Offcanvas

���������

CI/CD 파이프라인을 보호하는 6가지 모범 관행

최근 지속적 통합/지속적 제공(Continuous Integration/ Continuous Delivery, CI/CD) 파이프라인과 개발자 도구의 약점을 이용하는 사이버 공격이 발생하면서 개발자 인프라의 보안을 강화할 필요성이 대두됐다. 특히 코드코브(Codecov) 공급망 공격은 아무리 안전한 환경이라 해도 CI/CD 환경 변수에 기밀을 저장하면 안 된다는 강력한 경고다.   코드코브 공격자들은 수많은 개발자가 사용하는 배시(Bash) 업로더를 침해하는 방법으로, 2개월 동안 발각되지 않은 채로 고객 환경에서 로그인 정보, 키, API 토큰을 빼냈다. 게다가 제한된 고객 네트워크 수백 개도 침해한 것으로 알려졌다.   또한 젠킨스(Jenkins), 깃허브 액션(GitHub Actions)과 같은 자동화 도구와 클라우드 네이티브 컨테이너 환경을 대상으로 한 공격도 발생하고 있어 기업은 이런 도구를 위한 효과적인 방어를 구축해야 한다. 이번 기사에서는 CI/CD 파이프라인을 안전하게 보호하기 위한 몇 가지 베스트 프랙티스를 소개한다. 1. CI/CD 환경에 기밀을 저장하지 말 것 코드코브의 공급망 공격이 큰 성공을 거두게 된 원인은 공격자들이 유출한 환경 변수에 비밀번호, 토큰, 키를 포함한 하드코딩된 기밀 정보가 포함됐다는 데 있다. 공격자들은 이런 인증 정보 중 일부를 사용해 회사의 비공개 깃허브 리포지토리에도 접근했는데, 기밀로 유지되어야 하는 데이터가 포함된 이와 같은 비공개 리포지토리에서 추가적인 데이터 유출이 발생할 수 있었다.   해시코프(HashiCorp), 트윌리오(Twilio), 래피드7(Rapid7), 먼데이닷컴(Monday.com)을 비롯한 코드코브 고객은 이번 공급망 공격의 영향을 밝히지 않았지만, 현재까지 알려진 가장 중대한 데이터 유출은 일본의 전자상거래 대기업인 머카리(Mercar)에서 발생했다.  코드코브 공격 이후 머카리 고객의 재무, 거래, 비즈니스 파트너, 회사 직원, 계약 업체...

CI/CD 젠킨스 Jenkins GitHub Actions

2021.07.20

최근 지속적 통합/지속적 제공(Continuous Integration/ Continuous Delivery, CI/CD) 파이프라인과 개발자 도구의 약점을 이용하는 사이버 공격이 발생하면서 개발자 인프라의 보안을 강화할 필요성이 대두됐다. 특히 코드코브(Codecov) 공급망 공격은 아무리 안전한 환경이라 해도 CI/CD 환경 변수에 기밀을 저장하면 안 된다는 강력한 경고다.   코드코브 공격자들은 수많은 개발자가 사용하는 배시(Bash) 업로더를 침해하는 방법으로, 2개월 동안 발각되지 않은 채로 고객 환경에서 로그인 정보, 키, API 토큰을 빼냈다. 게다가 제한된 고객 네트워크 수백 개도 침해한 것으로 알려졌다.   또한 젠킨스(Jenkins), 깃허브 액션(GitHub Actions)과 같은 자동화 도구와 클라우드 네이티브 컨테이너 환경을 대상으로 한 공격도 발생하고 있어 기업은 이런 도구를 위한 효과적인 방어를 구축해야 한다. 이번 기사에서는 CI/CD 파이프라인을 안전하게 보호하기 위한 몇 가지 베스트 프랙티스를 소개한다. 1. CI/CD 환경에 기밀을 저장하지 말 것 코드코브의 공급망 공격이 큰 성공을 거두게 된 원인은 공격자들이 유출한 환경 변수에 비밀번호, 토큰, 키를 포함한 하드코딩된 기밀 정보가 포함됐다는 데 있다. 공격자들은 이런 인증 정보 중 일부를 사용해 회사의 비공개 깃허브 리포지토리에도 접근했는데, 기밀로 유지되어야 하는 데이터가 포함된 이와 같은 비공개 리포지토리에서 추가적인 데이터 유출이 발생할 수 있었다.   해시코프(HashiCorp), 트윌리오(Twilio), 래피드7(Rapid7), 먼데이닷컴(Monday.com)을 비롯한 코드코브 고객은 이번 공급망 공격의 영향을 밝히지 않았지만, 현재까지 알려진 가장 중대한 데이터 유출은 일본의 전자상거래 대기업인 머카리(Mercar)에서 발생했다.  코드코브 공격 이후 머카리 고객의 재무, 거래, 비즈니스 파트너, 회사 직원, 계약 업체...

