실습 목표1. 매니페스트 정적 분석 및 보안 취약점 사전 차단Kube-linter 연동: PyGoat 배포 YAML 파일 내 Privileged, Root 실행 권한 등 고위험 설정 자동 탐지Hardening 설정: securityContext를 통한 컨테이너 격리 및 권한 최소화(Least Privilege) 구현2. Admission Controller 기반의 정책 강제화 (PaC)Kyverno 정책 적용: 클러스터 배포 시점에 실시간으로 보안 정책을 검증하고, 규격 미달 리소스의 생성 원천 차단가드레일 구축: latest 이미지 태그 금지 및 필수 보안 라벨링(Labeling) 자동화3. 제로 트러스트 기반 동적 네트워크 격리Network Policy 설계: Default Deny 정책을 통한 마이..

실습 목표1주차에서 애플리케이션 코드와 보안을 확보했다면 2주차는 코드가 실행되는 환경(Container), 환경을 구축하는 명세서(IaC) 그리고 환경에 주입되는 민감 정보(Secret)을 보호하는데 집중한다. 1. 컨테이너 런타임 요새화 (Docker Hardening)공격 표면 최소화: Distroless 베이스 이미지를 적용하여 셸(Shell), 패키지 관리자 등 불필요한 OS 바이너리를 제거한 최소 실행 환경 구축권한 최소화 (Non-root): 컨테이너 내부 프로세스가 Root 권한이 아닌 별도의 비특권 계정으로 실행되도록 설정하여 컨테이너 탈출 공격 방어최종 무결성 검증 (Trivy): 빌드된 이미지 내 OS 패키지 취약점을 최종 스캔하여 배포 전 High/Critical CVE Zero ..

개념1. 자동화 (DevSecOps)의 필요성 수동으로 보안 도구를 실행할 때 발생하는 가장 큰 문제는 사람의 실수와 속도 저하이다.지속적 검증: 개발자가 바쁘거나 실수로 Gitleaks나 Snyk 실행을 건너뛰고 코드를 합치면, 그 순간 보안이 뚫린다.보안의 표준화: 모든 팀원이 동일한 보안 정책(예: 심각도 'High' 이상이면 배포 금지)을 강제 적용받도록 시스템화해야 한다.가시성 확보: 보안 검사 결과가 중앙(GitHub)에서 관리되어, 누구나 해당 코드가 안전한지 즉시 확인할 있다. 2. GitHub Actions 2-1 GitHub Actions이란단순한 자동화 도구를 넘어 CI/CD (지속적 통합 / 배포) 를 수행하는 엔진CI (Continuous Integration): 코드를 Push..

실습 목표 Secret Scanning: 소스 코드 내 민감 정보(API Key, Password) 노출 차단 [Gitleaks 이용]SAST (Static Application Security Testing): 코드 정적 분석을 통한 취약점 식별 [SonarQube 이용]SCA (Software Composition Analysis): 오픈소스 라이브러리 취약점 및 라이선스 점검 [snyk 이용]SBOM (Software Bill of Materials): 소프트웨어 구성 명세서 생성 및 이미지 서명 [syft&cosing 이용] 실습 1. PyGoat 설치 및 실행 1-1 PyGoat란 PyGoat는 OWASP Top 10 취약점을 학습할 수 있도록 의도적으로 보안 결함이 주입된 Django 기반..

프로젝트 개요프로젝트명 : PyGoat 기반 End-to-End DevSecOps 가드레일 자동화 플랫폼핵심 목표 : 취약한 앱(PyGoat)이 개발-빌드-배포-운영되는 전 과정에 보안 검증을 자동화하여 보안내재화 달성주요 특징 : Shift-Left(보안의 조기 적용) , Zero-Trust(최소 권한 및 격리), Compliance as Code(정책의 코드화) 프로젝트 흐름프로젝트는 소프트웨어 생명주기 (SLDC)에 따라 4개의 보안 게이트로 구성된다. 소프트웨어 생명주기 (Software Development Life Cycle) 주요 단계요구 사항 분석 - 설계 - 구현 - 테스트 - 배포 - 유지보수 [Gate 1] Code & Supply Chain (개발 및 공급망)역할: 소스 코드 작성..