sbom 2
DevSecOps 파이프라인 통합 실전 - Trivy·SBOM·Cosign·OPA·Vault·SIEM을 한 줄의 PR에 연결하기

들어가며지난 글들에서 보안·프라이버시 7개 층을 하나씩 다뤘습니다. OWASP·SBOM·Secrets·Zero Trust·런타임 탐지·SIEM/SOAR·데이터 프라이버시까지. 도구도 알고, 원칙도 정리했습니다. 그런데 여기서 가장 흔한 실패가 일어납니다. 좋은 도구를 깔았지만 매일의 빌드·배포 흐름에 녹지 않는 것입니다.2025년 Snyk State of DevSecOps 보고서는 "보안 도구를 도입했지만 PR 단계에서 자동 검증되지 않는 조직이 73%"라고 보고했고, GitLab Global DevSecOps Report 2025는 "개발자가 보안 결과를 30분 이내에 받지 못하면 통합 실패율이 5배 증가"한다고 보고했습니다. 즉, 한 줄의 PR에서 모든 통제가 자동으로 작동해야 비로소 운영의 일부가 ..
최신 트렌드 2026.04.25

SBOM과 Sigstore 실전 - 공급망 공격 시대의 A08 방어선 구축

들어가며지난 #131 OWASP 가이드에서 Dependency-Check와 ZAP으로 A01~A07을 어느 정도 닫았습니다. 남은 것이 A08 - Software & Data Integrity Failures, 즉 공급망(supply chain) 공격입니다.2024년 xz-utils 백도어, 2025년 Nx npm 대규모 토큰 유출, 그리고 Axios 공급망 공격까지 최근 2년간 굵직한 사고는 대부분 "코드가 문제가 아니라 우리가 당겨온 라이브러리가 문제"였습니다. Dependency-Check로도 안 잡히는 제로데이·타이포스쿼팅이 실제 전선입니다.막는 방법은 두 축입니다.SBOM(Software Bill of Materials) - 우리 빌드 산출물에 뭐가 들어갔는지 기계가 읽을 수 있는 형태로 기록S..
최신 트렌드 2026.04.23
1
더보기

티스토리툴바