ํผ๋๋ก ๋์๊ฐ๊ธฐ
Dev.toSecurity
์๋ฌธ ์ฝ๊ธฐ
SAST์ DAST ๊ฒฐํฉ์ ํตํ DevSecOps ํ์ดํ๋ผ์ธ์ ๋ค์ธต ๋ณด์ ์ฒด๊ณ ๊ตฌ์ถ
๐ SAST vs DAST: Complete Guide to Application Security Testing in DevSecOps
AI ์์ฝ
Context
์ ํ๋ฆฌ์ผ์ด์ ๋ณต์ก๋ ์ฆ๊ฐ์ ๋ฐ๋ผ ์ ํต์ ์ธ ์ฌํ ๋ณด์ ๊ฒํ ๋ฐฉ์์ ํ๊ณ ๋ฐ์. CI/CD ํ์ดํ๋ผ์ธ ๋ด ๋ณด์ ํตํฉ์ ํตํ DevSecOps ๊ตฌํ ํ์์ฑ ์ฆ๋.
Technical Solution
- White-box ํ ์คํธ ๊ธฐ๋ฐ์ SAST๋ฅผ ํตํ ์์ค ์ฝ๋ ๋ฐ ๋ฐ์ด๋๋ฆฌ ๋จ๊ณ์ SQL Injection, XSS ๋ฑ ์ทจ์ฝ์ ์กฐ๊ธฐ ์๋ณ
- Black-box ํ ์คํธ ๊ธฐ๋ฐ์ DAST๋ฅผ ํตํ ๋ฐํ์ ํ๊ฒฝ์ ์๋ฒ ์ค์ ์ค๋ฅ ๋ฐ ์ค์ ๊ณต๊ฒฉ ์๋ฎฌ๋ ์ด์ ์ํ
- SAST๋ฅผ ๊ฐ๋ฐ ๋จ๊ณ์ ๋ฐฐ์นํ์ฌ ์ฝ๋ ์์ ๋น์ฉ ์ต์ํ ๋ฐ Secure Coding ๊ฐ์
- DAST๋ฅผ ๋น๋ ๋ฐ ๋ฐฐํฌ ์ดํ ๋จ๊ณ์ ๋ฐฐ์นํ์ฌ ๋ฐํ์ ๋ณด์ ํ์ ๋ณด์
- SonarQube์ OWASP ZAP๋ฅผ CI/CD ํ์ดํ๋ผ์ธ์ ํตํฉํ์ฌ ์๋ํ๋ ๋ณด์ ๊ฒ์ฆ ๋ฃจํ ์ค๊ณ
- ์ ์ ๋ถ์๊ณผ ๋์ ๋ถ์์ ์ํธ ๋ณด์์ ๋ฐฐ์น๋ฅผ ํตํ ๋ณด์ ํ์ง ๋ฒ์ ๊ทน๋ํ
์ค์ฒ ํฌ์ธํธ
1. ์์ค ์ฝ๋ ๋ ๋ฒจ์ ์ทจ์ฝ์ ์ ๊ฑฐ๋ฅผ ์ํด Git Push ๋จ๊ณ์ SAST ์ค์บ ์๋ํ ์ ์ฉ
2. ๋ฐฐํฌ ํ๊ฒฝ์ ๋ฐํ์ ๋ณด์ ๊ฒ์ฆ์ ์ํด Staging/Production ๋จ๊ณ์ DAST ์ค์บ ๊ตฌ์ฑ
3. ๊ฐ๋ฐ ์์ฐ์ฑ์ ์ํด SAST ์ฐ์ ์ ์ฉ ํ DAST๋ก ์ต์ข ๊ฒ์ฆํ๋ ๊ณ์ธต์ ํ์ดํ๋ผ์ธ ์ค๊ณ
4. OWASP ZAP ๋ฑ ์คํ์์ค ๋๊ตฌ๋ฅผ ํ์ฉํ Baseline ์ค์บ ์ฒด๊ณ ๊ตฌ์ถ