Atlassian 소프트웨어 개발 보안
Atlassian은 개발 수명 주기의 모든 단계에 보안을 통합하여 코드, 제품 및 고객을 안전하게 보호합니다. 또한 개발 수명 주기의 모든 단계에서 안전한 개발 관행을 수행합니다.
- 개발 단계에서는 보안 팀에서 관리하는 애플리케이션 보안 교육 프로그램과 보안 기술 자료의 지원을 받습니다.
- 설계 단계에서는 위협 모델링, 설계 검토 및 정기적으로 업데이트되는 보안 표준 라이브러리를 포함한 관행을 따르며, 이를 통해 적절한 보안 요구 사항을 고려할 수 있습니다.
- 개발 단계에서는 첫 보안 검토 단계로 필수 동료 검토 프로세스를 활용합니다. 이 프로세스는 위험 평가 프로세스에 따라 결정된 대로 내부 팀 및 타사 전문가가 모두 수행하는 수동 보안 테스트 및 자동 정적 분석 검사(SAST)로 뒷받침됩니다.
- 공식 운영 준비성 및 변경 제어 프로세스를 통해 승인된 변경 사항만 프로덕션에 배포됩니다. 배포 후에는 정기적인 자동 취약점 검사와 업계 최고의 버그 바운티 프로그램을 활용하여 애플리케이션에 대한 지속적인 보장을 제공합니다. Atlassian은 보안 성과 기록표 시스템을 통해 시간이 지남에 따라 제품의 보안 포스처를 지속적으로 측정합니다.
문화
참여
교육
표준
관행
체크포인트
보안 검토
보안 개선
보안 문화 구축
Atlassian은 강력한 보안 교육을 통해 팀의 역량을 강화하여 보안 문화를 조성합니다.
개발자 보안 교육
Atlassian은 사내 개발 콘텐츠와 타사 콘텐츠 모두를 교육에 사용하여 개발 팀이 보안 애플리케이션을 만드는 데 필요한 보안 지식을 갖출 수 있도록 지원합니다. 교육 프로그램은 프로그램 상태를 보장하기 위해 지속적으로 모니터링하며 변화하는 위협 환경에 맞춰 발전합니다.
설계 단계
설계 단계에서는 위협 모델링, 설계 검토 및 보안 표준 라이브러리를 사용하며, 이를 통해 적절한 보안 요구 사항을 고려할 수 있습니다.
위협 모델링
Atlassian은 프로젝트가 복잡한 위협에 직면하거나 보안이 중요한 기능이 변경될 때 위협 모델링을 사용하여 보안 위험을 더욱 효과적으로 파악합니다. 여기에는 엔지니어, 보안 엔지니어, 설계자 및 제품 관리자 간에 관련 위협을 식별하고 우선 순위를 지정하는 브레인스토밍 세션이 포함됩니다. 이 정보는 설계 프로세스에 반영되며 적절한 컨트롤을 구현할 수 있게 합니다. 또한 개발의 후반 단계에서 타겟팅된 검토와 테스트를 지원합니다.
위협 모델링에는 다음이 포함됩니다.
- 위협 모델링을 수행할 필요성을 결정하기 위한 위험 기반 접근 방식 적용
- 지원 자료 및 도구를 포함한 위협 모델링 수행을 위한 성숙한 프로세스
- 소프트웨어 팀이 위협 모델링을 수행하는 데 도움이 되는 교육 동영상 및 읽기 자료
개발 단계
개발 프로세스 전반에 걸쳐 여러 보안 프로세스와 관행을 사용하여 코드를 안전하게 유지합니다.
보안 검토
보안 팀은 Atlassian 소프트웨어 프로젝트 전반에서 보안 보증을 제공하는 보안 검토 프로세스를 실행합니다. 위험 평가 프로세스는 보안 검토에 집중해야 하는 영역에 우선 순위를 정하고 프로젝트 위험을 완화하는 데 필요한 활동을 식별하는 데 사용됩니다. 식별된 위험 수준에 따라 보증 활동에 다음 조합이 포함됩니다.
- 설계 검토 및 위협 모델링
- 코드 검토 및 보안 테스트
- 전문 타사 연구원과 컨설턴트를 통한 독립적인 보증
동료 검토
개발 과정에서 모든 코드는 동료 검토 그린 빌드(PRGB) 테스트 프로세스를 거칩니다. 이 프로세스에서는 모든 커핏을 프로덕션으로 푸시하기 전에 여러 선임 개발자 또는 리드 개발자가 검토해야 합니다. 이 프로세스는 위험 평가 프로세스에 따라 결정된 대로 내부 팀 및 타사 전문가가 모두 수행하는 수동 보안 테스트 및 자동 정적 분석 검사(SAST)로 뒷받침됩니다. 개발 단계에서는 보안 팀에서 관리하는 애플리케이션 보안 교육 프로그램과 보안 기술 자료의 지원도 받습니다.
환경 분리
Atlassian은 모든 중요 서비스에 대해 프로덕션 환경과 프로덕션 이외(개발) 환경을 논리적이고 물리적으로 분리합니다. 스테이징 환경은 논리적으로 분리되어 있지만 물리적으로는 분리되지 않으며, 프로덕션급 변경 제어 및 액세스 프로세스에 따라 관리합니다.
Atlassian은 또한 프로덕션 이외의 환경에서 프로덕션 데이터를 사용하는 것을 금지하는 보안 정책을 보유하고 있습니다. 익명화, 해싱 및 토큰화 기술을 사용하여 개인 데이터를 포함한 제한된 데이터를 익명화 또는 보호하는 방법에 대한 가이드라인을 유지합니다.
유지 관리 단계
코드를 프로덕션으로 푸시하기 전에 공식 운영 준비성 및 변경 제어 프로세스를 통과해야 합니다.
시스템이 배포되면 자동화된 취약점 검사를 정기적으로 실행합니다. 보안 관행에서 살펴봤듯이, Atlassian은 크라우드 소싱된 신뢰할 수 있는 보안 연구원 그룹을 통해 지속적인 시스템 보안을 보증하는 업계 최고의 버그 바운티 프로그램을 제공합니다.
보안 성과 기록표
Atlassian은 모든 제품의 보안 포스처를 측정하는 데 사용되는 제품 보안 성과 기록표라는 자동화된 책임 및 모니터링 시스템을 만들었습니다. 현재 취약성, 교육 범위, 최근 보안 인시던트와 같은 광범위한 보안 중심 기준을 활용하여 각 제품에 전체 매일 보안 점수를 제공합니다.
이 성과 기록 프로세스를 통해 각 제품 팀이 주의를 기울여야 하는 보안 영역을 객관적으로 볼 수 있으며, 해소해야 하는 기존 격차와 이러한 격차를 해소하기 위한 조치를 식별할 수 있습니다. 또한 Atlassian 보안 팀은 보안 성과 기록표 프로세스를 통해 시간이 지남에 따라, 특히 제품군이 계속해서 확장됨에 따라 보안 관점에서 모든 제품을 추적하는 방식을 쉽게 파악할 수 있습니다.