.  한국 마이크로포커스 유재성 사장은 "데브섹옵스는 실체가 없다. 하지만 전세계적으로 성공가도를 달리고 있는 기업들은 모두 데브섹옵스를 구현하고 있다. 이제 이를 구현하지 않으면 안되는 비즈니스 구도가 형성되고 있다"고 설파했다.  유재성 사장은 "마이크로포커스는 이미 2년 전에 엔터프라이즈 데브섹옵스 스위트를 출시한 바 있다. 이번에 국내 출시를 발표하게 된 것은 마이크로포커스가 국내 기업에게 줄 수 있는 최고의 가치가 바로 데브섹옵스라고 판단했기 때문이다"고 말했다.  유 사장은 "이제 IT가 없이 미래 비즈니스를 생각하기 힘든 시대가 됐다. 디지털 트랜스포메이션 시대에 기업이 구조적으로 준비해야 할 것은 바로 데브섹옵스다"고 말했다.  위키피디아에 따르면, 데브옵스는 소프트웨어의 개발(Development)과 운영(Operation)의 합성어로, 소프트웨어 개발자와 정보기술 전문가 간의 소통, 협업 및 통합을 강조하는 개발 환경이나 문화를 말한다.  마이크로포커스 오상현 이사는 "데브옵스는 소프트웨어의 높은 품질을 유지하면서 시스템에 대한 변경사항의 적용과 그 변경사항을 일반적인 생산 환경에 적용되는 동안의 필요한 시간을 줄이기 위한 일련의 실천 방법(Practice)이다"고 정의했다.  오상현 이사는 "하지만 기존 데브옵스 프로세스에는 애플리케이션 보안이 없었다. 20%정도만이 데브옵스 개발 단계...

데브섹옵스 마이크로포커스 2019.07.11

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.