Security in Django: ReBAC 구조 설계하기
카테고리: 웹 서비스 (Web Service)
난이도: 고급
발표 시간: 30분
언어: 한국어
설명
웹 서비스들의 구조적 복잡성이 증대 됨에 따라 쉬운 역할 및 권한 관리를 위해 RBAC / ReBAC 구조를 채택하는 경우가 많아지고 있습니다. 저희 서비스도 예외는 아니였는데요, 많은 역할과 권한 관리의 필요가 예상되어 초기 기획 부터 SSDLC-ish한 관점에서 ReBAC를 사용하기로 결정하였고 Table-less role assignment, Role explosion, Hierarchical object graph, Row-level access control 등 요구 사항을 정의하였습니다. 기존 Django 생태계의 라이브러리들의 현황을 먼저 확인 후, 앞서 정의한 요구사항을 만족하기 위해 저희가 각각 문제에 대해 접근한 방향과 구현에 대해 소개하고 이를 해결하는 오픈소스 라이브러리인 django-entity-rbac를 만들기까지의 여정을 소개합니다.발표자 소개
서민교, 강진오
서민교: 사이버 보안 스타트업 Theori에서 버그바운티 플랫폼 PatchDay 서비스의 팀 리드이자 소프트웨어 엔지니어로 근무하고있다. Offensive security 필드에서 활동하며 DEF CON, Google CTF를 비롯한 국/내외 해킹방어대회에서 다수 수상 및 본선 진출, Best of the Best 5기 Top 10, KAIST SysSec 인턴 등 여러 경험을 쌓았다. 주요 관심사는 취약점 분석, 소프트웨어 설계이며 최근에는 Web3와 프로덕트 개발에도 관심이 생겨 탐험을 하고 있다. 강진오: 사이버 보안 스타트업 Theori에서 소프트웨어 엔지니어로 근무하고 있다. 웹 프레임워크부터 소프트웨어 정적분석 도구 등 다양한 파이썬 오픈소스 프로젝트에 기여해 왔으며, 실무에서 파이썬을 활용해 사이버보안 위협으로부터 더욱 안전한 세상을 만드는 소프트웨어를 개발하고 있다. 가상화, 분산 컴퓨팅, 머신 러닝 등 다양한 분야에서 활동하는 것을 목표로 하고 있다.
