이 문서에서는 소프트웨어 공급망의 프로세스 및 시스템 간에 소프트웨어를 보호하는 데 도움이 되는 권장사항을 주로 설명합니다. 또한 Google Cloud에서 일부 권장사항을 구현하는 방법에 대한 정보도 포함되어 있습니다.
소프트웨어 수명 주기를 포괄하는 소프트웨어 보호를 위한 추가 고려사항이 있거나 소프트웨어 공급망 보안을 지원하는 기본 개발 권장사항이 있습니다. 예를 들면 다음과 같습니다.
- 시스템에 대한 물리적 및 원격 액세스 제어
- 위협과 정책 위반 사항을 빠르게 식별하고 대응할 수 있도록 감사, 모니터링, 피드백 메커니즘 구현
- 설계, 입력 검증, 신뢰할 수 없는 시스템으로의 출력, 데이터 처리, 코드 분석, 암호화 등 기본적인 코딩 권장사항
- 기술 접근 방식, 팀 프로세스, 조직 문화 등 이 문서에서 언급된 것 이상의 기본 DevOps 권장사항
직접 및 임시 종속 항목의 오픈소스 라이선스 등 소프트웨어 라이선스 약관 준수
일부 오픈소스 라이선스에는 상용 소프트웨어에 대한 문제가 있는 제한적인 라이선스 약관이 있습니다. 특히 일부 라이선스에서는 재사용하고 있는 오픈소스 소프트웨어와 동일한 라이선스에 따라 소스 코드 공개를 요구합니다. 소스 코드를 비공개로 유지하려면 사용하는 오픈소스 소프트웨어의 라이선스 약관을 알고 있어야 합니다.
직원을 교육시켜 사이버 보안에 대한 인식 강화. 정보 보안 전문가를 대상으로 한 설문조사인 2021년 사이버 보안 현황 2부에 따르면 소셜 엔지니어링이 가장 빈번한 공격 유형이었습니다. 또한 설문조사 응답자들은 사이버 보안 교육 및 인식 프로그램이 직원 인식에 긍정적인 영향을 미치거나(46%) 강력한 긍정적인 영향을 미친다고(32%) 보고했습니다.
다음 섹션에 있는 리소스를 사용하여 이러한 주제에 대해 자세히 알아보세요.
Google Cloud 보안
Google Cloud 보안 권장사항 센터의 가이드 중 하나인 Google Cloud 엔터프라이즈 기반 청사진에서 조직 구조 설정, 인증 및 승인, 리소스 계층 구조, 네트워킹, 로깅, 탐지 설정 등에 대해 알아보세요.
다음 Google Cloud 서비스를 사용하여 취약점과 발생 가능한 위험에 대한 중앙 집중식 정보를 볼 수 있습니다.
- Security Command Center를 사용하여 Google Cloud 조직 전체에서 취약점과 위협에 대한 정보를 봅니다.
- 위험을 줄이는 데 도움이 되는 권장사항을 포함하여 추천자로 서비스 사용량에 대한 정보를 가져옵니다. 예를 들어 권한이 과도한 IAM 주 구성원이나 방치된 Google Cloud 프로젝트를 파악할 수 있습니다.
Google Cloud 보안에 대한 자세한 내용은 Google Cloud 웹 사이트의 보안 섹션을 참조하세요.
DevOps 및 소프트웨어 개발 권장사항
더 빠른 소프트웨어 배포 및 더 안정적이고 안전한 소프트웨어에 기여하는 DevOps 권장사항에 대한 자세한 내용은 DevOps 기능 문서를 참조하세요.
또한 모든 프로그래밍 언어에 적용되는 코드 설계, 개발, 테스트를 위한 기본 권장사항도 있습니다. 또한 모든 종속 항목에서 소프트웨어 배포 방식과 소프트웨어 라이선스 약관을 평가해야 합니다. Linux Foundation에서는 다음 주제에 대한 무료 온라인 교육을 제공합니다.
- 보안 소프트웨어 개발: 소프트웨어 공급망 보안과 관련된 기본 소프트웨어 개발 권장사항입니다. 이 과정에서는 코드 설계, 개발, 테스트를 위한 권장사항에 중점을 두고 있지만 취약점 공개, 보증 사례, 소프트웨어 배포, 배포 고려사항과 같은 주제도 다룹니다. Open Source Security Foundation(OpenSSF)에서 교육을 만들었습니다.
- 개발자를 위한 오픈소스 라이선스 기본사항 오픈소스 프로젝트의 라이선스 및 저작권에 대해 알아보세요.
- 오픈소스 라이선스 규정 준수 관리 소개 조직의 오픈소스 규정 준수 프로그램 빌드에 대해 알아보세요.
정책 개발
권장사항을 점진적으로 구현할 때 조직의 정책을 문서화하고 정책 검증을 개발, 빌드, 배포 프로세스에 통합합니다. 예를 들어 회사 정책에는 Binary Authorization으로 구현하는 배포 기준이 포함될 수 있습니다.
- 최소 필수 보안 제품 - 제품의 기준 보안 상태를 설정하기 위한 보안 제어 체크리스트입니다. 이 체크리스트는 최소 보안 제어 요구사항을 설정하고 서드 파티 공급업체의 소프트웨어를 평가하는 데 사용할 수 있습니다.
- NIST 정보 시스템 및 조직을 위한 보안 및 개인 정보 보호 설정 간행물 (SP 800-53)