DevSecOps
DevSecOps 도구별 무료 사용 가능 범위
봉의일상
2025. 3. 16. 23:07
1️⃣ CI/CD (Jenkins & GitHub Actions)
도구개인기업
| GitHub Actions | ✅ 퍼블릭 무제한, 프라이빗 월 2,000분 무료 | ❌ 프라이빗 무료 없음 |
| Jenkins | ✅ 무료 (서버 필요) | ✅ 무료 (서버 필요) |
✔ 기업에서도 GitHub Actions을 무료로 쓰려면 퍼블릭 리포지토리를 사용하거나 Self-hosted Runner 활용
✔ Jenkins는 개인/기업 모두 무료지만, 직접 서버를 운영해야 함
2️⃣ 정적 코드 분석 (SAST)
도구개인기업
| SonarQube (Community Edition) | ✅ 무료 | ✅ 무료 (기본 기능만 가능) |
| Semgrep | ✅ 무료 | ✅ 무료 (기본 기능) |
✔ SonarQube는 Community Edition 무료, 기업용은 Advanced 기능 유료
✔ Semgrep도 기본 기능은 무료지만, 대형 코드베이스 분석 시 유료
3️⃣ 동적 분석 (DAST - 웹 취약점 스캐너)
도구개인기업
| OWASP ZAP | ✅ 완전 무료 | ✅ 완전 무료 |
| Burp Suite Community | ✅ 무료 (기본 기능) | ❌ 기업용은 유료 |
✔ OWASP ZAP은 개인/기업 모두 무료
✔ Burp Suite Community 버전은 기업에서는 기능 부족 (전문 기능은 유료)
4️⃣ 컨테이너 보안 (Trivy, Clair)
도구개인기업
| Trivy (Aqua Security) | ✅ 무료 | ✅ 무료 |
| Clair | ✅ 무료 | ✅ 무료 |
✔ Trivy, Clair 모두 개인/기업 무료 사용 가능
✔ 기업에서도 Docker 이미지 취약점 분석 무료로 가능
5️⃣ 로그 모니터링 (ELK, Grafana)
도구개인기업
| ELK Stack (Elasticsearch, Logstash, Kibana) | ✅ 무료 (기본 버전) | ✅ 무료 (기본 버전) |
| Grafana + Loki | ✅ 무료 | ✅ 무료 |
✔ ELK Stack 기본 버전은 개인/기업 무료, 기업에서는 유료 기능(보안, 클러스터링) 추가 가능
✔ Grafana + Loki는 개인/기업 무료 사용 가능
결론: 개인 & 기업 무료 사용 전략
기능개인 무료 사용기업 무료 사용
| CI/CD | GitHub Actions (퍼블릭) | Jenkins 또는 Self-hosted GitHub Actions |
| SAST | SonarQube (Community) 또는 Semgrep | SonarQube (Community) 또는 Semgrep |
| DAST | OWASP ZAP | OWASP ZAP |
| 컨테이너 보안 | Trivy | Trivy |
| 로그 모니터링 | ELK (기본) 또는 Grafana+Loki | ELK (기본) 또는 Grafana+Loki |
기업에서도 완전히 무료로 사용하려면
- GitHub Actions 대신 Jenkins 또는 Self-hosted Runner 사용
- SAST, DAST, 컨테이너 보안은 무료 도구 활용 가능
- 로그 모니터링은 ELK 대신 Grafana + Loki가 가벼움