# SaaS CTO 보안 체크리스트 [27p PDF]

> Clean Markdown view of GeekNews topic #2509. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=2509](https://news.hada.io/topic?id=2509)
- GeekNews Markdown: [https://news.hada.io/topic/2509.md](https://news.hada.io/topic/2509.md)
- Type: news
- Author: [xguru](https://news.hada.io/@xguru)
- Published: 2020-07-23T10:10:10+09:00
- Updated: 2020-07-23T10:10:10+09:00
- Original source: [sqreen.com](https://www.sqreen.com/resources/saas-cto-security-checklist)
- Points: 9
- Comments: 2

## Topic Body

웹 서비스를 운영한다면 기본적으로 확인해야 할 보안 사항들을 항목별로 리스트하고, 참고할 문서 및 예제 링크들을 정리

* 회사 전반

- 도메인 보안

- 데이터 수집 및 GDPR

- 사내에서 사용중인 3rd 파티 서비스 보안(구글앱스,슬랙,워드프레스 등)

- 사외/사내용 보안 정책 수립

- 버그바운티 프로그램 운영

- 보안 사고 대응계획 수립

- 컴플라이언스 준수

- 가능한 모든 곳에 2FA

- 온보딩/오프로딩 체크리스트

* 인프라

- HTTPS

- 기본 보안 체크 (HSTS, X-Frame-Options, CSP 등)

- OS/Docker 이미지 업데이트 자동화

- 내부 서비스의 IP 접속 제한

- 로그의 중앙집중화

- 서비스 모니터링

- 메트릭에 기반한 특이사항 모니터링

- 재난시 인프라 재설치 방법 정리

* 코드

- 보안 코드 리뷰 체크리스트 작성 및 강제

- SAST 도입

- Secrets (암호,키 등) 관리

- 보안 중점 테스트 세션 수행

- 온보드시 보안 교육 수행

* 어플리케이션

- 관리자/루트가 아닌 계정으로 실행

- 써드파티 라이브러리에 대한 지속적인 트래킹

- RASP (Realtime Application Self Production) 도입

- 외부의 침투 테스트 팀 고용

- 보안 자동화

## Comments



### Comment 2378

- Author: owler
- Created: 2020-07-23T10:24:13+09:00
- Points: 1

파일 링크 : https://assets.sqreen.com/whitepapers/saas-cto-security-checklist-v2.pdf

### Comment 2377

- Author: xguru
- Created: 2020-07-23T10:10:17+09:00
- Points: 1

Sqreen 이라는 보안도구를 만드는 회사가 만든 체크리스트라서 홍보성 내용을 포함하긴 합니다만

전체 리스트를 보고 이를 통해서 각자 회사에 맞게 적용하면 될 것 같습니다.