Brain
Science
root
/
학습 노트
/
Study Note
/
4: 소프트웨어 공학 (Software Engineering)
/
8. 소프트웨어 보안 및 DevSecOps
8. 소프트웨어 보안 및 DevSecOps
471. 소프트웨어 개발 보안 (Secure SDLC) - 기획, 설계, 구현, 테스트 전 단계 보안 활동
472. BSIMM (Building Security In Maturity Model) - SW 보안 성숙도 평가 모델
473. Microsoft SDL (Security Development Lifecycle) - 7단계 보안 생명주기
474. 위협 모델링 (Threat Modeling) 아키텍처 보안 분석
475. STRIDE 모델 - Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege
476. DREAD 모델 - 위협 리스크 산정 지표 (Damage, Reproducibility, Exploitability, Affected users, Discoverability)
477. OWASP Top 10 (2021 기준 주요 취약점)
478. Broken Access Control (취약한 접근 제어)
479. Cryptographic Failures (암호화 실패 / 민감 데이터 노출)
480. Injection (인젝션 / SQLi, OS Command, NoSQL 등)
481. Insecure Design (안전하지 않은 설계)
482. Security Misconfiguration (보안 설정 오류)
483. Vulnerable and Outdated Components (취약하고 만료된 컴포넌트)
484. Identification and Authentication Failures (인증 및 세션 관리 실패)
485. Software and Data Integrity Failures (소프트웨어 및 데이터 무결성 실패)
486. Security Logging and Monitoring Failures (보안 로깅 및 모니터링 실패)
487. SSRF (Server-Side Request Forgery) - 서버 측 요청 위조
488. CWE (Common Weakness Enumeration) - 보안 약점 사전
489. CVE (Common Vulnerabilities and Exposures) - 공개된 보안 취약점 목록
490. CVSS (Common Vulnerability Scoring System) - 취약점 위험도 평가 점수 (0~10)
491. SAST (Static Application Security Testing) - 소스코드 정적 분석 도구 (보안 룰셋 기반)
492. DAST (Dynamic Application Security Testing) - 런타임 환경에 공격 페이로드 주입 분석 (블랙박스)
493. IAST (Interactive Application Security Testing) - SAST와 DAST 결합, 에이전트 기반 내부 메모리/흐름 분석
494. RASP (Runtime Application Self-Protection) - 실행 환경 내부에서 공격 실시간 방어
495. SCA (Software Composition Analysis) - 오픈소스 라이브러리 취약점 및 라이선스 스캔
496. SBOM (Software Bill of Materials) 포맷 - SPDX, CycloneDX
497. 행정안전부/KISA 소프트웨어 개발 보안 가이드 (47개 보안 약점)
498. 입력 데이터 검증 및 표현 (Input Validation) 원칙
499. SQL 인젝션 방어 - Prepared Statement (파라미터화된 쿼리), ORM 프레임워크 사용
500. 크로스 사이트 스크립팅 (XSS) 방어 - 입/출력값 인코딩, CSP(Content Security Policy) 헤더 설정
501. XSS 유형 - Reflected XSS, Stored XSS, DOM-based XSS
502. 크로스 사이트 요청 위조 (CSRF) 방어 - Anti-CSRF 토큰 발급, SameSite 쿠키 속성
503. 보안 기능 (Security Features)의 설계
504. 암호화 알고리즘 (대칭키-AES, 비대칭키-RSA/ECC, 일방향-SHA) 적용 기준
505. 비밀번호 저장 방식 - KDF(Key Derivation Function) 활용 (PBKDF2, bcrypt, scrypt, Argon2) 및 솔트(Salt) 적용
506. 양자 내성 암호 (PQC) 전환 대비 SW 아키텍처 검토
507. 세션 관리 (Session Management) 보완 - 만료 시간, 재사용 방지, 세션 ID 추측 난해성
508. 인증 (Authentication) 트렌드 - MFA, FIDO, WebAuthn, 패스워드리스(Passwordless)
509. 인가 (Authorization) 모델 - RBAC(역할 기반), ABAC(속성 기반, 조건부 규칙)
510. API 보안 관리 - OAuth 2.0 (Access Token 인가), OIDC(인증), JWT(JSON Web Token) 서명/만료 검증
511. API Rate Limiting (비율 제한) 및 Throttling (스로틀링) - DDoS 및 크롤링 방어
512. 마이크로서비스 간 보안 (Service-to-Service Security) - mTLS (상호 TLS 인증)
513. 컨테이너 보안 - 이미지 스캐닝, 루트 권한 실행 금지 (Non-root user), 네임스페이스 샌드박스
514. 시크릿(Secret) 관리 도구 - 하드코딩 금지, HashiCorp Vault, AWS Secrets Manager 활용
515. 쿠버네티스 (Kubernetes) 보안 - RBAC, Network Policy, Pod Security Admission
516. 개인정보 보호 중심 설계 (Privacy by Design - PbD) 7원칙
517. 데이터 3법 및 GDPR 컴플라이언스 대응 SW 기능 (잊혀질 권리, 동의 철회 기능)
518. 가명 처리 및 비식별화 기술 (K-익명성, L-다양성, T-근접성) SW 적용
519. 사이버 레질리언스 (Cyber Resilience) 아키텍처
520. 공급망 (Supply Chain) 공격 사례 및 서명된 커밋(Signed Commit), CI 파이프라인 보호
521. 인공지능 모델 공격 방어 - 적대적 예제(Adversarial Example), 데이터 포이즈닝 방어 설계
522. 블록체인/스마트 컨트랙트 (Smart Contract) 보안 감사 (Reentrancy 공격 방어 등)
523. IoT 기기 펌웨어 무결성 검증망 및 OTA (Over-The-Air) 안전 배포
524. 클라우드 보안 형상 관리 (CSPM) 연동 개발 프로세스
525. 컴플라이언스 애즈 코드 (Compliance as Code) 자동화
526. 보안 로깅 (Logging) - 6하 원칙 기록, 중앙 집중식 보관(ELK), 위변조 방지 (WORM 스토리지)
527. 보안 감사 (Audit) 트레일 추적 기능
528. 난독화 (Obfuscation) 및 안티 디버깅 (Anti-debugging) 적용 (모바일 앱 보안)
529. 메모리 안전성(Memory Safety) 보장을 위한 Rust, Go 언어 도입 동향
530. 보안 조직 분리 정책 위반(SoD, Segregation of Duties)의 SW 통제 로직
Brain