Professional Documents
Culture Documents
Content WhitepaperDevSecOpsMaturityModelKO 1
Content WhitepaperDevSecOpsMaturityModelKO 1
DevSecOps の
성숙도 모델
조직의 DevSecOps 관행을 평가하고
발전시키기 위한 청사진 .
datadog.com
DevSecOps 성숙도 모델 2
목차 요약 3
1
리더가 답해야 할 DevSecOps 관련 핵심 질문 세 가지 に関 する 4
2
DevSecOps 성숙도 모델 6
3
DevSecOps 여정을 위한 나침반 11
4
DevSecOps 의 비즈니스 가치 14
5
시작하기 16
저자 16
Datadog 소개 17
부록 : 세부 성숙도 모델 18
datadog.com
DevSecOps 성숙도 모델 3
datadog.com
DevSecOps 성숙도 모델 4
전문가
고급
추구하는�목적지
중급
1차적�목적지
초급
현재�위치
1
https://martinfowler.com/bliki/MaturityModel.html
datadog.com
DevSecOps 성숙도 모델 5
방법
당사의 기술 지원팀은 고객과의 긴밀한 협력을 통해 조직의 DevSecOps 관련 혁신을
지원합니다 . 또한 DevOps( 이제는 DevSecOps) 관행 개선과 관련하여 14,000 개
이상의 회사를 지원해오면서 10 년 이상 축적된 경험을 보유하고 있습니다 . 이
과정에서 다양한 수준의 DevSecOps 성숙도를 접할 수 있었고 , 각 회사마다의 발전
경로를 관찰했습니다 . 당사는 이러한 고객 경험을 바탕으로 효율적인 발전 경로를
추려낸 다음 모든 조직의 성공을 위해 DevSecOps 성숙도 모델을 고안했습니다 .
DevOps 와 DevSecOps 의 차이
DevOps 는 개 발 팀 (Dev) 과 운 영 팀 (Ops) 간 의 공 동 작 업 과 공 동 책 임 을
장려함으로써 소프트웨어 작성 및 실행 속도와 품질을 개선할 목적으로 10 여 년 전에
처음 등장했습니다 . 많은 조직이 여전히 DevOps 여정을 진행 중이며 , 그 속도와
성공의 정도는 천차만별입니다 .
DevOps 팀 의 발 전 속 도 가 빨 라 짐 에 따 라 다 음 과 같 은 두 가 지 어 려 움 이
대두되었습니다 . (1) DevOps 팀의 주요 관심사는 보안이 아닌 소프트웨어의 기능
및 성능적 특성이기 때문에 보안 문제는 간과되며 , (2) 보안팀이 ( 갈수록 빠르게
발전하는 ) DevOps 팀과는 동떨어진 채 여전히 별개의 툴 , 문화 및 프로세스를
사용하는 사일로에 남아있기 때문에 보안은 병목 현상을 낳거나 무시됩니다 .
datadog.com
DevSecOps 성숙도 모델 6
전 전한
보
스
안
모 협
�스
위
�평
송
델
캔
가
SEC
배
발
코 전한
보 치
안
리
패
개
계
안
딩
릴
획
DEV OPS
코 안
드
보
빌
로
영
서
감 안
드
의
보
운
사
트
스
SA
사 지털
ST
디
인
링
보 석
모 안
터
안
분
보
니
DA
트
ST
펜
스
테
datadog.com
DevSecOps 성숙도 모델 7
– 초 급 : 이 단 계 는 DevSecOps 여 정 의 시 작 을 나 타 냅 니 다 . 공 유 와 협 업 을
강조하는 문화와 사고방식의 변화를 기술 분야 전반에서 이루어내는 것과 하나의
팀으로서 성과를 개선하려는 열망을 공유하는 것이 무엇보다 중요합니다 . 이것이
DevSecOps 의 토대입니다 .
