Offcanvas

보안

깃랩, 소프트웨어 공급망 보호하는 보안 및 거버넌스 솔루션 개선

2022.10.26 편집부  |  CIO KR
깃랩은 큐브콘+클라우드네이티브콘(KubeCon+CloudNativeCon) 컨퍼런스에서 기업들이 모든 소프트웨어 개발 라이프사이클 단계에 보안 및 컴플라이언스를 통합하고, 소프트웨어 공급망을 보호할 수 있도록 보안 및 거버넌스 솔루션의 향상된 기능을 발표했다.
 

깃랩은 증가하는 보안 요구사항을 충족하기 위해 보안 및 거버넌스 솔루션을 개선하고, 보안 결과 및 컴플라이언스 요구사항에 대한 가시성과 관리 기능을 지원하는 것은 물론, 최상의 소프트웨어 공급망 보안 환경을 제공한다고 밝혔다.

기업에 대한 규제 및 컴플라이언스 요구사항이 증가함에 따라, 깃랩은 프로젝트 의존성과 보안 결과 및 사용자 활동에 대한 가시성을 제공해 팀이 위험을 식별할 수 있도록 거버넌스에 대한 초점을 보다 강화했다. 여기에는 보안 정책 관리, 컴플라이언스 관리, 감사 이벤트, 취약성 관리를 비롯해 향후 도입될 의존성 관리 기능 등이 포함되어 있다. 

이러한 거버넌스 기능은 ▲정적 애플리케이션 보안 테스트(SAST: Static Application Security Testing) ▲인증정보 탐지 ▲동적 애플리케이션 보안 테스트(DAST: Dynamic Application Security Testing) ▲API 보안 ▲퍼즈 테스트(Fuzz Testing) ▲의존성 스캐닝(Dependency Scanning) ▲라이선스 준수 및 컨테이너 스캐닝(Container Scanning) 등과 같은 포괄적인 보안 테스트 기능 세트와 함께 기업들이 속도와 민첩성을 유지하면서도 소프트웨어 공급망의 지속적인 보안 및 컴플라이언스를 달성할 수 있도록 지원한다.

깃랩의 제품 담당 부사장인 데이비드 디산토는 “기업들이 경쟁력을 유지하고, 디지털 혁신을 추진하기 위해서는 소프트웨어 개발, 운영 및 보안에 능숙해야 한다”며, “깃랩은 향상된 보안 및 거버넌스 기능을 통해 기업들의 소프트웨어 공급망을 보호할 수 있는 포괄적인 데브섹옵스 솔루션으로 더욱 강화되었다”고 밝혔다.

올해 초 'SBOM(Software Bill of Materials)'을 도입한 깃랩은 기업들이 SBOM을 생성하고, 발견된 구성요소 내의 취약성을 자동으로 스캔할 수 있도록 지원하는 것은 물론, 개발자의 자연스러운 워크플로우 내에서 이러한 취약성을 해결할 수 있는 가이드를 제공한다. 'SBOM 보고서 인제스트(Ingest)'는 곧 출시될 예정이며, 개발자의 워크플로우를 보호하고, 사용하기 쉽게 데이터를 집계할 수 있도록 제3자의 기존 SBOM 데이터를 파싱(Parsing) 및 인제스트해 깃랩이 보다 효율적으로 SBOM을 생성할 수 있도록 지원한다.

깃랩은 곧 출시될 예정인 '빌드 산출물 서명' 기능을 통해 빌드 산출물 신뢰성을 증명하기 위해 빌드 산출물과 증명 파일을 모두 서명으로 암호화하여 생성한 후 변경되지 않았음을 입증할 수 있다. 'SLSA-2 증명'을 적용하지 않으면, 컨테이너 기반 아키텍처가 결함 및 취약성이 있거나 승인되지 않은 소프트웨어를 배포할 위험을 초래할 수 있다. SLSA-2 증명은 소프트웨어 변조를 보호하고, 추가적인 빌드 무결성 보장을 제공하기 위해 깃랩 15 릴리스 이후 도입되었다. 깃랩 러너(GitLab Runner)는 이제 빌드 산출물에 대한 SLSA-2 호환 증명 메타 데이터를 생성할 수 있다.

깃랩은 기업들이 시프트 레프트로 전환하여 취약성을 사전에 스캐닝하고, 제어 기능을 구현하여 애플리케이션을 보호할 수 있도록 지원한다. 기업들은 깃랩의 향상된 기능을 통해 소스 코드와 컨테이너, 의존성 및 실행 중인 애플리케이션에서 취약성을 자동으로 스캐닝할 수 있다. 또한 이러한 보안 기능은 애플리케이션이 운영환경에 배포되기 전후에 위협 탐지를 자동화하여 보안 위험을 줄이는데 도움을 준다.

운영 전문가는 컴플라이언스 및 감사 요구사항 관리를 자신의 책임 범위 내의 활동으로 식별하고 있다. 깃랩은 새로운 기능과 조만간 출시될 기능을 통해 팀이 변경사항을 추적하고, 제어 기능을 구현하여 운영환경에 배포할 항목을 정의하는 것은 물론, 컴플라이언스 및 규제 프레임워크 라이선스를 준수하는데 도움이 될 것으로 기대하고 있다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.