데브섹옵스(DevSecOps)는 개발(Dev), 보안(Sec), 운영(Ops)을 합친 말이다. 기존 널리 알려진 데브옵스(DevOps)에 ‘보안'(Sec)이 더해진 것이다. 데브옵스는 소프트웨어

데브섹옵스(DevSecOps)는 개발(Dev), 보안(Sec), 운영(Ops)을 합친 말이다. 기존 널리 알려진 데브옵스(DevOps)에 ‘보안'(Sec)이 더해진 것이다. 데브옵스는 소프트웨어 개발 사이클과 배포·운영 사이클이 자연스럽게 연계됨으로써 개발에서 배포까지의 전 과정에 걸쳐 시간을 단축하고자 하는 취지에서 도입되었다. 데브옵스에 대한 오해 중의 하나는 개발자가 배포·운영까지 모두 담당하는 것으로 이해하는 것이다. 물론 이 역시 데브옵스 범주에 포함될 수는 있지만, 데브옵스의 진정한 의미는 소프트웨어 개발자와 IT 운영 전문가 간의 협업, 소통, 통합이 원활하게 이루어지도록 하는 것에서 찾을 수 있다. 👉ITSM 티켓을 발부하고 이를 처리하는 과정에서 ITSM을 통한 협업이 이루어지기는 하나 개발과 운영이 물 흐르듯 연결되는 것이 아닌 ‘단절’이 있게 마련이다. 이를 극복하고자 나온 개념이 데브옵스다. 👉데브옵스, 핵심은 자동화 개발의 전 과정에 걸쳐 IT 운영과 관련된 서비스가 적절한 시점에 자동으로 이루어지도록 하는 것이 데브옵스의 핵심이다. 데브옵스 각 단계는 각각 다음 단계와 연결되어 전체가 마치 하나의 체인(chain)을 구성하는 모습으로 동작한다. 이 과정에서 다양한 도구들이 활용된다. 소스 저장소 관리 및 협업을 위한 대표적인 도구로 깃(Git)이 있고, 이에 기반한 깃랩(GitLab) 또는 깃헙(GitHub)이 대표적인 소스 관리 및 협업 서비스이다. 저장소와 연계되는 자동 통합도구로는 젠킨스(Jenkins), 트라비스(Travis) 등을 예로 들 수 있다. 배포 도구는 실제 최종 서비스가 운영되는 서버와 직접 연동된다. 아마존 AWS의 경우 코드디플로이(AWS Code Deploy)를 대표적인 예로 들 수 있다. 흔히 데브옵스라 하면 CI/CD라는 용어를 떠올리게 된다. CI(Continuous Integration)/CD(Continuous Deployment)를 직역하면 연속통합/연속배포이지만, 여기에는 ‘자동’이라는 말이 내포되어 있다. 즉, 앞서 언급한 도구들을 연계하여 코딩부터 배포까지 ‘자동으로’ 데브옵스 툴체인에서 동작하는 것으로 이해하면 된다. 👉데브옵스에서 데브섹옵스로 데브섹옵스는 데브옵스의 일반화와 함께 대두되는 보안 이슈를 다루기 위해 나온 확장된 데브옵스 개념이다. 소프트웨어개발 파이프라인 각 단계에서 보안 이슈가 해결되지 않는 한, 전체 프로세스를 자동화하는 것은 불가능하다. 데브옵스의 핵심은 곧 소프트웨어개발 파이프라인 자동화이므로, 자연스럽게 다양한 보안 도구가 데브옵스에 통합 운영될 수밖에 없다. 개발부터 배포까지 전 데브옵스 파이프라인에 걸친 보안 및 컴플라이언스 검증이 제대로 이루어지지 않는다면 언제든 최악의 보안사고가 발생할 수 있다. 특히 이런 검증이 자동으로 이루어져야 데브옵스 파이프라인이 제대로 동작할 수 있다.데브섹옵스는 선택이 아니라 필수다. ** 추가적인 '데브섹옵스는 어떻게 동작하는가?'와 'AWS, 애저(Azure)에서의 데브섹옵스'를 보시려면 링크 참고하세요~🌞