Gitlab 밋업

강재민·2022년 11월 30일
0

Gitlab

목록 보기
4/6
post-thumbnail
post-custom-banner

1시간정도 데브섹 옵스에 대해서 이야기하고 잠깐 쉬었다가 깃랩의 서비스 소개를 해줄 것이라고 하심

기초적인 내용은 하지 않고 데브 섹 옵스를 하기 위한 방법론이 될것이다.


보안을 겸한 파이프라인이 어떤 모습일지 알려줄 예정 그리고 gitlab에서 그걸 어떻게 할것인지 데모를 줄 예정이라고 하심


소프트웨어의 생산성이 좋아지는 상태가 되었고 그 세부사항으로 배포가 좋아지고 소프트웨어를 자주 출시하게되었고 협업이 좋아지게 되었다.


워터풀 형태의 모델을 많이 하는데 마지막에 끝나지 않는 주기를 만들 수 있는 상황이 항상 있었다. 그래서 버퍼를 두고 개발을 하고 실

2번째 모델은 DoD를 해서 조금 더 작동되면 두 번째

애자일이 완전히 돌아가게되면 스프린트주기마다 처리해야할 일들이 적어지면서 반복적으로 배포가 가능

나중에는 그런 일들이 완전히 없어지면서 지속적으로 배포가 가능해진다고 함

이렇게 되면서 개발자가 멀티플레이어를 할 수 있는 형태로 점점 발전되어가고 있다고 한다.


나중에 할일들을 당겨서 쉬프트 레프트




아래 서베이 링크
https://about.gitlab.com/developer-survey/

오픈소스를 많이 쓰는데 그 와중에 보안을 어떻게 할것인가가 중요해지고있다고함


https://holisticsecurity.io/

dast는 url에 공격을 하는 형태가 있고



CI파일


이 스캔한 결과를 어떤 담당자한테 맡길지 작업할 수 있다.


결과를 다운로드해서 보면

이런식으로 해서 관리하는 루프를 만들 수 있다고 하심

소프트웨어 개발 초기에 하드코딩을 하면서 이런 실수가 생길 수 있는데 이런 단순한부분을 자동으로 찾아내줌 물론 무시가 가능함 무시를 하고나면 해당 지점을 자동으로 찾아가는 기능은 사라짐

merge request를 하면서 자동으로 보안 취약점 검사를 빠르게 진행할 수 있다고 하심

해당 컴포넌트들이 사용한 오픈소스들의 버전에 따른 보안검사를 계속해서 할 수 있음

SCA라는 부분이 많이들 놓치고있는 보안 사항이라고함

지금까지 정적인 부분에 대한 분석을 보았음


지금부터 동적인 분석에 대해서 보자
엔드포인트가 있는 것에 대해서 분석을 하게 됨


요 웹사이트로 보안검사를 하게 되고 결과를 보면 아래 그림

와스프라는 단체에서 하는 보안 취약성 검사를 모두 하게되고 그 결과를 JSON파일로 나온다고 핫미

어떤 요청이 있었고 어떤 결과가 나왔고

관련된 링크는 무엇이고 어떻게 해결할 수 있는지에 대해서 알려주게 된다.

무작위로 코드 또는 데이터를 입력값에 집어 넣는다고 하심

결과물을 보면

퍼지형태를 많은양의 데이터로 할건지 적은 양의 데이터로 할건지 세팅을 해놓고 파이프라인을 돌리게 되면


이렇게 무작위로 넣어보니

서버가 죽었다 라고하면 이정도로 서버가 죽은거면 항상 공격당할 확률이 있다는 것이다.

미래에 발생될법한 일들을 미리 검사해보고 해결해놓았을 경우 이후에 문제가 생기기 전에 조기에 해결할 수 있다.

데브섹옵스를 할 수 있는 템플릿을 제공해준다고 하심

gitlab ci를 하기위해 공부해야할 것들이 많지만 오토 데브옵스를 하게된다면 ci작업에 대한 내용이 없다.

이런식으로 자동으로 데브옵스를 오토로 만들어준다.

프로젝트에서 발생된 전체 취약점을 관리할 수 있다.

무시할건지 해결할건지는 선택하고




새로운 기능 소개

개발자와 엔지니어를 편리하게 해줌

남용률도 세부적으로 설정할 수 있음.

https://insight.infograb.net/blog/2022/10/25/gitlab-15-5-release-note/

https://slides.app.goo.gl/DDDqq

post-custom-banner

0개의 댓글