PhotoRobot SDLC 보안 정책

이 문서는 PhotoRobot SDLC 보안 정책을 정의합니다. PhotoRobot의 소프트웨어 개발 수명 주기 전반에 걸쳐 적용되는 보안 요구사항을 상세히 설명하며, DPA 및 SLA에 따른 계약 의무 준수를 지원합니다.  

‍

‍

원칙

• 설계 시 보안
• 코드 및 인프라에 대한 최소 권한 접근
• 의무 코드 검토
• 의존성 및 취약점 관리

‍

‍

개발 워크플로우

• 버전 관리에 저장된 모든 코드는
• 풀 리퀘스트를 통해 검토한 변경 사항
• CI 파이프라인은 자동화된 테스트를 강제합니다

‍

‍

의존성 관리

• 정기적인 취약점 스캔
• 구식 라이브러리 사전 업그레이드
• 신뢰할 수 있는 패키지 소스만 허용됩니다

‍

‍

빌드 및 배포

• 통제된 CI/CD 파이프라인을 통한 배포
• 롤백 메커니즘 사용 가능
• 배포를 위한 감사 로그 유지

‍

‍

비밀 관리

• 비밀 보관 시 안전하게 보관 (Google Secret Manager)
• 저장소에 하드코딩된 비밀이 없습니다
• 민감한 키에 대한 회전 강제

‍

‍

시험

• 단위, 적분, 회귀 테스트
• 적용 시 보안 테스트 포함

‍

‍

릴리스 관리

• 변경 기록 유지
• 버전 버전 기반 발매
• 주요 업데이트를 위한 통제된 롤아웃