🔭더 안전한 CI/CD 파이프라인 만들기 - SLSA 표준

안녕하세요 구독자님, DevOps 소식과 기술 지식을 정리해서 공유해드리는 DevOps 여행을 위한 소식지입니다.

오늘날 수많은 기업과 조직에서 효율적인 개발 프로세스를 위해 CI/CD를 도입하는 경우가 많습니다. CI/CD 파이프라인으로 개발 이후의 코드 통합과 배포를 자동화하면 애자일한 개발이 가능하지만, 이런 파이프라인 내부에 보안 취약점이 존재한다면 심각한 보안 사고로 이어질 수도 있겠죠.

그래서 2023년 4월, Google에서 소프트웨어 공급 프로세스의 보안 기준을 제시했는데요. 바로 SLSA(Supply-chain Levels for Software Artifacts)입니다.

🛡️SLSA의 보안 수준 4단계

SLSA는 소프트웨어 산출물(Software Artifacts)을 공급하는 프로세스(Supply Chain)의 보안 수준(Levels)을 4단계로 정의한 표준인데요. SLSA의 단계는 보안 준수 정도에 따라 Build L0부터 Build L3까지 나눠집니다. SLSA의 특정 단계를 준수하고 있다는 것은 그만큼의 보안 조치를 취하고 있음을 알리는 것이죠.

SLSA에서 정의한 보안 수준 4단계를 간략히 소개하면 아래와 같습니다.

🔎SLSA에서 정의한 CI/CD 파이프라인 대상 위협과 개선방안

SLSA에서는 CI/CD 프로세스가 받을 수 있는 보안 위협도 위 그림과 같이 8가지로 정의했습니다. 그림에 표시된 각 위협과 개선방안을 살펴보면 아래와 같습니다.

🔭마치며...

지금까지 SLSA와 SLSA에서 정의한 CI/CD 프로세스 대상 위협과 개선방안에 대해 살펴봤는데요. 이런 소프트웨어 공급 프로세스에 대한 위협은 프로세스를 통해 만들어진 패키지를 공격자의 의도대로 악용할 수 있도록 무단 수정하는 방식이 대부분이었습니다.

그렇기 때문에 SLSA 표준에서는 패키지가 어디서 어떻게 빌드되었는지 그 기원을 기록한 Provenance를 중요하게 여기고 있는 것으로 보이는데요.

만약 여러분이 개발하고 있거나 운영 중인 CI/CD 파이프라인의 보안을 개선하고 싶으셨다면, SLSA의 가이드를 참고해봐도 좋을 듯합니다.

혹시 이번 내용 관련해서 더 궁금한 점이 있으시다면 아래 메일리 댓글 남겨주세요.😀

그럼, 다음 소식지에서 보다 알차고 흥미로운 내용으로 찾아뵙겠습니다.

오늘도 감사합니다, 구독자님 😺

🔗References

DevOps와 클라우드 관련 기술 지식을 공유하는 블로그도 운영 중입니다 :)

🔭DevOps 여행을 위한 안내서