Offcanvas

���������

AI 코딩 비서 ‘깃허브 코파일럿’, 올여름 출시 예정

마이크로소프트가 5월 24일(현지 시각) 연례 빌드 개발자 컨퍼런스에서 코드 편집기에 입력한 내용에 따라 코드 또는 함수를 제안하는 AI 기반 코딩 어시스턴트 ‘깃허브 코파일럿(GitHub Copilot)’이 올여름 출시될 예정이라고 발표했다. 아울러 클라우드 기반 데브 박스(Dev Box) 워크스페이스, 파워 페이지(Power Pages) 로우코드 웹 개발, 애저 컨테이너 앱(Azure Container Apps) 등도 공개됐다.    연례 빌드 컨퍼런스에서 마이크로소프트는 깃허브 코파일럿이 올여름 GA 버전으로 전환된다는 소식을 알렸다. 깃허브 코파일럿은 비주얼 스튜디오 코드(Visual Studio Code), 네오빔(Neovim), 젯브레인 IDE(JetBrains IDEs)의 확장 프로그램으로 사용할 수 있다. 마이크로소프트는 깃허브의 모회사다.  깃허브 코파일럿은 공개적으로 사용 가능한 수십억 줄의 소스코드와 자연어를 학습한 AI 시스템 ‘오픈AI 코덱스(OpenAI Codex)’를 기반으로 한다. 한편 작업 중인 코드의 맥락을 활용하는 이 도구와 관련해 자유 소프트웨어 재단(Free Software Foundation)은 무료 라이선스 소스코드 사용의 합법성과 윤리에 의문을 제기해왔다.    --> 칼럼ㅣ깃허브 코파일럿에서 ‘희망’을 보았다 --> “깃허브 코파일럿, 용납할 수 없고 부당하다” 자유 소프트웨어 재단 --> 칼럼 | '미래는 좀처럼 오지 않는다'··· 깃허브 코파일럿을 둘러싼 호들갑 --> 깃허브 코파일럿, 개발자 반응은?··· "놀랍도록 유용"vs"아직 미흡" 깃허브 코파일럿 외에 빌드 개발자 컨퍼런스에서 발표된 다른 제품 및 서비스는 다음과 같다.  • ‘마이크로소프트 데브 박스(Microsoft Dev Box)’는 모든 규모의 하이브리드 팀을 지원하기 위해 안전하고, 즉시 코딩할 수 있는 워크스테이션을 제공하는...

마이크로소프트 깃허브 깃허브 코파일럿 AI 코딩 비서 코딩

4일 전

마이크로소프트가 5월 24일(현지 시각) 연례 빌드 개발자 컨퍼런스에서 코드 편집기에 입력한 내용에 따라 코드 또는 함수를 제안하는 AI 기반 코딩 어시스턴트 ‘깃허브 코파일럿(GitHub Copilot)’이 올여름 출시될 예정이라고 발표했다. 아울러 클라우드 기반 데브 박스(Dev Box) 워크스페이스, 파워 페이지(Power Pages) 로우코드 웹 개발, 애저 컨테이너 앱(Azure Container Apps) 등도 공개됐다.    연례 빌드 컨퍼런스에서 마이크로소프트는 깃허브 코파일럿이 올여름 GA 버전으로 전환된다는 소식을 알렸다. 깃허브 코파일럿은 비주얼 스튜디오 코드(Visual Studio Code), 네오빔(Neovim), 젯브레인 IDE(JetBrains IDEs)의 확장 프로그램으로 사용할 수 있다. 마이크로소프트는 깃허브의 모회사다.  깃허브 코파일럿은 공개적으로 사용 가능한 수십억 줄의 소스코드와 자연어를 학습한 AI 시스템 ‘오픈AI 코덱스(OpenAI Codex)’를 기반으로 한다. 한편 작업 중인 코드의 맥락을 활용하는 이 도구와 관련해 자유 소프트웨어 재단(Free Software Foundation)은 무료 라이선스 소스코드 사용의 합법성과 윤리에 의문을 제기해왔다.    --> 칼럼ㅣ깃허브 코파일럿에서 ‘희망’을 보았다 --> “깃허브 코파일럿, 용납할 수 없고 부당하다” 자유 소프트웨어 재단 --> 칼럼 | '미래는 좀처럼 오지 않는다'··· 깃허브 코파일럿을 둘러싼 호들갑 --> 깃허브 코파일럿, 개발자 반응은?··· "놀랍도록 유용"vs"아직 미흡" 깃허브 코파일럿 외에 빌드 개발자 컨퍼런스에서 발표된 다른 제품 및 서비스는 다음과 같다.  • ‘마이크로소프트 데브 박스(Microsoft Dev Box)’는 모든 규모의 하이브리드 팀을 지원하기 위해 안전하고, 즉시 코딩할 수 있는 워크스테이션을 제공하는...

