ITPE * JackerLab

개요SARIF는 소스코드 정적 분석 도구의 결과를 기계가 읽을 수 있는 JSON 포맷으로 통일하여 다양한 툴, IDE, CI 파이프라인에서 쉽게 분석 결과 공유, 시각화, 통합할 수 있도록 설계된 오픈 표준입니다. Microsoft가 제안하고 OASIS에서 표준화되어 GitHub, CodeQL, Semgrep 등 다양한 정적 분석 도구에서 지원됩니다.1. 개념 및 정의 항목 설명 비고 정의정적 분석 결과를 공유 및 재사용 가능하도록 표준화한 JSON 포맷OASIS(Open Standards) 공식 표준주요 목적툴 간 분석 결과 통합 및 CI/CD 연동 용이성 제공IDE, DevSecOps 플랫폼 통합 가능주요 대상정적 분석기(SAST), 보안 분석 도구, 코드 품질 도구GitHub Code Scann..

개요SAST(Static Application Security Testing)는 소스 코드, 바이트 코드 또는 애플리케이션의 중간 코드 상태에서 보안 취약점을 찾아내는 정적 분석 기법입니다. 이는 코드가 실행되기 전에 수행되며, 보안 결함을 조기에 식별하고 수정할 수 있도록 도와줍니다. DevSecOps의 핵심 요소로 부각되며, 소프트웨어 개발 초기 단계에서의 보안 강화를 목표로 합니다.1. 개념 및 정의 항목 설명 정의SAST는 정적 분석 도구를 이용해 코드 실행 없이 취약점을 찾아내는 보안 테스트 방식입니다.목적개발 초기 단계에서 보안 결함을 사전에 탐지 및 수정필요성비용 효율성과 보안 품질 향상을 동시에 실현 가능SAST는 개발 단계에서 Shift Left Testing을 실현하며, 개발자 친화적..

개요DevSecOps(Development + Security + Operations)는 소프트웨어 개발(Dev), 보안(Sec), 운영(Ops)을 통합하여 애플리케이션과 IT 인프라의 보안을 자동화하고 개발 속도를 유지하는 접근 방식입니다. 이를 통해 보안을 개발 및 운영 프로세스의 필수 요소로 포함하여 지속적인 보안 강화와 신속한 배포를 동시에 실현할 수 있습니다. 본 글에서는 DevSecOps의 개념, 핵심 원칙, 주요 도구, 장점, 활용 사례 및 도입 시 고려사항을 살펴봅니다.1. DevSecOps란 무엇인가?DevSecOps는 보안을 소프트웨어 개발 라이프사이클(SDLC)의 초기 단계부터 통합하여, 코드 배포와 동시에 보안 검사를 수행하는 방법론입니다. 이는 개발 속도를 저하시키지 않으면서도 보..