가능한 한 왼쪽으로 이동하세요... 하지만 shifter를 믿나요?
Source: Dev.to
고객 대화의 주요 주제
- 개발자 경험은 글로벌 기업에게 최우선 과제입니다.
- 신뢰는 가장 중요합니다. 이는 실적, 신뢰성, 그리고 금융 거래가 신뢰할 수 있는 파트너에 의해 지원된다는 보장을 기반으로 합니다.
제로 트러스트와 “Shift‑Left” 움직임
Zero Trust(제로 트러스트, 또는 절대 신뢰하지 말고 항상 검증하라) 개념은 위험 관리와 사고 대응을 평가하는 것을 강조합니다. 어떤 도구에 대한 무조건적인 신뢰는 비현실적이며, 대신 투명성을 통해 **의사‑신뢰(pseudo‑trust)**를 구축하고자 합니다.
보안을 위한 shift‑left 접근 방식은 소프트웨어 개발 생명주기(SDLC) 초기에 스캔과 취약점 분석을 진행하도록 합니다. 이점은 다음과 같습니다:
- 종속성에서 보안에 취약한 코드 패턴 및 알려진 CVE를 조기에 감지합니다.
- 빌드 시(또는 쿠킹 시) 소프트웨어 “레시피”를 문서화하는 SBOM을 생성합니다.
- IDE와 스테이징 환경 내에서 지속적인 스캔, 동적 공격 시뮬레이션, 그리고 빈번한 검사를 수행합니다.
- 코드 리뷰 정책을 강제합니다(예: PR에 두 명의 승인자, 커밋 차단).
소프트웨어 공급망 보안
공급망 보안은 다양한 기여자들의 무수한 구성 요소로 이루어진 복잡한 퍼즐입니다. 신뢰를 구축하는 데 도움이 되는 두 가지 핵심 개념은 다음과 같습니다:
- 진위성 – 구성 요소가 주장된 출처에서 실제로 왔는지 확인합니다.
- 무결성 – 구성 요소가 변조되지 않았는지 보장합니다.
cosign과 같은 도구는 신원에 연결된 무키 암호 서명을 가능하게 하여, 컨테이너 이미지가 알려지지 않은 출처가 아닌 신뢰할 수 있는 제공자(예: “Olive Garden”)에서 왔는지 검증할 수 있게 합니다.
기본 이미지 검증
멀티‑스테이지 Dockerfile을 사용할 때, 기본 이미지가 신뢰할 수 있는 출처에 의해 서명되었는지 확인하는 것이 필수적입니다. 실용적인 워크플로우:
- Dockerfile에서 기본 이미지를 식별합니다.
- 해당 OCI 서명을 검증된 제공자 허용 목록과 비교합니다.
- 서명이 유효하면 빌드가 진행되고, 그렇지 않으면 실패합니다.
Note: 오늘날 이는 종종 차단 목록(known‑bad 소스 거부)과 비슷합니다. 서명이 보편화되면 진정한 허용 목록 모델로 발전할 수 있습니다.
이미지 체인 깊이 파악
즉각적인 기본 이미지를 넘어, 소프트웨어 공급망은 그 기본 이미지의 기본 이미지 등을 포함합니다. OCI 이미지 서명이 성숙해짐에 따라, 도구는 Dockerfile을 재귀적으로 분석해 전체 종속성 체인을 검증할 수 있습니다.
TL;DR
- 우리는 **의사‑신뢰(pseudo‑trust)**로 운영하지만 제로 트러스트 사고방식을 채택해야 합니다.
- 이미지를 서명하고 신뢰할 수 있는 출처와 서명을 검증하십시오.
- 소프트웨어 공급망을 단일 링크가 아닌 체인으로 다루십시오.
- 구성 요소를 책임감 있게 사용하고 낙관적으로 접근하십시오.
직접 사용해 보기
GitHub에서 Integrity‑Check 도구를 살펴보세요: