PCI-DSS 준수를 위한 11개 .NET API 병렬 DevSecOps 파이프라인 구축

Context

11개의 API가 포함된 .NET monorepo 구조에서 보안 검사 단계의 중복 빌드로 인한 파이프라인 지연 발생. PCI-DSS 컴플라이언스 충족을 위해 보안 검증이 단순한 체크포인트가 아닌 배포 프로세스 자체에 내재화된 구조 필요.

Technical Solution

• Build Once, Run Anywhere 전략을 통한 중복 컴파일 제거 및 GitHub Actions Artifact 저장소 기반의 아티팩트 공유 구조 설계
• GitHub Actions Matrix 전략을 활용한 11개 API의 병렬 빌드 및 보안 스캔 수행으로 전체 처리 시간 최적화
• CI 단계의 병목 방지를 위해 OWASP ZAP Baseline Scan을 PR 게이트로 설정하고, Full Active Scan은 별도 Cron Job으로 분리 운영
• Risk Code 2(Medium) 및 3(High) 발생 시 Exit Code 1을 반환하여 취약한 코드의 Protected Branch 머지 원천 차단
• YAML 파일 비대화(500라인 초과) 해결을 위한 Reusable Workflow 기반의 모듈형 파이프라인 리팩토링 적용
• PCI-DSS 감사 요구사항 충족을 위한 Slack 기반의 실시간 배포 및 롤백 이벤트 로깅 체계 구축