Offcanvas

개발자 / 데브옵스 / 애플리케이션 / 클라우드

IBM, 클라우드 기반 CI/CD 서비스에 '코드 위험 분석기' 추가

2020.11.05 Paul Krill  |  InfoWorld
IBM 클라우드 CD(IBM Cloud Continuous Delivery) 서비스에 '코드 리스크 애널라이저'(Code Risk Analyzer ; CRA)가 추가됐다. 이 위험 분석기는 깃 저장소 내의 파이선, Node.js 및 Java 소스 코드를 스캔해 보안 및 법척 위험을 검토한다.

회사 측은 데브옵스에 보안 및 컴플라이언스 준수 분석을 제공하기 위해 이번 기능을 개발했다고 전했다. 

IBM에 따르면 CRA는 개발자의 코드 파이프라인이 시작될 때 실행되도록 구성할 수 있는 보안 조치에 해당한다. 깃 저장소를 분석해 오픈소스 코드의 문제점을 발견할 수 있다는 설명이다. 결과적으로 도구 체인을 프로비저닝하고, 테스트 및 빌드를 자동화하고, 분석을 통해 소프트웨어 품질을 제어하는 ​​데 도움이 될 수 있다고 IBM은 전했다. 

개발 배경과 관련해 IBM은 마이크로서비스 및 컨테이너와 같은 클라우드 네이티브 개발 사례가 보안 및 규정 준수 프로세스를 변화시킴에 따라 중앙 집중식 운영 팀이 애플리케이션 보안 및 컴플라이언스를 관리하기가 불가능해졌기 때문이라고 설명했다. 이로 인해 개발자가 일상적인 워크플로우에서 보안 및 컴플라이언스를 보장하도록 돕는 도구가 필요했다는 주장이다. 

설명에 따르면 CRA는 깃 기반 소스 코드 저장소에서 파이선, Node.js 및 자바 코드를 스캔하고 취약성 검사, 라이선스 관리 검사 및 배포 구성에 대한 CIS(Center for Internet Security) 준수 검사를 수행하는 한편 모든 종속성 및 소스와 관련해 '재료 명세서'(bill of materials)를 생성한다.  좀더 구체적으로는 테라폼(Terraform) 파일을 스캔해 잘못된 보안 구성을 찾는다. 오늘날 테라폼 파일은 클라우드 오브젝트 스토어(Cloud Object Store)와 같은 클라우드 서비스를 프로비저닝하는 데 사용된다. 

한편 IBM은 CRA에 대해 NIST 또는 CIS와 같은 표준을 이용해 최대한 학습 부담을 덜었다고 덧붙였다. 개발자에게 실행 가능한 피드백을 제공함으로써 보안 정의 및 정책을 일일이 이해할 필요를 줄였다는 설명이다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.