멋진 데브젝옵스 엔지니어가 되는 방법

기술 자체와 마찬가지로 코드 개발을 위한 도구, 기법 및 최적 프로세스는 빠르게 발전합니다.우리 인간은 더 많은 소프트웨어, 더 많은 기능, 더 많은 기능에 대한 끝없는 요구를 가지고 있습니다. 우리는 그 어느 때보다 빠르고, 더 질적이며, 무엇보다도 안전한 것을 원합니다.불과 몇 년 전만 해도 애자일 개발은 대량의 작업을 작은 조각으로 나누고 고객의 빠른 피드백 주기에 빠르게 적응할 수 있는 차세대 솔루션이었습니다.그 전에는 워터폴 방식이 최고였습니다.

많은 사람과 조직이 Waterfall에서 Agile로 이동하고 있지만 아직 모두가 애자일은 아니지만 실제로 그들은 이미 새로운 문제에 직면하고 있습니다. 개발 팀과 운영 담당자들은 여전히 사일로 속에서 일하고 있다는 것입니다.이런 환경에서 애자일 방식으로 작업하는 소규모 팀이 더 빠른 배포와 더 빠른 제공이라는 약속을 어떻게 실현할 수 있을까요?

데브옵스는 개발과 운영을 결합한 별명으로, 새 소프트웨어를 만들 때 개발자와 운영 팀의 기능을 병합하기 위해 만들어졌습니다.이는 근본적으로 개발자들이 운영 팀의 책임으로 넘어가 업무를 맡기는 대신, 프로덕션에 대한 소유권을 갖도록 돕기 위한 것이었습니다.

하루에 몇 번이라도 더 빠르게 배송할 수 있습니다. 이는 애자일의 골칫거리인 것 같습니다.하지만 DevOps는 여전히 엔지니어와 운영 인력으로 구성된 하나의 대규모 팀을 구성하는데, 이는 현실적으로 애자일에 맞게 조정되지 않을 수 있습니다.궁극적으로 DevOps는 애자일의 진화라고 생각하는 것이 가장 좋습니다. 방법론은 여러 면에서 유사하고 차이점이 상호 보완적이기 때문입니다.DevOps는 자동화된 지속적 통합 및 배포 파이프라인을 촉진합니다. 이는 잦은 릴리스를 지원하는 데 필수적이지만 팀 수준에서는 충분하지 않습니다. 애자일이 개입하는 이유가 바로 여기에 있습니다.애자일을 사용하면 팀, 특히 소규모 팀이 이러한 빠른 릴리스와 변화하는 요구 사항에 보조를 맞추면서 작업을 진행하고 협업할 수 있습니다.팀이 최종 목표를 향해 순조롭게 나아갈 수 있는 프로세스도 분명 이상적으로 보입니다. 하지만 그 자체로 문제가 없는 것은 아닙니다.

DevOps 모범 사례를 사용하여 만든 소프트웨어는 여전히 첫 번째 보스전, 즉 보안 팀에서 어려움을 겪을 가능성이 있습니다.전통적/Waterfall AppSec 전문가가 툴링이나 복잡한 수동 검토를 통해 코드를 검사할 때 용납할 수 없는 위험과 취약점을 발견하는 경우가 많으며, 이러한 위험과 취약점은 사후에 수정해야 합니다.완성된 앱에 보안 픽스를 개조하는 과정은 빠르지도 쉽지도 않고, 조직 입장에서도 훨씬 더 많은 비용이 듭니다.

그렇다면 세상이 워터폴, 애자일, 그리고 이제는 DevOps로 바뀌고 있다면 해결책은 무엇일까요?그리고 개발자로서 이러한 접근 방식의 변화에 발맞추는 데 있어 어떤 역할을 하고 계신가요?

