Offcanvas

SQL ���������

기트허브, 보안 취약점 찾아준다··· ‘코드 스캐닝’ 공식 출시

기트허브가 ‘코드 스캐닝(code scanning)’ 서비스를 일반에 공개했다. 기트허브가 2019년 인수한 코드 분석 플랫폼 셈멜(Semmle)의 코드QL(CodeQL) 시맨틱 코드 분석 기술을 기반으로 한다. 이제 퍼블릭 리포지토리에서 코드 스캐닝을 사용해 코드 베이스의 보안 취약점을 발견할 수 있다. 이 서비스는 서드파티 툴을 사용한 분석도 지원한다.    기본적으로 기트허브 코드 스캐닝은 실행할 수 있는 보안 규칙만 작동시켜 개발자가 당면한 문제에 집중할 수 있도록 돕는다. 이 서비스는 기트허브 액션(GitHub Actions) 또는 기존 CI/CD 환경과도 통합된다. 또한 생성된 코드를 스캔하고 풀 리퀘스트 및 기타 기트허브 환경에서 실행 가능한 보안 리뷰를 표시하여 워크플로우의 일부로 보안을 자동화한다. 기트허브는 이렇게 하면 보안 취약점이 처음부터 프로덕션에 적용되지 않는다고 설명했다. 개발자는 기트허브와 커뮤니티에서 생성된 2,000개 이상의 쿼리를 활용하거나, 사용자 정의 쿼리를 구축해 새로운 보안 문제를 쉽게 찾고 막을 수 있다.  기트허브 코드 스캐닝은 SARIF 표준을 기반으로 개발됐으며 확장할 수 있다. 개발자는 동일한 기트허브 네이티브 환경에 오픈소스 및 상용 SAST(정적 애플리케이션 보안 테스트) 솔루션을 포함시킬 수 있다. 서드파티 스캐닝 엔진을 통합해 단일 인터페이스에서 모든 보안 도구의 결과를 확인하고, 단일 API를 통해 여러 스캐닝 결과를 내보낼 수도 있다.  기트허브 코드 스캐닝은 퍼블릭 리포지토리에서 무료로 제공된다. 프라이빗 리포지토리에서는 기트허브 어드밴스드 시큐리티(GitHub Advanced Security)를 통해 기트허브 엔터프라이즈(GitHub Enterprise) 서비스에서 코드 스캐닝을 사용할 수 있다.  한편 기트허브에 따르면 지난 5월 첫 베타가 공개된 이후 기트허브 코드 스캐닝은 1만 2,000여 개의 리포지토리에서 140만 번 사용됐다. ...

기트허브 셈멜 코드 스캐닝 코드 분석 퍼블릭 리포지토리 보안 취약점 SARIF 원격 코드 실행 SQL 인젝션 크로스 사이트 스크립팅

2020.10.05

기트허브가 ‘코드 스캐닝(code scanning)’ 서비스를 일반에 공개했다. 기트허브가 2019년 인수한 코드 분석 플랫폼 셈멜(Semmle)의 코드QL(CodeQL) 시맨틱 코드 분석 기술을 기반으로 한다. 이제 퍼블릭 리포지토리에서 코드 스캐닝을 사용해 코드 베이스의 보안 취약점을 발견할 수 있다. 이 서비스는 서드파티 툴을 사용한 분석도 지원한다.    기본적으로 기트허브 코드 스캐닝은 실행할 수 있는 보안 규칙만 작동시켜 개발자가 당면한 문제에 집중할 수 있도록 돕는다. 이 서비스는 기트허브 액션(GitHub Actions) 또는 기존 CI/CD 환경과도 통합된다. 또한 생성된 코드를 스캔하고 풀 리퀘스트 및 기타 기트허브 환경에서 실행 가능한 보안 리뷰를 표시하여 워크플로우의 일부로 보안을 자동화한다. 기트허브는 이렇게 하면 보안 취약점이 처음부터 프로덕션에 적용되지 않는다고 설명했다. 개발자는 기트허브와 커뮤니티에서 생성된 2,000개 이상의 쿼리를 활용하거나, 사용자 정의 쿼리를 구축해 새로운 보안 문제를 쉽게 찾고 막을 수 있다.  기트허브 코드 스캐닝은 SARIF 표준을 기반으로 개발됐으며 확장할 수 있다. 개발자는 동일한 기트허브 네이티브 환경에 오픈소스 및 상용 SAST(정적 애플리케이션 보안 테스트) 솔루션을 포함시킬 수 있다. 서드파티 스캐닝 엔진을 통합해 단일 인터페이스에서 모든 보안 도구의 결과를 확인하고, 단일 API를 통해 여러 스캐닝 결과를 내보낼 수도 있다.  기트허브 코드 스캐닝은 퍼블릭 리포지토리에서 무료로 제공된다. 프라이빗 리포지토리에서는 기트허브 어드밴스드 시큐리티(GitHub Advanced Security)를 통해 기트허브 엔터프라이즈(GitHub Enterprise) 서비스에서 코드 스캐닝을 사용할 수 있다.  한편 기트허브에 따르면 지난 5월 첫 베타가 공개된 이후 기트허브 코드 스캐닝은 1만 2,000여 개의 리포지토리에서 140만 번 사용됐다. ...