4일 전

깃허브, 2023년 말까지 모든 사용자 대상으로 ‘2FA’ 의무화한다

깃허브가 ‘2단계 인증(2FA)’ 도입을 대대적으로 추진하고 있다. (이에 따라) 깃허브 호스팅 저장소에 코드를 업로드하는 모든 사용자는 2023년 말까지 1개 이상의 2FA 형식을 활성화해야 한다. 이는 가장 최근 집계로 약 8,300만 명의 개발자에게 영향을 미칠 것으로 보인다.    회사에 따르면 대부분의 보안 침해는 특이한 제로데이 공격의 산물이 아니라 소셜 엔지니어링, 자격증명 도난 또는 유출 등과 관련돼 있다. “손상된 계정은 개인 코드를 훔치거나 악의적인 코드 변경 사항을 푸시하는 데 악용돼 애플리케이션 사용자에게 영향을 미칠 수 있다. 즉, 광범위한 소프트웨어 생태계 및 공급망에 미치는 영향이 상당하다. 최선의 방어는 암호 기반 인증을 넘어서는 것이다”라고 깃허브는 말했다.  깃허브는 이미 깃 오퍼레이션과 깃허브 REST API의 기본 인증을 중단하고, (사용자 이름과 암호 외에) 이메일 기반 기기 확인을 통해 이러한 방향으로 나아가고 있다고 밝혔다. “2FA는 강력한 다음 방어선이다. 하지만 소프트웨어 생태계 전반에서 2FA 채택 현황은 낮은 수준이다. 현재 현재 깃허브 활성 사용자의 약 16.5%, NPM 사용자의 약 6.44%만이 1개 이상의 2FA 형식을 쓰고 있다”라고 지적했다.   한편 이 회사는 최근 iOS와 안드로이드에서 깃허브 모바일용 2FA를 출시했다. 깃허브 모바일 2FA를 구성하는 방법은 2022년 1월 업로드된 깃허브 블로그 게시물을 통해 확인할 수 있다.  아울러 깃허브는 지난 2월 NPM 레지스트리 상위 100개 패키지의 모든 유지관리자를 대상으로 2FA를 의무화했으며, 이어 3월에는 모든 NPM 계정을 강화된 로그인 인증에 등록했다. 5월 31일까지는 상위 500개 패키지의 모든 유지관리자까지 2FA 의무화를 확대할 계획이라고 덧붙였다. ciokr@idg.co.kr  

깃허브 개발자 이중인증 2단계 인증 다중인증 보안 소셜 엔지니어링 자격증명 도난 보안 침해

2022.05.06

깃허브가 ‘2단계 인증(2FA)’ 도입을 대대적으로 추진하고 있다. (이에 따라) 깃허브 호스팅 저장소에 코드를 업로드하는 모든 사용자는 2023년 말까지 1개 이상의 2FA 형식을 활성화해야 한다. 이는 가장 최근 집계로 약 8,300만 명의 개발자에게 영향을 미칠 것으로 보인다.    회사에 따르면 대부분의 보안 침해는 특이한 제로데이 공격의 산물이 아니라 소셜 엔지니어링, 자격증명 도난 또는 유출 등과 관련돼 있다. “손상된 계정은 개인 코드를 훔치거나 악의적인 코드 변경 사항을 푸시하는 데 악용돼 애플리케이션 사용자에게 영향을 미칠 수 있다. 즉, 광범위한 소프트웨어 생태계 및 공급망에 미치는 영향이 상당하다. 최선의 방어는 암호 기반 인증을 넘어서는 것이다”라고 깃허브는 말했다.  깃허브는 이미 깃 오퍼레이션과 깃허브 REST API의 기본 인증을 중단하고, (사용자 이름과 암호 외에) 이메일 기반 기기 확인을 통해 이러한 방향으로 나아가고 있다고 밝혔다. “2FA는 강력한 다음 방어선이다. 하지만 소프트웨어 생태계 전반에서 2FA 채택 현황은 낮은 수준이다. 현재 현재 깃허브 활성 사용자의 약 16.5%, NPM 사용자의 약 6.44%만이 1개 이상의 2FA 형식을 쓰고 있다”라고 지적했다.   한편 이 회사는 최근 iOS와 안드로이드에서 깃허브 모바일용 2FA를 출시했다. 깃허브 모바일 2FA를 구성하는 방법은 2022년 1월 업로드된 깃허브 블로그 게시물을 통해 확인할 수 있다.  아울러 깃허브는 지난 2월 NPM 레지스트리 상위 100개 패키지의 모든 유지관리자를 대상으로 2FA를 의무화했으며, 이어 3월에는 모든 NPM 계정을 강화된 로그인 인증에 등록했다. 5월 31일까지는 상위 500개 패키지의 모든 유지관리자까지 2FA 의무화를 확대할 계획이라고 덧붙였다. ciokr@idg.co.kr  

2022.05.06

깃허브, 유출된 오쓰(OAuth)로 인해 개인 저장소 해킹당했다고 밝혀

세일즈포스 산하의 PaaS 업체 헤로쿠(Heroku)와 깃허브(GitHub)에 따르면 손상된 오쓰(OAuth) 사용자 토큰이 헤로쿠와 지속적인 통합 및 테스트 서비스 트래비스 CI(Travis CI)를 쓰는 조직의 개인 리포지토리 데이터를 다운로드하는 데 악용됐다.    깃허브는 깃허브 시스템 자체가 해킹돼 오쓰 토큰이 유출됐을 가능성은 낮다고 밝혔다. 문제가 된 오쓰 토큰은 깃허브에서 사용 가능한 포맷으로 저장되지 않기 때문이다. 이는 인증을 위해 오쓰 프레임워크를 사용하는 헤로쿠와 트레비스 CI의 애플리케이션에서 가져왔을 가능성이 크다고 회사 측은 설명했다. 4월 15일(현지 시각) 깃허브는 5개의 오쓰 애플리케이션이 영향을 받았다고 전했다. 4가지 버전의 헤로쿠 대시보드(ID 145909, 628778, 313468, 363831)와 트레비스 CI(ID 9261)다.  세일즈포스는 지난 수요일 깃허브의 통지를 받은 이후 손상된 오쓰 토큰과 해당 토큰의 출처 계정을 비활성화했다고 말했다. 헤로쿠는 공식 블로그에서 “깃허브가 공유한 정보를 바탕으로 위협 행위자가 어떻게 고객 오쓰 토큰에 접근했는지 조사하고 있다”라면서, “손상된 토큰은 위협 행위자에게 고객 깃허브 리포지토리의 액세스 권한을 제공했지만 고객 헤로쿠 계정 액세스 권한은 제공하지 않았을 수 있다”라고 언급했다.  헤로쿠는 영향을 받은 제품의 사용자에게 데이터 도난의 증거가 있는지 즉시 깃허브 로그를 검토하고, 의심스러운 활동이 감지되면 세일즈포스 보안팀에 연락하라고 촉구했다. 또 문제가 해결될 때까지 헤로쿠로 연결된 애플리케이션은 깃허브 리포지토리에서 연결을 끊고, 노출된 자격증명을 취소하거나 교체해야 한다고 권고했다. 4월 17일 게시된 가장 최근 업데이트에 의하면 세일즈포스는 모든 오쓰 토큰을 해지했다. 세일즈포스에 따르면 토큰 취소는 새 토큰을 발행할 수 있을 때까지 깃허브에서 헤로쿠 대시보드로 새로운 앱을 배포할 수 없다는 것을 의미한다. ...

