안녕하세요. 코난 김대우입니다.

이번에 소개해 드릴 내용은 SDL - Security Development Lifecycle 에 대한 내용입니다.예전, 울산 모사에 KTX타고 SDL 세미나 발표하러 갔던게 엇그제 같군요. 안전한 클라우드 어플리케이션 개발 가이드로 소개되고 있는 SDL을 보니 뿌듯합니다.

(발표자료 준비하느라 몇날 밤을 꼬박 세웠던지... ㅎㅎㅎ)


간단히, SDL은 특정 소프트웨어 벤더의 솔루션 개발을 위한 가이드가 아니라, 

- SDL은 마이크로소프트의 보안 개발 방법에 대한 투명한 제공을 위해 제작된 보안 프로세스 입니다.

- 마이크로소프트 개발팀에서 SDL은 연간 교육을 통해 매우 정교하게 적용되고 있습니다.(실제로 마이크로소프트 R&D에서 개발에 적용되고 있습니다.)

- 하지만, 외부 3rd 파티 개발사가 제작한 코드나 직접 개발하지 않은 리소스가 존재해 코드 접근성이 떨어질 경우 그 효과는 달라질 수도 있습니다.


SDL 세미나 관련해 일반적으로 받았던 문의 내용은

- 모든 플랫폼과 개발 언어에서 적용 가능한 가이드 입니다.

- 모든 종류의 소프트웨어 개발 프로젝트에 적용 가능하며

- 폭포수 개발 방법론, 나선형 개발 방법론은 물론, 애자일 개발 방법론에서도 적용 가능합니다.

- 마이크로소프트는 물론, 다양한 개발 환경에서 사용 가능한 툴이 제공됩니다.


Microsoft_SDL과_SQL_Server.jpg



SDL 공식 웹사이트 :

http://www.microsoft.com/security/sdl/default.aspx


소프트웨어_버그_처리_비용_SDL.jpg

적용 후 ROI에 대한 내용은, SDL 공식 사이트 참고 하시길 바랍니다. 간략히, 스테이징 또는 배포 후 버그 처리에 대한 비용과 SDL로 버그나 보안 관련 처리 후 관계를 비교해 본다면 어렵지 않게 직접 ROI 계산도 되실겁니다.


그렇다면, SDL이 Windows Azure나 개발과 무슨 상관이 있는가? 

어플리케이션 개발시 완성도 높은 솔루션 개발을 위해 SDL이 강력히 권고됩니다. 단순히 "동작하는" 어플리케이션이 아니라, 충분히 보안 안 검토가 이루어지고 안정성 높은 어플리케이션 개발을 위해 팀 개발을 하신다면 권장해 드리고 싶습니다.


감사합니다.


참고자료 : 

Inside the Microsoft Security Development Lifecycle

SDL Process Template for Visual Studio Team System

Microsoft Security Development Lifecycle (SDL) and Software Security Today

MSDN TV - Security Development Lifecycle

SDL Threat Modeling Tool

The Security Development Lifecycle - MSDN Blogs


PS.

17페이지 분량의 SDL 관련 문서가 제공됩니다.

Simplified Implementation of the Microsoft SDL

본 내용은 제목처럼 "Simplified" 문서이며, 실제 마이크로소프트 R&D에서 사용하는 SDL과 내용에 차이가 있습니다.






profile

부족하지만, SQLER의 누군가와 함께한 나눔을 통해 제가 더 많이 즐거웠습니다.
SQLER와 함께 즐거워 할수록, 그 나눔을 통해 더 많은 기회와 가치를 발견하게 되었습니다.
나눔의 생각이 앞으로도 계속, SQLER를 움직일 것입니다.

코난, 김대우 / SQLER 운영자 / 골라먹는 SQLER RSS 정보 구독 / 실시간 SQLER 소식 uxkorea 트위터