ITPE * JackerLab

개요Secrets Scanning은 소스코드, 구성파일, 로그 등에 포함된 API 키, 비밀번호, 토큰 등의 민감 정보(Secrets)를 자동으로 탐지하고 차단하는 보안 기법이다. Git 기반 협업이 일반화된 현대 개발 환경에서, 무심코 커밋된 비밀 값이 보안 사고로 이어질 수 있어, 예방 차원에서 필수적인 보안 관행으로 자리 잡고 있다.1. 개념 및 정의 항목 내용 정의코드 저장소 및 파일에서 노출된 민감 정보를 탐지하고 경고하는 자동화 보안 기법목적인증 정보 유출 예방, 사고 발생 전 조기 대응탐지 대상API 키, 클라우드 인증서, DB 비밀번호, OAuth 토큰, SSH 키 등GitHub, GitLab, Bitbucket 등은 자체적인 Secrets Scanning 기능을 내장하고 있으며, 사전 ..

개요SSDF(Secure Software Development Framework)는 소프트웨어 개발 생명주기(SDLC) 전반에 걸쳐 보안 원칙과 요구사항을 체계적으로 통합하기 위한 지침 및 최선의 관행을 정의한 프레임워크입니다. 미국 NIST(National Institute of Standards and Technology)가 제안한 SSDF는 개발 단계부터 배포, 유지보수에 이르기까지 **보안을 내재화(Shift Left)**하여 사이버 위협에 강한 소프트웨어를 구축하는 것을 목표로 합니다.1. 개념 및 정의 항목 설명 정의소프트웨어 개발 프로세스에 보안 기능을 체계적이고 일관성 있게 적용하기 위한 프레임워크목적소프트웨어 제품의 보안 품질 향상 및 사이버 공격 표면 최소화필요성공급망 공격, 제로데이..

개요IAST(Interactive Application Security Testing)는 애플리케이션이 실행 중인 상태에서 내부 코드 흐름과 입력 데이터를 실시간으로 분석하여 보안 취약점을 탐지하는 하이브리드 보안 테스트 방식입니다. 이는 SAST와 DAST의 장점을 결합한 형태로, 동적 분석 중 코드 수준의 상세 정보를 확보할 수 있어 정확하고 실시간 대응이 가능합니다. DevSecOps 환경에서 지속적인 보안 검증을 위한 핵심 기법으로 주목받고 있습니다.1. 개념 및 정의항목설명정의IAST는 실행 중인 애플리케이션 내부에서 코드 실행 흐름과 사용자 입력을 동시에 분석하여 보안 취약점을 탐지하는 기술입니다.목적정확한 취약점 식별과 개발 환경에서의 실시간 피드백 제공필요성SAST와 DAST의 한계를 보완..

개요SAST(Static Application Security Testing)는 소스 코드, 바이트 코드 또는 애플리케이션의 중간 코드 상태에서 보안 취약점을 찾아내는 정적 분석 기법입니다. 이는 코드가 실행되기 전에 수행되며, 보안 결함을 조기에 식별하고 수정할 수 있도록 도와줍니다. DevSecOps의 핵심 요소로 부각되며, 소프트웨어 개발 초기 단계에서의 보안 강화를 목표로 합니다.1. 개념 및 정의 항목 설명 정의SAST는 정적 분석 도구를 이용해 코드 실행 없이 취약점을 찾아내는 보안 테스트 방식입니다.목적개발 초기 단계에서 보안 결함을 사전에 탐지 및 수정필요성비용 효율성과 보안 품질 향상을 동시에 실현 가능SAST는 개발 단계에서 Shift Left Testing을 실현하며, 개발자 친화적..