깃허브 리포지토리 저장소 오쓰 헤로쿠 세일즈포스

2022.04.19

세일즈포스 산하의 PaaS 업체 헤로쿠(Heroku)와 깃허브(GitHub)에 따르면 손상된 오쓰(OAuth) 사용자 토큰이 헤로쿠와 지속적인 통합 및 테스트 서비스 트래비스 CI(Travis CI)를 쓰는 조직의 개인 리포지토리 데이터를 다운로드하는 데 악용됐다.    깃허브는 깃허브 시스템 자체가 해킹돼 오쓰 토큰이 유출됐을 가능성은 낮다고 밝혔다. 문제가 된 오쓰 토큰은 깃허브에서 사용 가능한 포맷으로 저장되지 않기 때문이다. 이는 인증을 위해 오쓰 프레임워크를 사용하는 헤로쿠와 트레비스 CI의 애플리케이션에서 가져왔을 가능성이 크다고 회사 측은 설명했다. 4월 15일(현지 시각) 깃허브는 5개의 오쓰 애플리케이션이 영향을 받았다고 전했다. 4가지 버전의 헤로쿠 대시보드(ID 145909, 628778, 313468, 363831)와 트레비스 CI(ID 9261)다.  세일즈포스는 지난 수요일 깃허브의 통지를 받은 이후 손상된 오쓰 토큰과 해당 토큰의 출처 계정을 비활성화했다고 말했다. 헤로쿠는 공식 블로그에서 “깃허브가 공유한 정보를 바탕으로 위협 행위자가 어떻게 고객 오쓰 토큰에 접근했는지 조사하고 있다”라면서, “손상된 토큰은 위협 행위자에게 고객 깃허브 리포지토리의 액세스 권한을 제공했지만 고객 헤로쿠 계정 액세스 권한은 제공하지 않았을 수 있다”라고 언급했다.  헤로쿠는 영향을 받은 제품의 사용자에게 데이터 도난의 증거가 있는지 즉시 깃허브 로그를 검토하고, 의심스러운 활동이 감지되면 세일즈포스 보안팀에 연락하라고 촉구했다. 또 문제가 해결될 때까지 헤로쿠로 연결된 애플리케이션은 깃허브 리포지토리에서 연결을 끊고, 노출된 자격증명을 취소하거나 교체해야 한다고 권고했다. 4월 17일 게시된 가장 최근 업데이트에 의하면 세일즈포스는 모든 오쓰 토큰을 해지했다. 세일즈포스에 따르면 토큰 취소는 새 토큰을 발행할 수 있을 때까지 깃허브에서 헤로쿠 대시보드로 새로운 앱을 배포할 수 없다는 것을 의미한다. ...

2022.04.19

“기밀 커밋되기 전에 스캔한다” 깃허브, ‘암호 검색’ 강화

‘깃허브 어드밴스드 시큐리티(GitHub Advanced Security)’를 사용하는 기업은 이제 코드를 리포지토리에 푸시할 때 토큰, 키 및 기타 보안 암호를 검색할 수 있다.    깃허브가 (자사의) 어드밴스드 시큐리티 서비스에서 ‘푸시 보호(push protection)’ 기능을 업데이트했다고 밝혔다. 새로운 기능은 개발자가 코드를 리포지토리에 푸시할 때 액세스 토큰, API 키 및 기타 자격증명 등의 (신뢰도가 높은) 암호 코드를 검색하고, 암호가 식별되면 푸시를 차단한다.  지난 4월 4일(현지 시각) 발표된 이 푸시 보호 기능을 사용하면 깃허브 어드밴드스 시큐리티 고객은 git push가 승인되기 전에 암호를 검색하여 유출을 방지할 수 있다고 회사 측은 설명했다. 엔터프라이즈 계정에서 활용할 수 있는 깃허브 어드밴스드 시큐리티는 코드 스캔, 종속성 검토, 암호 검색 등의 서비스를 제공하여 기밀이 리포지토리에서 노출되지 않도록 지원한다. 개발자는 암호 검색을 통해 자격증명 유출을 사전에 방지하고, 자격증명 오용으로 인한 위반을 보호할 수 있다.  아울러 깃허브 어드밴스드 시큐리티의 푸시 보호 기능을 쓰면 암호 검색이 개발자 워크플로우에 포함된다. 하지만 개발 생산성을 저해하지 않고 이를 활성화하기 위해 푸시 보호 기능은 정확하게 감지할 수 있는 토큰 유형만 지원한다. 회사에 따르면 지금까지 암호 검색 기능은 수천 개의 개인 리포지토리에서 70만 개 이상의 기밀을 감지했다.  깃허브의 제품 관리자 마리암 술라키안은 “매우 식별 가능한 기밀이 커밋되기 전에 검색함으로써 보안을 사후 대응이 아닌 사전 예방으로 전환하고, 암호가 완전히 유출되는 사고를 방지할 수 있다”라고 말했다.  깃허브 어드밴스드 시큐리티를 사용하는 기업은 UI 또는 API를 통해 클릭 한 번으로 리포지토리 또는 조직 수준에서 암호 검색의 푸시 보호 기능을 활성화할 수 있다고 회사 측은 덧붙였다. ciokr@idg.co....

