1. DB to DB 방식 > 서버 간 직접 DB 연동, Linked Server, DB Replication, ETL 등- 보안 측면 장점  > 내부 네트워크 환경에서만 운영 가능 > 외부 노출 위험이 적음.  > 직접적인 쿼리 실행 > 트랜잭션 속도가 빠를 수 있음.  > DB 계정 기반 접근 제어 > 특정 권한만 부여 가능.  > 복잡한 인증 과정 없이도 데이터 교환 가능. - 보안 측면  단점  > 직접 DB 접근 권한이 필요 > 계정이 유출되면 치명적.  > 보안 로깅이 어렵고 감사(Audit) 기능이 제한적.  > SQL Injection 등 DB 직접 공격 가능성 존재.  > DB 간 스키마가 다를 경우 연동이 어려움.  > DB 장애 시 전체 서비스 영향 가능. 2. API 방식 > RES..

@RequestParam, @PathVariable, @QueryParam 검증@Rule(key = "CheckParameterValidation", name = "Parameters must be validated", description = "Ensure that parameters are validated in controllers", priority = Priority.CRITICAL, tags = {"security", "input-validation"})public class ParameterValidationRule extends IssuableSubscriptionVisitor { @Override public List nodesToVisit(..

1. 인증 보안 (Authentication Security)  - 다중 인증(MFA) 적용 여부   > 비밀번호 기반 인증만 사용하는 경우 보안성이 낮아짐 → OTP, FIDO2, 인증 앱(Google Authenticator, MS Authenticator) 적용 가능 여부 검토.   > 관리자 계정 및 중요 서비스 접근 시 강제 적용 검토.  - 비밀번호 정책   > 비밀번호 복잡성, 최소 길이, 변경 주기, 재사용 제한 등의 정책이 적용되는지 확인.   > AD, LDAP, IDP(Okta, Azure AD 등)와의 연동 시 비밀번호 정책 일관성 유지 여부.  - SSO 토큰 보안   > JWT, SAML, OAuth 2.0 기반 토큰이 보안성이 확보되었는지 검토.   > 토큰 서명(Signatu..

1. 인증(Authentication)  - 인증 방식 선택   > OAuth2, JWT(JSON Web Token), API Key 등 적절한 인증 방식을 사용하고 있는지 확인  - 멀티팩터 인증(MFA)   > 필요에 따라 추가 인증 수단을 도입해 보안 수준 향상 2. 인가(Authorization)  - 권한 관리   > 사용자별/역할별로 세분화된 권한(예 RBAC, ABAC)을 적용하여 리소스 접근 제어가 적절하게 이루어지는지 검토  - 정책 기반 접근 제어   > 각 API 엔드포인트에 대해 접근 가능한 사용자나 그룹을 설정    3. 암호화(Encryption)  - 전송 암호화   > API 통신은 반드시 HTTPS/TLS를 사용하여 데이터 전송 시 도청 및 변조를 방지  - 저장 데이터 암..

데이터 보호 및 암호화 - E2EE(End- to- End Encryption) 지원 여부  - 전송 및 저장 시 데이터 암호화(AES- 256 등)  - 키 관리 방식 (BYOK, KMS 등)  - 파일 및 메시지 보관 정책 (영구 삭제 가능 여부) 인증 및 접근 제어 - MFA (Multi- Factor Authentication) 지원 여부  - SSO(Single Sign- On) 지원 (AD, SAML, OAuth 등)  - 사용자 권한 관리 (관리자, 직원, 외부 협력사 구분)  - IP 제한 및 디바이스 제한 기능 보안 감시 및 로깅 - 메시지 및 파일 전송 기록 로깅  - 비정상적인 로그인 및 접근 탐지  - 관리자가 접근할 수 있는 감사 로그 제공 여부  - SIEM 연동 가능 여부 취약..

AWS EC2에 PuTTY를 사용해 접속하려면, PuTTY에서 .pem 파일을 직접 지원하지 않기 때문에 PuTTY Key Generator 를 사용하여 .ppk 형식으로 변환해줘야 함. 다운로드https://www.puttygen.com/download-putty

1. Quality Profiles언어별로 기본 제공하는 Quality Profile이 있으며, 커스텀을 통해 편집하거나 새로운 Profile 생성 가능.각 Profile으은 정적코드 분석을 위한 Rules을 정의하며, 이를 통해 코드에서 분석할 문제의 종류(버그, 취약점, 코드스멜 등)을 설정예시Java용 Quality Profile에서 SQL Injection, Null Pointer Dereference와 같은 규칙을 활성화하고, 특정 규칙(예: Line Length Check)을 비활성화프로젝트에서 사용하는 프로그래밍 언어마다 각각의 Quality Profile을 설정2. Quality Gates분석 결과를 기준으로 코드 품질의 합격/불합격 여부를 평가하는 기준코드 분석 결과가 일정 기준(예: 신..

1. SonarQube Token 생성SonarQube에 관리자 계정으로 로그인.우측 상단 프로필 메뉴 → My Account → Security → Generate Token 생성2. Jenkins에 SonarQube 플러그인 설치1) Jenkins 내 플러그인 설치Manage Jenkins → Manage Plugins → Available 탭에서 SonarQube Scanner 플러그인을 검색 및 설치.Jenkins 서비스 재시작 2) SonarQube 서버 정보 등록Manage Jenkins → Configure SystemSonarQube servers 섹션 > 아래 설정 추가Name: SonarQube 서버 이름Server URL: SonarQube 서버 주소 (예: https://uri:90..