역량 요소
DevSecOps 성숙도 모델에서 다루는 6 가지 핵심 역량은 다음과 같습니다 .
datadog.com
DevSecOps 성숙도 모델 8
모델ル
아래 매트릭스에서 6 가지 역량 영역 각각은 몇 가지 개별 역량을 포함하며 , 그 중
최소 2 개는 보안 관련 역량에 해당합니다 . 각 역량은 4 단계의 성숙도 수준 , 즉 초급 ,
중급 , 고급 및 전문가로 구분됩니다 .
datadog.com
DevSecOps 성숙도 모델 9
역량 초급 중급 고급 전문가
– 검증되지 않음
빌드 및 테스트 – 수동 테스트 – 부분적 테스트 자동화 – 높은 수준의 테스트 – 완벽한 테스트 자동화
– 코드 스캔 없음 – 일부 코드의 스캔 자동화 – 포괄적 동적 코드
– 빌드 / 서명 검증 없음 – 부분적 빌드 / 서명 – 동적 코드 스캔 스캔
datadog.com
DevSecOps 성숙도 모델 10
역량 초급 중급 고급 전문가
– 수동 확장 계획 용량 계획 – 세분화된 사용량
– 부분적 자동 확장 – 본격적 자동 확장 동향 / 예측을
– 단일 가용성 영역 기반으로 한 용량
– 카오스 테스트 또는 – 다중 가용 영역 / 지역 – 멀티 클라우드 계획
레드팀 활동 없음 – 기본적 카오스 테스트 공급자 / 고가용성
– 포괄적 자동 확장
– 열악한 패치 위생 또는 레드팀 활동 – 본격적 카오스 테스트
및 레드팀 활동 – 멀티 클라우드
– 재해 복구 전략 없음 – 기본적 패치 위생 공급자 / 최고 수준의
– 기본적 DR 전략 – 신속한 패치 가용성
– 포괄적 DR 전략 – 지속적 카오스 테스트
및 레드팀 활동
– SLA 패치
– DR 계획의 주기적
테스트
datadog.com
DevSecOps 성숙도 모델 11
1 단계 : 조직의 현재 성숙도를 평가
역량별�성숙도
문화
관찰�및�대응 계획�및�개발
종합적�성숙도
전문가 운영 빌드�및�테스트
고급
중급
초급
릴리스�및�배포
datadog.com
DevSecOps 성숙도 모델 12
초급 중급 고급 전문가
문화
계획 및 개발
빌드 및 테스트
릴리즈 및 배포
운영
관찰 및 대응
종합적 성숙도
발 전 은 점 진 적 으 로 일 어 납 니 다 . 12 개 월 이 라 는 시 간 동 안 종 합 적 성 숙 도 를 한
단계라도 끌어올렸다면 이는 대단한 일입니다 . 수행해야 할 작업량에 따라 , 리더는
중간 목표들로 채워진 장기적 계획을 세워야 할 수도 있습니다 .
datadog.com
DevSecOps 성숙도 모델 13
초급 중급 고급 전문가
문화 2 분기 소유자 3 분기
계획 및 개발 1 분기 소유자 2 분기
빌드 및 테스트 2 분기 소유자
릴리즈 및 배포 2 분기 소유자 3 분기
운영 1 분기 소유자 2 분기
관찰 및 대응 1 분기 소유자 2 분기
종합적 성숙도 3 분기
datadog.com
DevSecOps 성숙도 모델 14
네 가지 주요 가치 동인
성숙도 모델에 기반한 DevSecOps 관행을 채택한 조직은 다음 네 가지 주요 동인을
통해 비즈니스 가치를 실현합니다 .
1. 더 빠 르 고 민 첩 한 딜 리 버 리 와 출 시 기 간 단 축 : DevSecOps 는 조 직 이
애플리케이션을 시장에 더 빨리 출시하고 수익을 좌우하는 애플리케이션의 릴리즈
주기를 단축함으로써 수익을 보호하고 증대할 수 있도록 해줍니다 . DevOps
워크플로우에 보안을 통합함으로써 잠재적인 병목 현상을 제거하고 , 조직의
효율성과 민첩성을 가속합니다 .
datadog.com
DevSecOps 성숙도 모델 15
메트릭 비용 고객 수익
운영 및 개발 비용 절감 릴리즈 주기 엔지니어의 사고
해결 소요 시간
개발 및 품질보증
환경에서 식별된 결함을 식별 , 재현
문제 및 문서화하는 데
필요한 품질관리
사고 / 가동중단
시간
개발자 대기 시간
인프라 오버
프로비저닝
datadog.com
DevSecOps 성숙도 모델 16
기 술 리 더 는 위 의 메 트 릭 을 사 용 하 여 조 직 의 DevSecOps 여 정 을 측 정 할 수
있으며 , 해당 메트릭을 반드시 측정해야 합니다 . 이러한 메트릭은 조직 전체의 진행
현황을 파악하고 성숙도 곡선을 따라 나아가는 데 필요한 투자를 정당화기 위해 꼭
필요합니다 .