개발 기법은 끊임없이 진화하고 있지만 다행스럽게도 이 기술은 그렇게 큰 변화가 아닙니다.조직은 “DevOps”에 “Sec”를 넣기만 하면 됩니다... 그래서 DevSecOps가 탄생했습니다.DevSecOps의 주요 목표는 개발, 운영, 그리고 마지막으로 중요한 것은 보안 팀 간의 장벽을 허무는 것입니다.DevSecOps는 소프트웨어 엔지니어링 전략이자 소프트웨어 개발 라이프사이클 전반에 걸쳐 보안 자동화 및 모니터링을 옹호하는 문화가 되었습니다.

이것은 또 다른 조직 수준의 프로세스처럼 보일 수 있습니다. 빌드해야 할 기능 목록이 긴 개발자의 경우 “요리사가 너무 많은” 프로세스일 수도 있습니다.하지만 DevSecOps 방법론은 보안을 잘 아는 개발자들이 실제로 빛을 발할 수 있는 기회를 열어줍니다.

데브섹옵스의 밝은 미래

그렇다면 코더가 DevSecOps 엔지니어가 되고 싶어하는 이유는 무엇일까요?DevOps (또는 애자일) 에 대한 경험이 어느 정도 있지만 DevSecOps에 능숙해지기 위해 다음 단계로 나아가고 싶을 수도 있습니다.우선, 이는 비용이 많이 드는 사이버 공격으로부터 세상을 안전하게 만들기 위한 목적뿐만 아니라 매우 현명한 조치라는 점을 알아두는 것이 좋습니다.전문가들은 이렇게 말합니다. 에 대한 수요 유능한 사이버 보안 인력이 급증하고 끝이 보이지 않습니다.DevSecOps를 마스터하면 길고 수익성 높은 경력을 기대할 수 있습니다.

다양한 소프트웨어 기반 도구를 사용한 취약점 스캐닝과 같은 기존의 사이버 보안 전략과 달리 DevSecOps에는 코딩 시 보안을 구현하는 방법을 아는 사람이 필요하기 때문에 DevSecOps 엔지니어의 작업 보안은 훨씬 더 확실합니다.Booz, Allen, Hamilton의 애널리스트들은 블로그에서 다음과 같은 제목의 글을 남겼습니다. 데브섹옵스 도입에 관한 5가지 오해, 조직은 DevSecOps를 원하고 심지어 필요로 하지만 단순히 구매할 수는 없습니다.DevSecOps는 부서 간 팀이 전체 소프트웨어 개발 라이프사이클 동안 기술을 통합하고 협업할 수 있도록 하는 방법론입니다. 이를 위해서는 숙련된 인력, 변경 관리 및 여러 이해 관계자의 지속적인 노력이 필요합니다.

Booz, Allen, Hamilton에 따르면 기업은 릴리스 관리 소프트웨어와 같이 DevSecOps의 특정 측면을 지원하는 앱과 도구를 구매할 수 있지만 “실제로 이를 실현하는 것은 딜리버리 팀입니다.”DevSecOps가 제공하는 지속적인 개선과 문화 및 패러다임 변화를 주도하는 것은 바로 이들입니다.

조직은 실행 가능한 DevSecOps 프로그램을 “구매”할 수 없습니다. 보안 문화를 향상시키는 동시에 비즈니스에도 도움이 되는 다양한 도구, 사내 지식 및 지침을 사용하여 구축 및 유지 관리해야 합니다.쉽지는 않지만 불가능하지도 않습니다.

데브섹옵스 무브먼트를 마음껏 펼칠 수 있는 방법

DevSecOps 엔지니어가 되기 위한 첫 단계 중 하나는 일련의 기술인 동시에 문화이기도 하다는 것을 깨닫는 것입니다.이를 위해서는 작성하는 모든 코드의 일부로 보안을 구현하려는 의지와 코드를 작성할 때 보안 결함과 취약점을 적극적으로 찾아 프로덕션에 적용하기 훨씬 전에 수정하여 조직을 사전에 보호하려는 욕구가 필요합니다.대부분의 DevSecOps 엔지니어는 자신의 직업과 기술을 매우 중요하게 생각합니다.DevSecOps의 전문 조직도 마찬가지입니다. 선언문이 있습니다 그들의 신념을 진술합니다.

