계: Environment
이 섹션에는 소스 코드 외부에 있지만 제작 중인 제품의 보안에는 여전히 중요한 내용이 모두 포함되어 있습니다. 이 섹션에서 다루는 문제들은 소스 코드와 직접적으로 관련이 없기 때문에 나머지 섹션과 분리했습니다.
Insecure Deployment: Non Production Ready
Abstract
응용 프로그램에 포함된 구성 요소가 운영 환경에 배포하도록 설계되어 있지 않습니다.
Explanation
Django 응용 프로그램에서는 운영 환경에 배포하도록 설계되어 있지 않은
"
이 보기는
때문에 이 보기는 대체로 비효율적이며 안전하지 않을 수도 있습니다. 이는 로컬 개발에만 사용하기 위한 것이며 운영 환경에 사용해서는 안 됩니다."
static files 응용 프로그램의 serve 보기를 노출합니다. Django 설명서에 따르면 다음과 같습니다."
static files 도구는 대부분 정적 파일을 운영 환경에 성공적으로 배포하는 데 도움이 되도록 설계되어 있습니다. 일반적으로, 로컬로 개발하는 경우 상당한 처리 부담으로 작용하는 별도의 전용 정적 파일 서버가 여기에 해당합니다. 따라서 staticfiles 앱은 개발 시 파일을 로컬로 제공하는 데 사용할 수 있는 단순하면서도 정리되지 않은 도우미 보기가 함께 제공됩니다.이 보기는
DEBUG가 True로 설정되어 있는 경우에만 작동합니다.때문에 이 보기는 대체로 비효율적이며 안전하지 않을 수도 있습니다. 이는 로컬 개발에만 사용하기 위한 것이며 운영 환경에 사용해서는 안 됩니다."
References
[1] Django Foundation The staticfiles app
[2] Django Foundation Managing static files
[3] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-000381
[4] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[5] Standards Mapping - NIST Special Publication 800-53 Revision 4 CM-7 Least Functionality (P1)
[6] Standards Mapping - NIST Special Publication 800-53 Revision 5 CM-7 Least Functionality
[7] Standards Mapping - OWASP Mobile 2024 M2 Inadequate Supply Chain Security
[8] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 10.2 - Threat and Vulnerability Management
[9] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 10.2 - Threat and Vulnerability Management
[10] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 10.2 - Threat and Vulnerability Management, Control Objective C.1.6 - Web Software Components & Services
[11] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-001500 CAT II
[12] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-001500 CAT II
[13] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-001500 CAT II
[14] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-001500 CAT II
[15] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-001500 CAT II
[16] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-001500 CAT II
[17] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-001500 CAT II
[18] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-001500 CAT II
[19] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-001500 CAT II
[20] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-001500 CAT II
[21] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-001500 CAT II
[22] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-001500 CAT II
[23] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-001500 CAT II
[24] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-001500 CAT II
[25] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-001500 CAT II
desc.structural.python.insecure_deployment_non_production_ready_staticfiles