Atlassian 소프트웨어 개발 보안

보안 문화 구축

Atlassian은 보안 챔피언 프로그램과 강력한 보안 교육을 통해 팀의 역량을 강화하여 보안 문화를 조성합니다.

보안 챔피언 프로그램

Atlassian의 모든 제품 및 서비스 팀에는 보안 리더 또는 보안 챔피언이 있습니다. 보안 리더 또는 보안 챔피언은 동료에게 지속적으로 주요 보안 이니셔티브를 제공하고 중앙 보안 팀과 커뮤니케이션을 최대한 투명하게 유지할 책임이 있습니다. Atlassian은 이러한 방법으로 조직 전체의 보안을 최우선 과제로 삼습니다.

보안 챔피언은 팀이 혜택을 누릴 수 있도록 정기적으로 만나서 최신 보안 문제 및 당면 과제에 대한 도구와 지식을 공유합니다. 이 프로그램은 보안이 저희 문화의 훨씬 더 중요한 부분을 형성할 수 있게 해 주는 발판이 되었습니다.

개발자 보안 교육

Atlassian은 사내 개발 콘텐츠와 타사 콘텐츠 모두를 교육에 사용하여 개발 팀이 보안 애플리케이션을 만드는 데 필요한 보안 지식을 갖출 수 있도록 지원합니다. 교육 프로그램은 프로그램 상태를 보장하기 위해 지속적으로 모니터링하며 변화하는 위협 환경에 맞춰 발전합니다.

설계 단계

설계 단계에서는 위협 모델링, 설계 검토 및 보안 표준 라이브러리를 사용하며, 이를 통해 적절한 보안 요구 사항을 고려할 수 있습니다.

개발 단계

개발 프로세스 전반에 걸쳐 여러 보안 프로세스와 관행을 사용하여 코드를 안전하게 유지합니다.

동료 검토

개발 과정에서 모든 코드는 동료 검토 그린 빌드(PRGB) 테스트 프로세스를 거칩니다. 이 프로세스에서는 모든 커핏을 프로덕션으로 푸시하기 전에 여러 선임 개발자 또는 리드 개발자가 검토해야 합니다. 이 프로세스는 위험 평가 프로세스에 따라 결정된 대로 내부 팀 및 타사 전문가가 모두 수행하는 수동 보안 테스트 및 자동 정적 분석 검사(SAST)로 뒷받침됩니다. 개발 단계에서는 보안 팀에서 관리하는 애플리케이션 보안 교육 프로그램과 보안 기술 자료의 지원도 받습니다.

환경 분리

Atlassian은 모든 중요 서비스에 대해 프로덕션 환경과 프로덕션 이외(개발) 환경을 논리적이고 물리적으로 분리합니다. 스테이징 환경은 논리적으로 분리되어 있지만 물리적으로는 분리되지 않으며, 프로덕션급 변경 제어 및 액세스 프로세스에 따라 관리합니다.

Atlassian은 또한 프로덕션 이외의 환경에서 프로덕션 데이터를 사용하는 것을 금지하는 보안 정책을 보유하고 있습니다. 익명화, 해싱 및 토큰화 기술을 사용하여 개인 데이터를 포함한 제한된 데이터를 익명화 또는 보호하는 방법에 대한 가이드라인을 유지합니다.

유지 관리 단계

코드를 프로덕션으로 푸시하기 전에 공식 운영 준비성 및 변경 제어 프로세스를 통과해야 합니다.

시스템이 배포되면 자동화된 취약점 검사를 정기적으로 실행합니다. 보안 관행에서 살펴봤듯이, Atlassian은 크라우드 소싱된 신뢰할 수 있는 보안 연구원 그룹을 통해 지속적인 시스템 보안을 보증하는 업계 최고의 버그 바운티 프로그램을 제공합니다.

보안 성과 기록표

Atlassian은 모든 제품의 보안 포스처를 측정하는 데 사용되는 제품 보안 성과 기록표라는 자동화된 책임 및 모니터링 시스템을 만들었습니다. 현재 취약점, 교육 범위, 최근 보안 인시던트 및 보안 챔피언 범위와 같은 광범위한 보안 중심 기준을 활용하여 각 제품에 전체 매일 보안 점수를 제공합니다.

이 성과 기록 프로세스를 통해 각 제품 팀이 주의를 기울여야 하는 보안 영역을 객관적으로 볼 수 있으며, 해소해야 하는 기존 격차와 이러한 격차를 해소하기 위한 조치를 식별할 수 있습니다. 또한 Atlassian 보안 팀은 보안 성과 기록표 프로세스를 통해 시간이 지남에 따라, 특히 제품군이 계속해서 확장됨에 따라 보안 관점에서 모든 제품을 추적하는 방식을 쉽게 파악할 수 있습니다.