National Institute of Standards and Technology (NIST) 획기적인 문서 초안을 공개하여 사이버 보안 관행을 강화하기 위한 중요한 조치를 취했습니다. 이 선구적인 가이드는 현재 디지털 환경에서 점점 더 중요해지고 있는 CI/CD(지속적 통합/지속적 배포) 파이프라인에 소프트웨어 공급망 보안 보호 장치를 통합하는 데 중점을 두고 있습니다.
클라우드 네이티브 애플리케이션 운영의 핵심은 마이크로서비스 아키텍처이며, 종종 서비스 메시와 같은 중앙 집중식 서비스 인프라와 결합됩니다. NIST 의 새로운 초안 문서는 이러한 애플리케이션 개발에서 DevSecOps의 중요성을 강조합니다. CI/CD 파이프라인은 소프트웨어 공급망을 미러링하는 프로세스인 빌드, 테스트, 패키지 및 배포와 같은 단계를 통해 소프트웨어를 조종하는 데 중추적인 역할을 합니다.
기술 생태계에서 문서 초안의 가치에 대해 이야기하면서 Endor Labs의 보안 연구원인 Henrik Plate는 문서 초안이 개발 조직에 어떻게 지침을 제공하는지 강조했습니다. Plate에서 눈에 띄는 점은 최소 권한 및 알 필요 원칙을 고수하면서 CI/CD 파이프라인 내에서 사용자 및 서비스 계정에 대한 역할 및 권한 부여를 결정하는 액세스 제어 조치에 대한 문서의 강조점이었습니다. 파이프라인 실행 중에 시스템과 서비스 전반에 걸쳐 이러한 수많은 인증을 관리하는 프로세스는 어려울 수 있지만 NIST 에서 제공하는 프레임워크는 큰 도움이 될 것으로 예상됩니다.
NIST 의 새로운 초안은 소프트웨어 개발, 배포 및 통합에 적극적으로 참여하는 공공 및 민간 부문 조직이 전체 소프트웨어 개발 수명주기(SDLC)에서 보안의 우선순위를 정하도록 촉발한 소프트웨어 취약성 및 공격에 대한 최근의 여러 평가에 대응합니다.
이 문서에서는 SSC(소프트웨어 공급망)의 보안이 빌드, 테스트, 패키지 및 배포와 같은 단계의 무결성에 달려 있다고 설명합니다. 결과적으로, 악의적인 위협 행위자뿐만 아니라 SDLC 중 실수와 감독으로 인해 취약점이 발생할 수 있습니다.
또한 초안 문서는 SDLC에서 SSC 보안에 필요한 막대한 단계를 구현하는 동안 발생할 수 있는 문제를 인정합니다. Plate가 지적한 것처럼 이 문서에서는 기본 비즈니스 프로세스와 운영 비용에 상당한 혼란이 있을 수 있다고 강조합니다.
NIST 초안은 Secure Software Development Framework (SSDF) 의 중요성을 강조합니다. SSDF는 본질적으로 BSA, OWASP 및 SAFECode와 같은 평판이 좋은 조직의 보안 소프트웨어 개발 문서를 기반으로 하는 일련의 견고하고 안전한 소프트웨어 개발 사례입니다.
흥미롭게도 초안은 소프트웨어 제공업체가 SSDF의 보안 개발 관행을 준수하고 있음을 입증하도록 하는 향후 자체 증명 요구 사항을 다루고 있습니다. 이는 특히 DevSecOps, CI/CD 파이프라인과 관련이 있으며 보안 측면에서 필요한 것으로 간주되는 사항도 정의합니다.
Plate가 제기한 중요한 우려 사항 중 하나는 소프트웨어 공급망을 강화하도록 설계된 Sigstore 및 in-toto와 같은 도구의 채택이 상대적으로 느리다는 것입니다.
초안은 조직이 결함 감지에만 집중하기보다는 오픈 소스 위험 관리에 전체적으로 접근하도록 권장합니다. 코드 품질, 기타 프로젝트 활동, 보안 및 운영 위험을 모두 줄이는 데 도움이 되는 위험 지표 등을 고려해야 합니다.
광범위한 청중을 대상으로 한 NIST 초안은 소프트웨어 업계의 실무자를 대상으로 합니다. 여기에는 보안 설계자 및 엔지니어와 함께 소프트웨어 엔지니어, 사이트 안정성 엔지니어, 제품 또는 프로젝트 관리자가 포함됩니다. 일반 대중은 2023년 10월 13일까지 초안에 대한 의견을 제공할 수 있습니다.
AppMaster 와 같은 no-code 플랫폼을 활용함으로써 기업은 CI/CD 파이프라인 내에서 데이터 보안을 강화하고 보안 소프트웨어를 제공하며 전체 소프트웨어 공급망 강화에 기여할 수 있습니다. 2023년 4월까지 60,000명 이상의 사용자를 보유한 AppMaster 플랫폼은 다양한 규모의 다양한 비즈니스를 위한 보안 지원 역할을 효율적으로 수행할 수 있으며, 이는 특히 NIST 초안 문서 게시와 관련된 맥락에서 중요합니다.
