보안 · 네트워크

/

보안

DevSecOps Basic (/w SAST)

DevSecOps 란 무엇인가? CI 빌드 환경 및 Build 시 자동으로 SAST 점검을 수행하는 환경 구성해보기

24명 이 수강하고 있어요.

CI/CDsastSonarQubeJenkinsgrafana
Thumbnail

입문자를 위해 준비한
[보안, 데브옵스 · 인프라] 강의입니다.

이런 걸
배워요!

  • DevSecOps란

  • DevSecOps Models

  • CI/CD Pipeline SAST 자동 점검 환경 구성

DevSecOps 라는 얘기는 많이 들었는데 도대체 뭐야?

DevSecOps 환경이란 무엇인지, 구축하기 위해서는 어떤 부분에 노력을 기울여야 하는지 목표를 설정할 수 있어요!

보안팀 입장에서 DevOps (CI/CD) 환경을 이용하고 싶은데 어디서부터 시작해야 할지 잘 모르겠는 분!

  • 여러 DevSecOps 기준을 통한 자체 평가 및 목표 설정 방안 제시

  • DevSecOps 환경 구성을 위한 오픈소스(Github, Jenkins, SonarQube 등)를 이용한 예제 환경 구성

학습 내용

  • DevSecOps 의 기본적인 내용과 실습 환경 구성을 위주로 제작되었습니다.

  • 섹션 1 : What is DevSecOps? , DevSecOps Models

  • 섹션 2 : CI 환경 구성과 CI 환경에서 SAST(Source Code 취약점 점검) 자동 점검 환경 구성하기

  • 섹션 3: 모니터링 방안

datadog

섹션 (1) DevSecOps Basic

DevSecOps 가 무엇이고 환경을 적용하기 위해서 어떻게 계획을 수립해야 하는지 확인해봅니다.

해외 여러 기업에서 제안한 DevSecOps의 모델을 확인하고 자체 평가 및 향후 계획을 제시합니다.

섹션 (2) CI & SAST

DevOps 환경에서 Sec를 적용하기 위해 SAST(Source Code 취약점 점검 도구) 자동 점검을 어떻게 구현해야 할지 실습을 통해 확인합니다.

  • 사용 도구 : Jenkins & Github

sast
grafana

섹션 (3) Monitor

SAST 자동 점검 이후 정상적으로 운영하기 위한 Monitoring 방안을 제시합니다.

  • 사용 도구 : Prometheus & Grafana

실습 환경

  • 운영 체제 및 버전(OS): Docker가 구동한 환경 ( Windows, Linux OSX, Mac 등)

  • 사용 도구: Docker Desktop

  • PC 사양: 총 5개의 Docker Image를 이용하여 실습 환경을 구성합니다. 5개 정도의 Docker Container가 동시에 구동되는 사양이라면 충분합니다

학습 자료

  • 강의 자료는 PDF를 통해 제공하며, 실습에 필요한 코드는 각 강의 첨부파일을 통해 제공드립니다.


선수 지식 및 유의사항

  • DevSecOps 환경 구축을 위한 CI/CD Pipeline 기반 SAST/DAST 취약점 점검 자동화 환경 구축 방안에 대해 주로 소개합니다.

  • SAST/DAST 에 대한 오탐률 감소 방안, 탐지 룰 고도화 등은 다양한 SAST/DAST 도구를 모두 다룰 수 없기에 자동화된 DevSecOps 환경 구성 기반을 목적으로 들어주시면 감사하겠습니다.
    - DevSecOps를 주제로 시리즈 형태의 강의를 계속 제작할 예정으로 오픈소스(ex. SonarQube, ZAP) 도구를 기반하여 오탐률 감소 혹은 탐지 룰 고도화에 대한 기본적인 내용은 추가 작성할 예정입니다.


이런 분들께
추천드려요!

학습 대상은
누구일까요?

  • 기업에서 DevSecOps 환경을 구축하고 싶은 분

  • DevSecOps 구축을 위한 방안 및 목표 설정을 위해 고민하고 계신 분

안녕하세요
taesun1114입니다.

커리큘럼

전체

23개 ∙ (3시간 19분)

수업 자료

가 제공되는 강의입니다.

강의 게시일: 
마지막 업데이트일: 

수강평

아직 충분한 평가를 받지 못한 강의입니다.
모두에게 도움이 되는 수강평의 주인공이 되어주세요!