2021.07.20

기고 | 이상적인 ‘데브옵스’ 풍경을 그려본다면?

모든 데스옵스 시나리오에 적용할 수 있는 만능해답 같은 것은 없다. 하지만 이상적인 개발 과정과 툴체인을 묘사할 수는 있겠다. 여기 데브옵스의 각 조각이 어떻게 어울리고 조합될 수 있는지 살펴본다.  데브옵스(Devops) 접근법는 개발 및 운영 활동을 아우르는 종합적인 관점을 취하고, 이들이 가장 효율적으로 상호작용할 수 있도록 조율한다. 하지만 이는 개념적 이상일 뿐이다. 기술적 관점에서 이상적인 데브옵스 풍경이란 무엇일까? 답은 ‘서술할 수 없다’이다. 신생 기업의 요구와 수백 명이 관여하면서 마이크로서비스 프로젝트를 시작하는 다국적 기업의 요구는 전혀 다르기 때문이다.  그러나 증가하는 복잡성을 적절하게 흡수할 수 있는 이상적인 개발 흐름을 서술할 수는 있다. 또 아울러 CI/CD(지속적 통합/지속적 전달), 도커, 클라우드 컴퓨팅 같은 기술을 이 흐름에 접목하는 방식을 설명해볼 수 있다.    개발 : ‘내부의 고리’  한 개발자가 있다고 하자. 그는 소프트웨어를 당연히 수정할 것이고, 수정이 만족스럽다면 이를 버전 컨트롤로 커밋할 것이다. 버전 컨트롤은 소프트웨어 개발의 ‘내부 고리’와 데브옵스의 ‘외부 고리’ 사이의 접합 지점이다.  개발자 커밋은 개발 브랜치, 기능 브랜치, 또는 (비공식적 환경에서) 메인 브랜치로 이어질 수 있다. 이상적으로는 자동화된 유닛 테스트의 실행이 있을 것이다. 이는 다양한 방식으로 일어날 수 있다. 프리-커밋 후크, 커밋 후크 등 선택지는 무한하다. 어쨌든 유닛 테스트를 통과하지 못하면 코드 변경은 브랜치로 수용되지 않는다.  자동화된 테스팅  일단 코드 변경이 수용되면 다음 단계는 ‘통합 테스트’다. 이는 지속적 통합(CI)에서 필수적이다. 다시 말해 코드는 계속적으로 더 큰 시스템에 통합되고 실행 환경에서 자동 및 수동 테스팅을 위해 전개된다. 자동화된 테스팅에는 한계가 없다. 모든 것이 가능하다. 셀레늄 스타일의 자동화된 UI ...

