웹 개발자를 위한 웹 보안: 5장 요약 - 프로그래머 작동 방식

 

 

새로운 웹사이트 기능 설계, 코드 작성, 테스트, 변경 사항 추진의 프로세스를 잘 구성된 개발 수명 주기 (SDLC)를 사용하면 초기에 버그와 취약점을 대응하여 사이트를 보호할 수 있다.

 

- 이슈 트래킹 소프트웨어를 사용해 설계 목표를 문서화해야 한다.

- 이전 버전의 코드를 검사에 사용할 수 있도록 하고, 코드 검토를 쉽게 구성할 수 있도록 소스 관리에 코드를 보관해야 한다.

- 릴리스 전에 프로덕션 환경과 유사하고 데이터를 최대한 주의해 처리하는 전용 격리 환경에서 코드를 테스트해야 한다.

- 재현 가능하고 되돌릴 수 있는 신뢰 있는 릴리스 프로세스가 있어야 한다. 구축 준비가 완료된 자산을 생성하는 스크립트로 작성된 빌드 프로세스가 있다면 정기적으로 실행하고 지속적인 통합 환경에서 유닛 테스트를 수행해야 한다. 특히, 개발 수명 주기 초기에 잠재적 문제를 다루는 것이 중요하다.

- 릴리스 이후에는 침투 테스트로 웹사이트 취약점을 탐지해야 한다. 또한 모니터링, 로깅, 오류 보고를 통해 사이트의 문제를 감지하고 진단해야 한다.

- 정기적인 릴리스 주기 외에 패치를 배포해야 할 수도 있으므로 사용하는 서드 파티 코드에 대한 보안 권고 사항보다 앞서야 한다.