Offcanvas

개발자 / 보안 / 오픈소스

기트허브, 보안 취약점 찾아준다··· ‘코드 스캐닝’ 공식 출시

2020.10.05 Paul Krill  |  InfoWorld
기트허브가 ‘코드 스캐닝(code scanning)’ 서비스를 일반에 공개했다. 기트허브가 2019년 인수한 코드 분석 플랫폼 셈멜(Semmle)의 코드QL(CodeQL) 시맨틱 코드 분석 기술을 기반으로 한다. 이제 퍼블릭 리포지토리에서 코드 스캐닝을 사용해 코드 베이스의 보안 취약점을 발견할 수 있다. 이 서비스는 서드파티 툴을 사용한 분석도 지원한다. 
 
ⓒGetty Images

기본적으로 기트허브 코드 스캐닝은 실행할 수 있는 보안 규칙만 작동시켜 개발자가 당면한 문제에 집중할 수 있도록 돕는다. 이 서비스는 기트허브 액션(GitHub Actions) 또는 기존 CI/CD 환경과도 통합된다.

또한 생성된 코드를 스캔하고 풀 리퀘스트 및 기타 기트허브 환경에서 실행 가능한 보안 리뷰를 표시하여 워크플로우의 일부로 보안을 자동화한다. 기트허브는 이렇게 하면 보안 취약점이 처음부터 프로덕션에 적용되지 않는다고 설명했다.

개발자는 기트허브와 커뮤니티에서 생성된 2,000개 이상의 쿼리를 활용하거나, 사용자 정의 쿼리를 구축해 새로운 보안 문제를 쉽게 찾고 막을 수 있다. 

기트허브 코드 스캐닝은 SARIF 표준을 기반으로 개발됐으며 확장할 수 있다. 개발자는 동일한 기트허브 네이티브 환경에 오픈소스 및 상용 SAST(정적 애플리케이션 보안 테스트) 솔루션을 포함시킬 수 있다.

서드파티 스캐닝 엔진을 통합해 단일 인터페이스에서 모든 보안 도구의 결과를 확인하고, 단일 API를 통해 여러 스캐닝 결과를 내보낼 수도 있다. 

기트허브 코드 스캐닝은 퍼블릭 리포지토리에서 무료로 제공된다. 프라이빗 리포지토리에서는 기트허브 어드밴스드 시큐리티(GitHub Advanced Security)를 통해 기트허브 엔터프라이즈(GitHub Enterprise) 서비스에서 코드 스캐닝을 사용할 수 있다. 

한편 기트허브에 따르면 지난 5월 첫 베타가 공개된 이후 기트허브 코드 스캐닝은 1만 2,000여 개의 리포지토리에서 140만 번 사용됐다. 또 원격 코드 실행(RCE), SQL 인젝션, 크로스 사이트 스크립팅(XSS) 취약점을 포함한 2만 건 이상의 보안 문제를 발견했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.