데브옵스 젠킨스 지속적 통합 지속적 전달 지속적 테스트 도커 컨테이너

2021.07.19

모든 데스옵스 시나리오에 적용할 수 있는 만능해답 같은 것은 없다. 하지만 이상적인 개발 과정과 툴체인을 묘사할 수는 있겠다. 여기 데브옵스의 각 조각이 어떻게 어울리고 조합될 수 있는지 살펴본다.  데브옵스(Devops) 접근법는 개발 및 운영 활동을 아우르는 종합적인 관점을 취하고, 이들이 가장 효율적으로 상호작용할 수 있도록 조율한다. 하지만 이는 개념적 이상일 뿐이다. 기술적 관점에서 이상적인 데브옵스 풍경이란 무엇일까? 답은 ‘서술할 수 없다’이다. 신생 기업의 요구와 수백 명이 관여하면서 마이크로서비스 프로젝트를 시작하는 다국적 기업의 요구는 전혀 다르기 때문이다.  그러나 증가하는 복잡성을 적절하게 흡수할 수 있는 이상적인 개발 흐름을 서술할 수는 있다. 또 아울러 CI/CD(지속적 통합/지속적 전달), 도커, 클라우드 컴퓨팅 같은 기술을 이 흐름에 접목하는 방식을 설명해볼 수 있다.    개발 : ‘내부의 고리’  한 개발자가 있다고 하자. 그는 소프트웨어를 당연히 수정할 것이고, 수정이 만족스럽다면 이를 버전 컨트롤로 커밋할 것이다. 버전 컨트롤은 소프트웨어 개발의 ‘내부 고리’와 데브옵스의 ‘외부 고리’ 사이의 접합 지점이다.  개발자 커밋은 개발 브랜치, 기능 브랜치, 또는 (비공식적 환경에서) 메인 브랜치로 이어질 수 있다. 이상적으로는 자동화된 유닛 테스트의 실행이 있을 것이다. 이는 다양한 방식으로 일어날 수 있다. 프리-커밋 후크, 커밋 후크 등 선택지는 무한하다. 어쨌든 유닛 테스트를 통과하지 못하면 코드 변경은 브랜치로 수용되지 않는다.  자동화된 테스팅  일단 코드 변경이 수용되면 다음 단계는 ‘통합 테스트’다. 이는 지속적 통합(CI)에서 필수적이다. 다시 말해 코드는 계속적으로 더 큰 시스템에 통합되고 실행 환경에서 자동 및 수동 테스팅을 위해 전개된다. 자동화된 테스팅에는 한계가 없다. 모든 것이 가능하다. 셀레늄 스타일의 자동화된 UI ...

2021.07.19

'툴, 사람, 관행' HSBC 데브옵스 전략의 3대 핵심

오래된 기술을 많이 사용하는 은행 등의 조직에서 데브옵스로 인한 급격한 문화 변화는 흔히 일어나는 일이다. 하지만, 최적의 툴 구축은 사람을 끌어모으고 문화를 바꾸는 핵심이 된다.    이번주 런던에서 열린 클라우드비스(Cloudbees) 행사에서 HSBC의 디지털 플랫폼 데브옵스 엔지니어 리처드 댈턴은 <컴퓨터월드UK>와의 인터뷰에서 최적의 인프라를 배치해 문화를 바꾸고 적임자를 끌어들이는 일이 얼마나 중요하며, 은행이 미래에 좀더 민첩하게 움직이는 데 이 인프라가 어떻게 도움이 되는지를 언급했다.  그는 “일단 이들 툴을 적재적소에 배치하면 해당 툴과 잘 맞는 인재들에 신경 쓸 수 있게 된다. 툴과 문화는 정말로 나란히 가기 때문이다. 그러나 문화를 뒷받침해줄 툴을 갖춰야 하고, 그러면 사람과 관행이 자연스럽게 따라올 것이다”고 말했다.  HSBC는 2015년 데브옵스를 향한 여정을 시작했다. 이때 댈턴과 그의 팀은 전사적으로 문화를 변화시키는데 필요한 툴 확립 작업을 맡았다. 전면적 평가가 진행된 후 은행은 각종 오픈소스 툴의 기업 버전을 선택하기로 최종적으로 결정했다. 예컨대 지속적 통합을 위한 클라우드비스의 젠킨스, 코드 리포지터리로서 깃허브 엔터프라이즈, 협업을 위한 아틀라시안 스택, 자동화를 위한 앤서블 및 메이븐, 모니터링을 위한 앱다이내믹스 등이다. 그러나 댈턴은 “[모니터링]에서 하나의 툴로 모든 것을 감당하지 못한다. 이는 지속적인 여정이다”고 전했다.  이러한 변화는 댈턴이 ‘대기업 통합 제품군’에서 ‘각각에서 가장 좋은 툴(best of breeds) 구축’으로 신속히 현대화하는 기업에게 매우 일반적이다.  이러한 대기업 소프트웨어 패키지 제품에 관해 댈턴은 “이들이 최선인가에 관한 논쟁은 불필요하다. 중요한 것은 인재가 모이지 않는다는 것이다”고 지적했...