선언문은 다루기 힘든 편입니다. 선언문을 가볍게 읽을 수 있는 경우는 드뭅니다.하지만 핵심에는 모든 훌륭한 DevSecOps 엔지니어가 배워야 할 몇 가지 진실이 있습니다. 예를 들면 다음과 같습니다.

• 애플리케이션 보안 팀이 여러분의 동맹임을 깨달으세요.대부분의 조직에서 AppSec 전문가는 개발자와 의견을 달리합니다. 개발자들은 더 많은 작업을 위해 항상 완성된 코드를 돌려보내기 때문입니다.AppSec 팀도 개발자를 그다지 좋아하지 않는 경우가 많습니다. 일반적인 보안 버그를 도입하여 완성된 코드가 프로덕션에 도입되는 것을 지연시킬 수 있기 때문입니다.하지만 똑똑한 DevSecOps 엔지니어라면 보안팀의 목표가 궁극적으로 개발자 및 코더와 동일하다는 것을 깨닫게 될 것입니다.꼭 친한 친구가 될 필요는 없지만 차분하고 협력적인 업무 관계를 형성하는 것이 성공에 필수적입니다.
• 보안 코딩 기술을 연습하고 개선하세요. 앱이 아직 개발 중일 때 취약점을 발견할 수 있다면 이러한 허점을 없애는 것이 미래의 해커들을 막을 수 있습니다.물론 이를 위해서는 취약점에 대한 이해와 이를 해결하는 데 도움이 되는 도구가 모두 필요합니다. 시큐어 코드 워리어 블로그 페이지를 통해 가장 흔하고 위험한 취약점에 대한 통찰력을 얻을 수 있을 뿐만 아니라 지식을 테스트하기 위한 실용적인 조언과 과제도 얻을 수 있습니다.가장 중요한 점은 보안을 최우선으로 생각하고 기존 지식을 바탕으로 구축하는 데 도움이 되는 간단한 교육에 시간을 할애하는 것입니다.보안에 대한 개발자의 상호작용은 그다지 눈에 띄지 않고 심지어 부정적이기까지 합니다. 하지만 보안 분야의 기술 향상은 훌륭한 경력 이동이며 번거로울 필요는 없습니다.
• 기억하세요: DevSecOps 슈퍼스타는 조직의 긍정적인 보안 문화에 기여하고 있습니다. 내재된 문제에 관계없이 앱을 신속하게 제공하는 것과 같은 과거의 목표에 초점을 맞추는 대신 코드 개발 시 취약점을 찾아 해결하는 것을 최우선 과제로 삼는 것이 중요합니다.보안은 모든 사람의 업무로 간주되어야 하며, 효과적이고 매우 안전한 애플리케이션을 매번 배포함으로써 얻을 수 있는 칭찬과 보상을 모두가 공유해야 합니다.

보안 코딩 및 보안 모범 사례를 처음부터 옹호하고, 교육 솔루션을 추천하고, 모든 것이 원활하고 빠르게 진행되는 DevSecOps 세계에서 뒤쳐지는 코더가 없도록 함으로써 조직에서 놀라운 보안 문화를 조성하는 데 도움을 줄 수 있습니다.유일한 좋은 코드는 보안 코드이며, 숙련되고 보안을 잘 아는 개발자는 퍼즐의 중요한 부분입니다.개인적이고 전문적인 보상은 분명 그만한 가치가 있습니다. 매년 수십억 개의 개인 데이터 기록이 손상되고 계속 증가하고 있는 상황에서 우리는 여러분이 필요합니다.최전선에서 자신의 입지를 다지고 디지털 세상의 악의적인 공격자들로부터 방어하는 데 도움을 주세요.

마티아스 마두 박사는 의 CTO 겸 공동 설립자입니다. 시큐어 코드 워리어.그는 보안 전문가이자 오랜 개발자이며 포트나이트 중독자입니다.