Offcanvas

������ ���������

기트허브, 보안 취약점 찾아준다··· ‘코드 스캐닝’ 공식 출시

기트허브가 ‘코드 스캐닝(code scanning)’ 서비스를 일반에 공개했다. 기트허브가 2019년 인수한 코드 분석 플랫폼 셈멜(Semmle)의 코드QL(CodeQL) 시맨틱 코드 분석 기술을 기반으로 한다. 이제 퍼블릭 리포지토리에서 코드 스캐닝을 사용해 코드 베이스의 보안 취약점을 발견할 수 있다. 이 서비스는 서드파티 툴을 사용한 분석도 지원한다.    기본적으로 기트허브 코드 스캐닝은 실행할 수 있는 보안 규칙만 작동시켜 개발자가 당면한 문제에 집중할 수 있도록 돕는다. 이 서비스는 기트허브 액션(GitHub Actions) 또는 기존 CI/CD 환경과도 통합된다. 또한 생성된 코드를 스캔하고 풀 리퀘스트 및 기타 기트허브 환경에서 실행 가능한 보안 리뷰를 표시하여 워크플로우의 일부로 보안을 자동화한다. 기트허브는 이렇게 하면 보안 취약점이 처음부터 프로덕션에 적용되지 않는다고 설명했다. 개발자는 기트허브와 커뮤니티에서 생성된 2,000개 이상의 쿼리를 활용하거나, 사용자 정의 쿼리를 구축해 새로운 보안 문제를 쉽게 찾고 막을 수 있다.  기트허브 코드 스캐닝은 SARIF 표준을 기반으로 개발됐으며 확장할 수 있다. 개발자는 동일한 기트허브 네이티브 환경에 오픈소스 및 상용 SAST(정적 애플리케이션 보안 테스트) 솔루션을 포함시킬 수 있다. 서드파티 스캐닝 엔진을 통합해 단일 인터페이스에서 모든 보안 도구의 결과를 확인하고, 단일 API를 통해 여러 스캐닝 결과를 내보낼 수도 있다.  기트허브 코드 스캐닝은 퍼블릭 리포지토리에서 무료로 제공된다. 프라이빗 리포지토리에서는 기트허브 어드밴스드 시큐리티(GitHub Advanced Security)를 통해 기트허브 엔터프라이즈(GitHub Enterprise) 서비스에서 코드 스캐닝을 사용할 수 있다.  한편 기트허브에 따르면 지난 5월 첫 베타가 공개된 이후 기트허브 코드 스캐닝은 1만 2,000여 개의 리포지토리에서 140만 번 사용됐다. ...

기트허브 셈멜 코드 스캐닝 코드 분석 퍼블릭 리포지토리 보안 취약점 SARIF 원격 코드 실행 SQL 인젝션 크로스 사이트 스크립팅

2020.10.05

기트허브가 ‘코드 스캐닝(code scanning)’ 서비스를 일반에 공개했다. 기트허브가 2019년 인수한 코드 분석 플랫폼 셈멜(Semmle)의 코드QL(CodeQL) 시맨틱 코드 분석 기술을 기반으로 한다. 이제 퍼블릭 리포지토리에서 코드 스캐닝을 사용해 코드 베이스의 보안 취약점을 발견할 수 있다. 이 서비스는 서드파티 툴을 사용한 분석도 지원한다.    기본적으로 기트허브 코드 스캐닝은 실행할 수 있는 보안 규칙만 작동시켜 개발자가 당면한 문제에 집중할 수 있도록 돕는다. 이 서비스는 기트허브 액션(GitHub Actions) 또는 기존 CI/CD 환경과도 통합된다. 또한 생성된 코드를 스캔하고 풀 리퀘스트 및 기타 기트허브 환경에서 실행 가능한 보안 리뷰를 표시하여 워크플로우의 일부로 보안을 자동화한다. 기트허브는 이렇게 하면 보안 취약점이 처음부터 프로덕션에 적용되지 않는다고 설명했다. 개발자는 기트허브와 커뮤니티에서 생성된 2,000개 이상의 쿼리를 활용하거나, 사용자 정의 쿼리를 구축해 새로운 보안 문제를 쉽게 찾고 막을 수 있다.  기트허브 코드 스캐닝은 SARIF 표준을 기반으로 개발됐으며 확장할 수 있다. 개발자는 동일한 기트허브 네이티브 환경에 오픈소스 및 상용 SAST(정적 애플리케이션 보안 테스트) 솔루션을 포함시킬 수 있다. 서드파티 스캐닝 엔진을 통합해 단일 인터페이스에서 모든 보안 도구의 결과를 확인하고, 단일 API를 통해 여러 스캐닝 결과를 내보낼 수도 있다.  기트허브 코드 스캐닝은 퍼블릭 리포지토리에서 무료로 제공된다. 프라이빗 리포지토리에서는 기트허브 어드밴스드 시큐리티(GitHub Advanced Security)를 통해 기트허브 엔터프라이즈(GitHub Enterprise) 서비스에서 코드 스캐닝을 사용할 수 있다.  한편 기트허브에 따르면 지난 5월 첫 베타가 공개된 이후 기트허브 코드 스캐닝은 1만 2,000여 개의 리포지토리에서 140만 번 사용됐다. ...