CIO 앱다이내믹스 메이븐 스택 젠킨스 클라우드비스 앤서블 best of breeds 깃허브 엔터프라이즈 구글 클라우드 플랫폼 아틀라시안 구글 인재 은행 금융 컨테이너 문화 CoE HSBC 코드 리포지터리

2019.04.10

오래된 기술을 많이 사용하는 은행 등의 조직에서 데브옵스로 인한 급격한 문화 변화는 흔히 일어나는 일이다. 하지만, 최적의 툴 구축은 사람을 끌어모으고 문화를 바꾸는 핵심이 된다.    이번주 런던에서 열린 클라우드비스(Cloudbees) 행사에서 HSBC의 디지털 플랫폼 데브옵스 엔지니어 리처드 댈턴은 <컴퓨터월드UK>와의 인터뷰에서 최적의 인프라를 배치해 문화를 바꾸고 적임자를 끌어들이는 일이 얼마나 중요하며, 은행이 미래에 좀더 민첩하게 움직이는 데 이 인프라가 어떻게 도움이 되는지를 언급했다.  그는 “일단 이들 툴을 적재적소에 배치하면 해당 툴과 잘 맞는 인재들에 신경 쓸 수 있게 된다. 툴과 문화는 정말로 나란히 가기 때문이다. 그러나 문화를 뒷받침해줄 툴을 갖춰야 하고, 그러면 사람과 관행이 자연스럽게 따라올 것이다”고 말했다.  HSBC는 2015년 데브옵스를 향한 여정을 시작했다. 이때 댈턴과 그의 팀은 전사적으로 문화를 변화시키는데 필요한 툴 확립 작업을 맡았다. 전면적 평가가 진행된 후 은행은 각종 오픈소스 툴의 기업 버전을 선택하기로 최종적으로 결정했다. 예컨대 지속적 통합을 위한 클라우드비스의 젠킨스, 코드 리포지터리로서 깃허브 엔터프라이즈, 협업을 위한 아틀라시안 스택, 자동화를 위한 앤서블 및 메이븐, 모니터링을 위한 앱다이내믹스 등이다. 그러나 댈턴은 “[모니터링]에서 하나의 툴로 모든 것을 감당하지 못한다. 이는 지속적인 여정이다”고 전했다.  이러한 변화는 댈턴이 ‘대기업 통합 제품군’에서 ‘각각에서 가장 좋은 툴(best of breeds) 구축’으로 신속히 현대화하는 기업에게 매우 일반적이다.  이러한 대기업 소프트웨어 패키지 제품에 관해 댈턴은 “이들이 최선인가에 관한 논쟁은 불필요하다. 중요한 것은 인재가 모이지 않는다는 것이다”고 지적했...