조 직 의 DevSecOps 여 정 에 첫 발 을 내 딛 을 수 있 도 록 약 10 분 이 소 요 되 는
DevSecOps 자체 평가 도구 를 사용해 테스트해 볼 것을 권해드립니다 .
datadog.com
DevSecOps 성숙도 모델 17
datadog.com
DevSecOps 성숙도 모델 18
부록 :
세부 성숙도 모델
datadog.com
DevSecOps 성숙도 모델 19
1. 문화
역량 초급 중급 고급 전문가
datadog.com
DevSecOps 성숙도 모델 20
2. 계획 및 개발
역량 초급 중급 고급 전문가
datadog.com
DevSecOps 성숙도 모델 21
3. 빌드 및 테스트
역량 초급 중급 고급 전문가
코드 스캔 취약한 코드의 패키징을 취약한 코드의 패키징을 취약한 코드의 패키징을 취약한 코드의 패키징을
방지하기 위해 커밋된 방지하기 위해 일부 방지하기 위해 일부 방지하기 위해 모든
코드를 스캔하지 않음 . 코드를 스캔함 . 커밋된 코드를 대상으로 커밋된 코드를 대상으로
동적 코드 스캔 ( 예 : 동적 코드 스캔 ( 예 :
동적 애플리케이션 보안 동적 애플리케이션 보안
테스트 또는 DAST) 을 테스트 또는 DAST) 을
수행함 . 수행함 .
datadog.com
DevSecOps 성숙도 모델 22
4. 릴리즈 및 배포
역량 초급 중급 고급 전문가
datadog.com
DevSecOps 성숙도 모델 23
5. 운영
역량 초급 중급 고급 전문가
플랫폼 관리 무질서한 방식의 인프라 구성이 인프라 구성이 완전하게 인프라 관리가 구성
구성 관리 및 배포용 부분적으로 코드 코드 저장소에 커밋되며 관리 / 오케스트레이션
템플릿의 부재 . 저장소에 커밋되며 일부 대부분의 프로세스가 툴을 통해 진행되고
프로세스는 수동으로 자동으로 진행됨 . 코드 저장소에 커밋됨 .
진행됨 .
신뢰성 프로덕션 환경이 단일 프로덕션 환경이 다수의 프로덕션 환경이 고가용성 프로덕션
클라우드 공급자 리전 가용 영역 및 / 또는 다수의 가용 영역 / 환경이 다수의
또는 가용 영역에서 리전에 걸쳐 구동됨 . 리전 , 멀티클라우드에 가용 영역 / 리전 ,
구동됨 . 걸쳐 구동됨 . 멀티클라우드에 걸쳐
구동됨 .
datadog.com
DevSecOps 성숙도 모델 24
6. 관찰 및 대응
역량 초급 중급 고급 전문가
데이터 모델 및 액세스 데이터 간의 연관성이 일부 데이터 세트는 메타데이터 모델을 태그나 라벨 시스템으로
없으며 , 개별 팀 소유의 공통이지만 연관 , 검색 갖추고 대부분의 팀에서 모든 팀에서 활용이
분리된 시스템으로 및 필터링이 어려움 . 활용이 가능한 공통 가능한 성숙한
수집되고 공유되지 빈번한 컨텍스트 전환 . 데이터 플랫폼 . 메타데이터 모델 .
않음 .
사고 관리 사고 탐지 및 수정 사고 탐지 및 수정 사고 탐지 및 수정 사고 탐지 및 수정
시간이 지나치게 길고 시간이 개선 중이지만 시간이 짧으며 시간이 매우 짧으며
정확하게 알려지지 정확하게 측정되지 대략적으로 측정됨 . 철저히 측정됨 .
않음 . 않음 .
datadog.com