일반적으로 사용 가능한 New Relic 플랫폼을 위해 New Relic에서 구축된 소프트웨어는 다음 5단계를 거칩니다.
소프트웨어 개발 단계 | 보안 통제 |
|---|---|
요구 사항 | 위험 평가 |
설계 | 위협 모델링 |
개발 | 보안 코딩 표준 및 관행 |
확인 | 코드 검토, 보안 검토, 정적 코드 분석, 구성 분석, 계산된 해시, 서명된 코드 |
배포 | Hacker One과 New Relic의 조정된 공개 프로그램, 정기 스캔, 제3자 침투 테스트 |
요구 사항
일반적으로 사용 가능한 New Relic 플랫폼의 각 프로젝트 팀에는 New Relic 제품의 보안 검토 및 조언을 담당하는 보안 엔지니어가 할당됩니다. 요구 사항 구축 단계에서 보안 엔지니어는 위험 평가를 수행한 다음 프로젝트에 대한 보안 요구 사항을 추가합니다. 필요에 따라 개인 정보 보호 및 규정 준수 전문가가 프로젝트 팀에 추가됩니다.
설계
설계 단계에서 New Relic 보안 엔지니어는 이해 관계자, 엔지니어링 리더 및 설계자와 협력하여 기능에 대한 자세한 공유 이해를 얻습니다. New Relic의 보안 엔지니어는 해당 기능을 안전하게 구현하기 위한 수용 기준, 기능 또는 요구 사항을 문서화하는 위협 모델을 생성하여 이해 관계자와 함께 설계 프로세스에 기여합니다. 보안 엔지니어는 위협 모델을 사용하여 프로젝트에 필요한 제어에 대한 세부 사양을 추가합니다.
짓다
각 제품 엔지니어는 OWASP 상위 10위권 , 입력 삭제, New Relic에 이미 있는 보안 프레임워크 및 프로세스 사용과 같은 주제를 포함하는 보안 코딩 교육을 받습니다. 빌드 단계에서 엔지니어링 팀은 New Relic의 보안 코딩 표준에 따라 프로젝트에서 적절한 보안 기능을 구현합니다.
확인
기능이 완료되면 모든 풀 요청은 코드 리포지토리에 대한 쓰기 액세스 권한이 있는 다른 엔지니어가 코드를 검토해야 합니다. 보안 정책에 대한 취약점을 자동으로 검사하는 코드 스캐닝 소프트웨어 외에도 보안 엔지니어는 필요할 때 설계, 요구 사항 및 평가 단계에서 권장되는 보호 및 제어가 구현되었는지 확인합니다.
New Relic은 정적 코드 및 구성 분석을 수행하여 코드 및 종속성에서 취약점을 찾습니다.
배포
New Relic은 해시와 서명을 포함하는 과정에 있습니다. New Relic에서 발행한 파일을 다운로드하는 사람은 누구나 다운로드한 파일이 변조되지 않았으며 New Relic에서 발행한 파일과 동일함을 확인할 수 있습니다.
구현하다, 배포하다 코드는 반복적인 개발 프로세스를 계속하기 위해 이해관계자와 제품 엔지니어가 모니터링합니다. 보안 팀은 정기적인 보안 검색, 제3자 침투 테스트 및 조정된 공개 프로세스를 통해 구현, 배포 코드의 보안을 지속적으로 평가합니다.