[논문]오픈소스 취약점 점검 도구 및 종합 보안 메트릭 설계를 통한 DevSecOps 구축방안 연구

최영해; 노형준; 조성윤; 강한승; 김동완; 박수현; 조민재; 이주형

doi:10.13089/jkiisc.2023.33.4.699

초록
AI-Helper

DevSecOps는 DevOps의 짧은 개발과 운용주기에 대응하기 위해 DevOps의 운용절차에 보안절차를 추가한 개념이다. DevSecOps 구축 시 빠른 개발 및 배포 주기를 지원하면서 안정적으로 보안성을 제공하기 위해 여러 단계의 취약점 점검 절차가 고려되어야 한다. 각 점검 단계별 활용 가능한 여러 오픈소스 취약점 점검 도구들이 존재하고 있으나 도구들이 지원하는 기능이 다양하고 점검결과들이 상이해 통합 운용 시 보안성 수준 평가 및 정보의 중요도 파악에 어려움이 있다. 본 논문은 오픈소스를 활용한 DevSecOps 구축 시에 보안점검 단계별 활용 가능한 오픈소스 취약점 점검 도구의 조합과 점검결과에 대한 통합적인 보안메트릭 설계방안을 제안한다.

Abstract ▼ AI-Helper

DevSecOps is a concept that adds security procedures to the operational procedures of DevOps to respond to the short development and operation cycle. Multi-step vulnerability scanning process should be considered to provide reliable security while supporting rapid development and deployment cycle in...

DevSecOps is a concept that adds security procedures to the operational procedures of DevOps to respond to the short development and operation cycle. Multi-step vulnerability scanning process should be considered to provide reliable security while supporting rapid development and deployment cycle in DevSecOps. Many open-source vulnerability scanning tools available can be used for each stage of scanning, but there are difficulties in evaluating the security level and identifying the importance of information in integrated operation due to the various functions supported by the tools and different security results. This paper proposes an integrated security metric design plan for scurity results and the combination of open-source scanning tools that can be used in security stage when building the open-source based DevSecOps system.

주제어

표/그림 (9)

그림 Fig. 1. Security Architecture of DevSecOps
표 Table 1. Output Result of Open Source Scanner Tool
표 Table 2. Vulnerability Result Evaluation
그림 Fig. 2. Software Configuration of Developed DevSecOps
표 Table 3. Security Evaluation of Issue i
그림 Fig. 3. Security Architecture of DevSecOps
그림 Fig. 4. Security Dashboard
표 Table 4. Security Check Results of DVNA
표 Table 5. Security Check Results of DVNA

AI 본문요약
AI-Helper

문제 정의

코드에서 알려진 보안 이슈 및 취약점을 점검하는 단계로 주로 통합 개발 환경이나 빌드 도구에서 플러그인 방식으로 동작한다. PMD, DevSKim, FindSecBugs 등의 오픈소스가 있으며 자동적으로 사전에 설정된 보안 정책과 비교하여 위반 요소를 감지하고 보고한다.
본 논문에서는 점검 도구의 단계별 구분과 취약점 점검 결과에 대한 종합적인 보안 스코어링을 기반으로 오픈소스 취약점 점검 도구 기반의 DevSecOps 아키텍처를 제안하였다. 또한, 설계한 아키텍처를 기반으로 웹 기반의 DevSecOps 시스템을 구현해 DevOps와 보안요소를 효과적으로 연동하기 위한 세부적인 구현방안을 제시하였다.

가설 설정

와 같이 구현하였다. 보안 관리자를 사용자로 가정하였고, 사용자는 React JS로 구현한 웹 페이지에 접속하여 빌드, 보안점검 및 소프트웨어 배포를 수행하고 감시할 수 있다. 빌드부터 배포까지의 각 단계별 수행 결과는 웹페이지에서 시각적으로 제공된다.
취약점 점검을 위한 보안 단계 선택을 위해 최근 통합 개발 환경에 내장되는 ACR과 회사별 사내 보안정책에 의존하는 CaC를 제외한 SIS, SAST, DAST, SCA를 고려하였다. 프로젝트에 사용되는 프로그래밍 언어는 Python 및 JavaScript를 가정하였다. SIS 점검 도구로는 깃허브와 연동 가능한 GitGuardian과 gitLeaks를 선택했다.

제안 방법

본 논문에서는 점검 도구의 단계별 구분과 취약점 점검 결과에 대한 종합적인 보안 스코어링을 기반으로 오픈소스 취약점 점검 도구 기반의 DevSecOps 아키텍처를 제안하였다. 또한, 설계한 아키텍처를 기반으로 웹 기반의 DevSecOps 시스템을 구현해 DevOps와 보안요소를 효과적으로 연동하기 위한 세부적인 구현방안을 제시하였다. 본 논문에서 제안한 아키텍처와 구현예시를 통해 DevSecOps 구축자의 노력을 경감시킬 수 있기를 기대한다.
소프트웨어의 구성요소 중 사용중인 패키지, 라이브러리 및 오픈소스 등에 대한 의존성 점검을 수행한다. 오픈소스의 구성요소가 널리 사용된 것일수록 공격자에 의해 취약점이 발견되어 악용될 수 있는 가능성이 크기 때문에 높은 가중치가 적용된다.
취약점 점검을 위한 보안 단계 선택을 위해 최근 통합 개발 환경에 내장되는 ACR과 회사별 사내 보안정책에 의존하는 CaC를 제외한 SIS, SAST, DAST, SCA를 고려하였다. 프로젝트에 사용되는 프로그래밍 언어는 Python 및 JavaScript를 가정하였다.
오픈소스의 구성요소가 널리 사용된 것일수록 공격자에 의해 취약점이 발견되어 악용될 수 있는 가능성이 크기 때문에 높은 가중치가 적용된다. 패키지 관리, 소프트웨어 배포 전 라이센스 정보, 버전 정보 및 패치 상태를 확인하여 취약점에 대한 보안 이슈를 점검한다. OWASP Dependency-check,Dependabot, FOSSA 등의 오픈소스가 존재한다.

