시프트 레프트 보안을 살펴보기
shift-left 방식은 테스트 측면에서만 권장되는 것이 아닙니다. 동일한 아이디어가 보안 영역으로 확장됩니다. DevSecOps의 원칙은 연속 보안이라고도 하는 방식으로 DevOps의 모든 단계(계획 및 개발부터 시작)에 보안을 통합하는 것의 중요성을 전달하기 위한 것입니다. 샘플 시나리오에 설명된 조직은 이러한 원칙을 무시하는 것이 미치는 영향을 잘 알고 있습니다. 이 단원에서는 보안에 대한 이동-왼쪽 접근 방식의 의미와 이를 구현하는 권장 방법을 검토합니다.
shift-left 보안이란?
Shift-left 보안의 일부를 보여 주는 
보안 컨텍스트에서 shift-left는 가능한 한 소프트웨어 수명 주기 프로세스 초기에 보안 활동을 도입하는 것으로 변환됩니다. 이는 잠재적인 향후 위협을 식별하고, 위험을 평가하고, 완화 전략을 정의하기 위해 위협 모델링을 사용하여 소프트웨어 디자인에 보안을 통합하는 것부터 시작합니다. 이 프로세스는 코드 검토 및 자동화된 보안 테스트와 같은 다양한 보안 관련 활동을 구현하여 소프트웨어 개발 전반에 걸쳐 계속됩니다. 코드 검토에는 보안 중심 평가, 보안 결함 대상 지정, 코딩 표준 준수 및 잠재적 취약성이 포함되어야 합니다. 자동화된 보안 테스트에는 CI/CD(지속적인 통합/지속적인 배포) 파이프라인에 통합된 SAST(정적 애플리케이션 보안 테스트), DAST(동적 애플리케이션 보안 테스트) 및 SCA(소프트웨어 컴퍼지션 분석)와 같은 작업이 포함됩니다.
지속적인 보안의 일부인 지속적인 모니터링은 shift-left 방식에 적합한 또 다른 요소입니다. 구현에는 개발 시작부터 로깅, 모니터링 및 인시던트 대응 메커니즘을 적용하는 작업이 포함됩니다.