소프트웨어 공급망 보안 SBOM(SPDX·CycloneDX)·NIST SSDF SP800-218·SLSA 4단계 레벨·Sigstore·Syft·SCA 도구 통합 전략
DevOps 파이프라인에 보안을 내재화하는 DevSecOps의 개념, Shift-Left 보안 전략, SAST·DAST·SCA 등 자동화 도구 연계, CI/CD 파이프라인 구성, 도입 시 고려사항을…
DevSecOps의 정의, Shift Left 원칙, CI/CD 파이프라인에서의 SAST·DAST·SCA·IAST 통합, 보안 자동화 게이트 구성을 기술사 모범답안으로 정리합니다.
SolarWinds·Log4Shell·XZ Utils 공급망 공격 사례, SBOM 구성요소와 SPDX/CycloneDX 표준, Snyk·Trivy SCA 도구 활용, SLSA 프레임워크 기반 CI/CD 보안 강화를 해설합니다.
1. DevSecOps 개요 DevSecOps(Development, Security, Operations)는 개발(Dev), 보안(Sec), 운영(Ops)을 하나의 프로세스로 통합하는 소프트웨어 개발 방법론입니다. 기존 DevOps 프로세스에서 보안(Security)을 중심에…