대상 데이터

프로젝트에 사용되는 프로그래밍 언어는 Python 및 JavaScript를 가정하였다. SIS 점검 도구로는 깃허브와 연동 가능한 GitGuardian과 gitLeaks를 선택했다. SAST 점검 도구로는 쿼리 기반의 보안점검이 가능하고 상세한 점검 결과를 제공하는 CodeQL을 사용하였으며 DAST와 SCA에는 가장 활발한 OWASP(Open Web Application Security Project) 프로젝트들 중 하나인 ZAP과 Dependency Check를 선택했다.

이론/모형

SIS 점검 도구로는 깃허브와 연동 가능한 GitGuardian과 gitLeaks를 선택했다. SAST 점검 도구로는 쿼리 기반의 보안점검이 가능하고 상세한 점검 결과를 제공하는 CodeQL을 사용하였으며 DAST와 SCA에는 가장 활발한 OWASP(Open Web Application Security Project) 프로젝트들 중 하나인 ZAP과 Dependency Check를 선택했다. 보안점검 도구들은 각각 도커 컨테이너로서 독립적으로 동작한다.

후속연구

과 같이 파이프라인 단위로 독립적인 보안점검 절차를 설정하는 기능을 구현하고 점검 단계별 사용되는 도구에 대한 그룹화와 발견된 이슈를 관리자 등의 사용자에게 신속하게 전파하는 기능이 구현되어야 한다. 또한, 개발 항목과 기능요소별 우선순위, 신속한 배포의 필요성 및 보안 점검 결과 등을 모두 고려한 보안정책을 실시간으로 수정하여 적용할 수 있는 가용성을 갖춰야 한다.
또한, 설계한 아키텍처를 기반으로 웹 기반의 DevSecOps 시스템을 구현해 DevOps와 보안요소를 효과적으로 연동하기 위한 세부적인 구현방안을 제시하였다. 본 논문에서 제안한 아키텍처와 구현예시를 통해 DevSecOps 구축자의 노력을 경감시킬 수 있기를 기대한다.

참고문헌 (12)

In-seok Jeon, "Integrated management？of DevOps in a non-disruptive？environment considering security,"？Journal of The Korea Institute of？Information Security & Cryptology,？25(1), pp. 47-52, Feb, 2015
Jin-Keun Hong, "Component Analysis？of DevOps and DevSecOps," Journal of？The Korea Convergence Society,？10(9), pp. 47-53, Aug. 2019

원문보기 상세보기
Moon-Hwan Kim and Kyung-Won Oh,？"DevSecOps for Military Robot SW？Development," Journal of the KNST,？5(2), pp. 122-127, Sep. 2022
Kang-Sik Shin, Dong-Jae Jung,？Min-Ji Choe, and Ho-Mook Cho, "A？Study on the Development and？Application of Efficient Evaluation？Criteria for Performance Testing of？Commercial Open Source Vulnerability？Scanning Tools," Journal of The Korea？Institute of Information Security &？Cryptology, 32(4), pp. 709-722, Aug.？2022
"CWE", https://cwe.mitre.org/, Accessed.Jul, 2023
"CVE", https://cve.mitre.org/, Accessed.Jul, 2023
"CVSS", https://nvd.nist.gov/vuln-metrics/,Accessed. Jul, 2023
Giovanni Bernardo, "DevSecOps pipelines improvement: new tools, false positive management, quality gates and rollback," Computer Engineering Department, Politecnico di Torino, Webthesis Libraries, 2022.
Kyung-Sung, "Web-Based Information Security Leveling Tool," Korea Society of Computer Information(KSCI),10(4), pp. 375-384, Sep. 2005
Joon-Seon Ahn, Ji-Ho Bang and Eun-young Lee, "Quantitative Scoring Criteria on the Importance of？Software Weaknesses," Journal of The Korea Institute of Information Security & Cryptology, 22(6), pp.1407-1417, Dec. 2012
Dong-Su Seo, "Definition of Security Metrics for Software Security-enhanced Development," Journal of Internet Computing and Services(JICS) 17(4),pp. 79-86, Aug. 2016
"DVNA", https://github.com/appsecco/dvna/, Accessed. Jul, 2023

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

오픈소스 취약점 점검 도구 및 종합 보안 메트릭 설계를 통한 DevSecOps 구축방안 연구
A Study on the Development of DevSecOps through the Combination of Open Source Vulnerability Scanning Tools and the Design of Security Metrics 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

표/그림 (9)

표/그림 (9)

AI 본문요약
AI-Helper

문제 정의

가설 설정

제안 방법

대상 데이터

이론/모형

후속연구

참고문헌 (12)

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

오픈소스 취약점 점검 도구 및 종합 보안 메트릭 설계를 통한 DevSecOps 구축방안 연구 A Study on the Development of DevSecOps through the Combination of Open Source Vulnerability Scanning Tools and the Design of Security Metrics 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

표/그림 (9) 모든 표/그림 보기

표/그림 (9) 슬라이드로 보기

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

가설 설정

제안 방법

대상 데이터

이론/모형

후속연구

참고문헌 (12)

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

오픈소스 취약점 점검 도구 및 종합 보안 메트릭 설계를 통한 DevSecOps 구축방안 연구
A Study on the Development of DevSecOps through the Combination of Open Source Vulnerability Scanning Tools and the Design of Security Metrics 원문보기

초록
AI-Helper

표/그림 (9)

표/그림 (9)

AI 본문요약
AI-Helper