2019.04.10

'3만 건의 급여 데이터 수집∙정리' 채용 전문회사의 머신러닝 활용 사례

인력자원 컨설팅 회사인 머서(Mercer)는 매년 3만 건 이상의 급여 설문조사 결과를 수집하는 수작업을 최적화하고자 머신러닝을 도입해 고객사가 자사 직원을 더욱 잘 대우하도록 돕고 있다. 여러 해 동안, 데이터를 준비하고 정리하는 과정에는 수 주일이 걸리는 행정적 감독 및 고객사와의 소통이 필요했다.  2017년 머서는 고객에게 더 나은 경험을 제공하려는 차원에서 백오피스 업무를 제어하는 이니셔티브를 시작했다. 머서의 글로벌 업무 솔루션 팀장인 대런 두케트와 머서의 디지털 테크놀로지 솔루션 책임자인 릭 쿠는 지난해 완성된 머서 데이터 커넥터(Mercer Data Connector)는 설문조사 처리 시간을 몇 개월로부터 몇 분으로 단축했다고 강조했다.  쿠는 “디지털 변혁 여정을 계속하면서, 고객 관점에서 우리 자신을 바라보며 이용자 중심 솔루션을 전달해 머서와의 거래를 단순하고 가치 있게 만들었다”고 말했다.  이 프로젝트로 머서는 디지털 혁신 부문에서 2019년 디지털 엣지 50 어워드를 수상했다. 데이터 파이프라인 정비  두케트와 쿠(왼쪽 사진)는 회사의 ‘경력 제품(Career Products)’ 계열의 리더들이 이미 성공적인 사업을 최적화하고 아울러 신시장을 개척할 기회를 포착했다고 말했다. 이에 따라 영업, 기술, 업무 분야 대표들이 모여 브레인스토밍 회의를 가졌다.  이들은 머서가 데이터를 수집하는 과정에서 마찰을 빚는 수많은 원인을 발견했다. 데이터를 정리하는 데에는 머서와 고객사 사이의 수많은 소통을 해야 하는 하이터치 작업이 필요했다. 고객은 머서가 제공한 엑셀 스프레드시트에 HRIS 데이터를 수동으로 입력했기 때문에 오류가 매우 많았다. 상이한 제품별로 템플릿을 준비하고, 고객이 파일을 제출한 후 데이터를 정리하는 데 따른 업무 간접비가 많았다. 머서의 1만 6,000개 직함 라이브러리를 기초로 한 표준 벤치마크에 따라 산업, 지역, ...

CIO 앵귤라 머서 젠킨스 마이크로서비스 디지털 변혁 도커 머신러닝 Node.js 분석 몽고DB 급여 컨설팅 빅데이터 채용 큐컴버

2019.03.28

인력자원 컨설팅 회사인 머서(Mercer)는 매년 3만 건 이상의 급여 설문조사 결과를 수집하는 수작업을 최적화하고자 머신러닝을 도입해 고객사가 자사 직원을 더욱 잘 대우하도록 돕고 있다. 여러 해 동안, 데이터를 준비하고 정리하는 과정에는 수 주일이 걸리는 행정적 감독 및 고객사와의 소통이 필요했다.  2017년 머서는 고객에게 더 나은 경험을 제공하려는 차원에서 백오피스 업무를 제어하는 이니셔티브를 시작했다. 머서의 글로벌 업무 솔루션 팀장인 대런 두케트와 머서의 디지털 테크놀로지 솔루션 책임자인 릭 쿠는 지난해 완성된 머서 데이터 커넥터(Mercer Data Connector)는 설문조사 처리 시간을 몇 개월로부터 몇 분으로 단축했다고 강조했다.  쿠는 “디지털 변혁 여정을 계속하면서, 고객 관점에서 우리 자신을 바라보며 이용자 중심 솔루션을 전달해 머서와의 거래를 단순하고 가치 있게 만들었다”고 말했다.  이 프로젝트로 머서는 디지털 혁신 부문에서 2019년 디지털 엣지 50 어워드를 수상했다. 데이터 파이프라인 정비  두케트와 쿠(왼쪽 사진)는 회사의 ‘경력 제품(Career Products)’ 계열의 리더들이 이미 성공적인 사업을 최적화하고 아울러 신시장을 개척할 기회를 포착했다고 말했다. 이에 따라 영업, 기술, 업무 분야 대표들이 모여 브레인스토밍 회의를 가졌다.  이들은 머서가 데이터를 수집하는 과정에서 마찰을 빚는 수많은 원인을 발견했다. 데이터를 정리하는 데에는 머서와 고객사 사이의 수많은 소통을 해야 하는 하이터치 작업이 필요했다. 고객은 머서가 제공한 엑셀 스프레드시트에 HRIS 데이터를 수동으로 입력했기 때문에 오류가 매우 많았다. 상이한 제품별로 템플릿을 준비하고, 고객이 파일을 제출한 후 데이터를 정리하는 데 따른 업무 간접비가 많았다. 머서의 1만 6,000개 직함 라이브러리를 기초로 한 표준 벤치마크에 따라 산업, 지역, ...