2020.10.05

호미로 막는 지혜 ‘안전한 코딩’

정보 보안 전문가에 대한 수요가 높다. 그리고 향후 몇 년 동안 더욱 높아질 전망이다. 즉 보안 전문가를 채용하기가 점점 더 힘들어질 것이라는 의미다. 이에 대한 대안 중 하나는 보다 안전한 코드를 작성하도록 내부 IT 인력을 훈련시키는 것이다. 미국 내무부의 CIO를 역임했고 지금은 보안 교육 및 인증 기관인 (ISC)2의 대표를 맡고 있는 호드 팁톤에 따르면, 현재 미국에는 220만 명의 보안 전문가들이 있다. 그러나 2015년에는 425만 명으로 늘어날 전망이다. 단 수요를 충족할 숙련된 보안 전문가가 충분하다는 전제 아래서다. 이미 중소기업과 대기업 모두 보안 전문 지식을 갖춘 IT 인력 확보에 애를 먹고 있는 실정이다. IT 민간 협회인 컴티아(CompTIA)가 올해 초 발표한 보고서에 따르면, 조사 대상 기업 중 41%가 보안 기술을 갖춘 IT 직원들이 다소 부족하거나, 심각하게 부족하다고 대답하고 있다. 컴티아는 기업들은 평균적으로 30%의 보안 인력 부족 현상을 겪고 있다고 분석했다. 이 밖에 정보 보안 애널리스트와 관련된 통계를 다룬 미국 노동부의 2011년 통계(BLS)에 따르면, 이 분야의 실업율은 0%라는 놀라운 수치를 기록하고 있다. 팁톤은 "보안 인력에 대한 수요가 더 높아질 전망'이라고 강조했다. 이런 수요를 충족하기 위해서는 (ISC)2 같은 보안 기관뿐만 아니라, 보안 전문가, 기업, 경영진 모두가 참여하는 다방면의 노력이 필요하다. 보다 안전한 코드 작성 기업들이 이런 어려움을 완화할 수 있는 가장 중요한 예방책 가운데 하나는 개발자들이 처음부터 한층 안전하게 프로그램을 코딩하도록 하는 것이다. 팁톤은 "기업들은 여전히 취약성이 많은 소프트웨어를 생산하고 있는가? 애초에 취약성이 많은 소프트웨어를 개발하고, 계속해서 패칭을 할 필요가 있겠는가?"라고 반문했다. 이에 대한 대답이 여기 있다. 경영진이 애초부터 안전한 프로그램 코딩에 우선순위...

보안 코드 코딩 SQL 인젝션 애플리케이션 보안

2012.07.10

정보 보안 전문가에 대한 수요가 높다. 그리고 향후 몇 년 동안 더욱 높아질 전망이다. 즉 보안 전문가를 채용하기가 점점 더 힘들어질 것이라는 의미다. 이에 대한 대안 중 하나는 보다 안전한 코드를 작성하도록 내부 IT 인력을 훈련시키는 것이다. 미국 내무부의 CIO를 역임했고 지금은 보안 교육 및 인증 기관인 (ISC)2의 대표를 맡고 있는 호드 팁톤에 따르면, 현재 미국에는 220만 명의 보안 전문가들이 있다. 그러나 2015년에는 425만 명으로 늘어날 전망이다. 단 수요를 충족할 숙련된 보안 전문가가 충분하다는 전제 아래서다. 이미 중소기업과 대기업 모두 보안 전문 지식을 갖춘 IT 인력 확보에 애를 먹고 있는 실정이다. IT 민간 협회인 컴티아(CompTIA)가 올해 초 발표한 보고서에 따르면, 조사 대상 기업 중 41%가 보안 기술을 갖춘 IT 직원들이 다소 부족하거나, 심각하게 부족하다고 대답하고 있다. 컴티아는 기업들은 평균적으로 30%의 보안 인력 부족 현상을 겪고 있다고 분석했다. 이 밖에 정보 보안 애널리스트와 관련된 통계를 다룬 미국 노동부의 2011년 통계(BLS)에 따르면, 이 분야의 실업율은 0%라는 놀라운 수치를 기록하고 있다. 팁톤은 "보안 인력에 대한 수요가 더 높아질 전망'이라고 강조했다. 이런 수요를 충족하기 위해서는 (ISC)2 같은 보안 기관뿐만 아니라, 보안 전문가, 기업, 경영진 모두가 참여하는 다방면의 노력이 필요하다. 보다 안전한 코드 작성 기업들이 이런 어려움을 완화할 수 있는 가장 중요한 예방책 가운데 하나는 개발자들이 처음부터 한층 안전하게 프로그램을 코딩하도록 하는 것이다. 팁톤은 "기업들은 여전히 취약성이 많은 소프트웨어를 생산하고 있는가? 애초에 취약성이 많은 소프트웨어를 개발하고, 계속해서 패칭을 할 필요가 있겠는가?"라고 반문했다. 이에 대한 대답이 여기 있다. 경영진이 애초부터 안전한 프로그램 코딩에 우선순위...

2012.07.10

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13