2020.10.05

코드 스캐닝 및 코드스페이스 곧 출시··· 기트허브, 로드맵 공개

앞으로 몇 개월 동안 기트허브에서 기대할 수 있는 것들을 알려주는 ‘공개 로드맵’이 발표됐다. 이 로드맵에는 코드 스캐닝부터 워크플로우, 보안 강화에 이르기까지 다양한 개선 사항들이 포함됐다.    지난 7월 29일 기트허브가 공개한 ‘기트허브 로드맵(GitHub roadmap)’은 관련 계획 및 타임라인을 비롯해 코드-투-클라우드 데브옵스(code-to-cloud devops), 협업(collaboration), 보안(security), 컴플라이언스(compliance), 클라이언트 애플리케이션(client applications), 저장소(repos), 풀 리퀘스트(pull requests), 지스트(gists) 등을 포함한 여러 기능들의 릴리즈 일정(알파 단계부터 GA까지)을 보여주고 있다.  기트허브 로드맵에서 공개된 몇 가지 주요 기능들은 다음과 같다.  • 기트허브 ‘코드QL(CodeQL) 시맨틱 코드 분석 엔진’을 사용하는 ‘클라우드용 코드 스캐닝(Code scanning for the cloud)’. 이를 사용하면 분석 결과가 저장소와 풀 리퀘스트에 표시된다. 해당 기능은 이번 분기에 공개될 예정이다.  • 마이크로소프트 ‘비주얼 스튜디오 코드 에디터(Visual Studio Code editor)’를 활용해 클라우드에서 호스팅되는 인스턴트 개발 환경을 제공하는 ‘코드스페이스(Codespaces)’. 이를 통해 개발자는 커밋에 드는 시간을 단축해 더 빨리 시작하고 실행할 수 있게 된다. 기업 또한 클라우드에서 코드를 유지 관리하는 안전한 클라우드 호스팅 환경을 확보할 수 있다. 코드스페이스는 2020년 4분기에 GA될 계획이다.  • 기트허브 프라이빗 인스턴스용 ‘기트허브 액션(GitHub Actions)’. 기트허브 프라이빗 인스턴스에 기트허브 워크플로우 기능을 제공한다. 오는 2021년 1분기에 공개될 예정이다.  • ‘디펜더봇 보안(Dependabot sec...

기트허브 로드맵 코드 스캐닝 워크플로우 보안 강화 데브옵스 현업 컴플라이언스 애플리케이션 클라우드 저장소 풀 리퀘스트 지스트 마이크로소프트 비주얼 스튜디오 코드 에디터 구글 구글 클라우드 컴포저

2020.08.03

앞으로 몇 개월 동안 기트허브에서 기대할 수 있는 것들을 알려주는 ‘공개 로드맵’이 발표됐다. 이 로드맵에는 코드 스캐닝부터 워크플로우, 보안 강화에 이르기까지 다양한 개선 사항들이 포함됐다.    지난 7월 29일 기트허브가 공개한 ‘기트허브 로드맵(GitHub roadmap)’은 관련 계획 및 타임라인을 비롯해 코드-투-클라우드 데브옵스(code-to-cloud devops), 협업(collaboration), 보안(security), 컴플라이언스(compliance), 클라이언트 애플리케이션(client applications), 저장소(repos), 풀 리퀘스트(pull requests), 지스트(gists) 등을 포함한 여러 기능들의 릴리즈 일정(알파 단계부터 GA까지)을 보여주고 있다.  기트허브 로드맵에서 공개된 몇 가지 주요 기능들은 다음과 같다.  • 기트허브 ‘코드QL(CodeQL) 시맨틱 코드 분석 엔진’을 사용하는 ‘클라우드용 코드 스캐닝(Code scanning for the cloud)’. 이를 사용하면 분석 결과가 저장소와 풀 리퀘스트에 표시된다. 해당 기능은 이번 분기에 공개될 예정이다.  • 마이크로소프트 ‘비주얼 스튜디오 코드 에디터(Visual Studio Code editor)’를 활용해 클라우드에서 호스팅되는 인스턴트 개발 환경을 제공하는 ‘코드스페이스(Codespaces)’. 이를 통해 개발자는 커밋에 드는 시간을 단축해 더 빨리 시작하고 실행할 수 있게 된다. 기업 또한 클라우드에서 코드를 유지 관리하는 안전한 클라우드 호스팅 환경을 확보할 수 있다. 코드스페이스는 2020년 4분기에 GA될 계획이다.  • 기트허브 프라이빗 인스턴스용 ‘기트허브 액션(GitHub Actions)’. 기트허브 프라이빗 인스턴스에 기트허브 워크플로우 기능을 제공한다. 오는 2021년 1분기에 공개될 예정이다.  • ‘디펜더봇 보안(Dependabot sec...

2020.08.03

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31