2019.03.28

"젠킨스 블루 오션 UI, 코드 품질에 대한 통찰 제공"

젠킨스 플랫폼의 차세대 UI에 코드 품질 추세 확인 기능이 추가되고 파이프라인 편집 기능성이 풍부해진다. 지속적 통합 및 지속적 전달(CI/CD) 분야의 인식 플랫폼 젠킨스의 새로운 사용자 인터페이스인 블루 오션(Blue Ocean)이 향후 코드 품질 추세와 정적 분석에 대한 통찰 기능을 담기 시작할 것이라고 프로젝트 개발진이 이번 주 배포한 계획 문서에서 밝혔다. 블루 오션의 제작자이자 젠킨스 기술 벤더 클라우드비스의 프로젝트 관리 디렉터 제임스 더메이는 새로운 UI의 목표가 소프트웨어 프로젝트의 건강 상태에 대한 가시성을 향상시키는 것이라고 소개했다. 또 블루 우션의 시각적 파이프파인 편집기 기능을 확장함으로써 젠킨스의 서술 파이프라인이 실제 소프트웨어 결과물과 더 잘 일치시키고자 한다고 덧붙였다. 개발 팀은 앞으로 6개월에서 12개월 이내에 블루 오션에 이러한 기능을 추가할 예정이다. 더메이는 "블루 오션 파이프라인 편집기에서 보이는 것과 젠킨스에서 실제 존재하는 것 사이에는 약간의 차이가 있다. 이 간극을 줄이고자 한다"라고 말했다. 블루 오션 이면에 존재하는 목표는 코드를 작성하는 이에게 지속적 전달 파이프라인을 생성하는 능력을 제공하는 것이다. 또 이를 개발자만 이용할 수 있도록 제한하지 않는 것이다. 한편 이번주 발표된 블루 오션 1.2 버전에는 아틀라시안 비트버킷 분산 버전 제어 시스템과의 통합 기능이 포함돼 있다. ciokr@idg.co.kr  

젠킨스 블루 오션 UI 클라우드비스

2017.09.01

젠킨스 플랫폼의 차세대 UI에 코드 품질 추세 확인 기능이 추가되고 파이프라인 편집 기능성이 풍부해진다. 지속적 통합 및 지속적 전달(CI/CD) 분야의 인식 플랫폼 젠킨스의 새로운 사용자 인터페이스인 블루 오션(Blue Ocean)이 향후 코드 품질 추세와 정적 분석에 대한 통찰 기능을 담기 시작할 것이라고 프로젝트 개발진이 이번 주 배포한 계획 문서에서 밝혔다. 블루 오션의 제작자이자 젠킨스 기술 벤더 클라우드비스의 프로젝트 관리 디렉터 제임스 더메이는 새로운 UI의 목표가 소프트웨어 프로젝트의 건강 상태에 대한 가시성을 향상시키는 것이라고 소개했다. 또 블루 우션의 시각적 파이프파인 편집기 기능을 확장함으로써 젠킨스의 서술 파이프라인이 실제 소프트웨어 결과물과 더 잘 일치시키고자 한다고 덧붙였다. 개발 팀은 앞으로 6개월에서 12개월 이내에 블루 오션에 이러한 기능을 추가할 예정이다. 더메이는 "블루 오션 파이프라인 편집기에서 보이는 것과 젠킨스에서 실제 존재하는 것 사이에는 약간의 차이가 있다. 이 간극을 줄이고자 한다"라고 말했다. 블루 오션 이면에 존재하는 목표는 코드를 작성하는 이에게 지속적 전달 파이프라인을 생성하는 능력을 제공하는 것이다. 또 이를 개발자만 이용할 수 있도록 제한하지 않는 것이다. 한편 이번주 발표된 블루 오션 1.2 버전에는 아틀라시안 비트버킷 분산 버전 제어 시스템과의 통합 기능이 포함돼 있다. ciokr@idg.co.kr  

2017.09.01

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6