규모가 어느정도 있고, 커뮤니티가 활발한 오픈소스를 추천한다. -> 취약점을 제보하였을 때, 대응이 빠르다.
-> 피드백 후 로컬에 세팅한 3개의 오픈소스 중 1개를 교체하였다.
2. Bunkerized-NginX 세팅 오류 中
- 오류 내용
허가 거부 오류
- 시도한 것
: 파일과 디렉토리의 권한을 777로 바꾸고 실행해봄 -> 실패
: sudo su 명령어로 Root 로그인 한 후, 실행해봄 -> 실패
- 해결 방법
: 전부 지우고, 처음부터 관리자 권한으로 설치 후 실행
-> 허가 오류는 해결, 하지만 실행은 안됨
- 실행이 안된 이유
: SERVER_NAME을 127.0.0.1로 지정하여 실행함.
-> 본인의 도메인을 가지고 실행하야 실행됨
-> 도메인 구입 후 SSL 인증서를 받아야 함
<SAST, DSAT 설명>
1. SAST
Static Application Security Testing 애플리케이션의 소스 코드를 검사하는 보안 테스트의 유형 중 하나입니다. 일반적으로, 작성된 소스 코드나 코드 설계 방식을 검토하여 발생 가능한 보안 결함을 찾아냅니다.
보안 결함에 대한 분류
- 기밀성(Confidentiality): 정보 노출 방지를 위해 인가된 사용자에게만 공개한다.
- 무결성(Integrity): 정보가 항상 그대로 유지되며, 인가된 사용자, 접근 방법에 의해서만 변경된다.
- 가용성(Availability): 정보를 사용할 수 있는 상태로 하여, 인가된 사용자에 의해 사용이 가능하다.
2. DAST
Dynamic application security testing 보안 취약성을 찾기 위해 웹 애플리케이션을 스캔하는 데 사용되는 보안 도구입니다. 이 도구는 프로덕션에 배포 된 웹 애플리케이션 내부의 취약성을 감지하는 데 사용됩니다. 애플리케이션 소스 코드에 대한 액세스 권한이 없으므로 외부에서 취약성 평가를 수행합니다.
<CI/CD 파이프라인>
새 버전의 소프트웨어를 제공하기 위해 수행해야 할 일련의 단계
3. 후기
흥미가 가는 오픈소스 3개를 최종적으로 선택하고 세팅하였는데,
규모 있는 소스이고, 처음 점검해보는 형태의 애플리케이션이다.(앱 제어, 메시지 통신, 모니터링 툴)