깃허브 보안 코드 보안 리포지토리 저장소 데이터 유출

2022.04.11

‘깃허브 어드밴스드 시큐리티(GitHub Advanced Security)’를 사용하는 기업은 이제 코드를 리포지토리에 푸시할 때 토큰, 키 및 기타 보안 암호를 검색할 수 있다.    깃허브가 (자사의) 어드밴스드 시큐리티 서비스에서 ‘푸시 보호(push protection)’ 기능을 업데이트했다고 밝혔다. 새로운 기능은 개발자가 코드를 리포지토리에 푸시할 때 액세스 토큰, API 키 및 기타 자격증명 등의 (신뢰도가 높은) 암호 코드를 검색하고, 암호가 식별되면 푸시를 차단한다.  지난 4월 4일(현지 시각) 발표된 이 푸시 보호 기능을 사용하면 깃허브 어드밴드스 시큐리티 고객은 git push가 승인되기 전에 암호를 검색하여 유출을 방지할 수 있다고 회사 측은 설명했다. 엔터프라이즈 계정에서 활용할 수 있는 깃허브 어드밴스드 시큐리티는 코드 스캔, 종속성 검토, 암호 검색 등의 서비스를 제공하여 기밀이 리포지토리에서 노출되지 않도록 지원한다. 개발자는 암호 검색을 통해 자격증명 유출을 사전에 방지하고, 자격증명 오용으로 인한 위반을 보호할 수 있다.  아울러 깃허브 어드밴스드 시큐리티의 푸시 보호 기능을 쓰면 암호 검색이 개발자 워크플로우에 포함된다. 하지만 개발 생산성을 저해하지 않고 이를 활성화하기 위해 푸시 보호 기능은 정확하게 감지할 수 있는 토큰 유형만 지원한다. 회사에 따르면 지금까지 암호 검색 기능은 수천 개의 개인 리포지토리에서 70만 개 이상의 기밀을 감지했다.  깃허브의 제품 관리자 마리암 술라키안은 “매우 식별 가능한 기밀이 커밋되기 전에 검색함으로써 보안을 사후 대응이 아닌 사전 예방으로 전환하고, 암호가 완전히 유출되는 사고를 방지할 수 있다”라고 말했다.  깃허브 어드밴스드 시큐리티를 사용하는 기업은 UI 또는 API를 통해 클릭 한 번으로 리포지토리 또는 조직 수준에서 암호 검색의 푸시 보호 기능을 활성화할 수 있다고 회사 측은 덧붙였다. ciokr@idg.co....

2022.04.11

스택 오버플로우 복붙보다 나쁘다? ‘AI 생성 코드’를 믿을 수 없는 이유

깃허브 코파일럿, 탭나인 등의 AI 기반 도구는 개발자가 코드를 더 빠르게 작성하도록 돕는 자동완성 제안을 지원한다. 하지만 이렇게 생성된 코드가 안전하다고 어떻게 믿을 수 있을까?  2021년 6월, 깃허브가 코드 자동완성 도구 ‘코파일럿’을 출시했을 때 많은 개발자는 이 도구가 ‘내 마음을 읽고 코드를 더 빨리 쓸 수 있도록 도와준다’라며 놀라움을 감추지 못했다. 코파일럿은 누군가가 쓴 변수 이름과 주석을 기반으로 다음에 무엇이 올지 제안한다. 이는 코드 줄 또는 개발자가 작성 방법을 모를 수도 있는 전체 함수를 제공한다.    하지만 개발자가 확인하지 않고 이러한 제안을 사용하면 보안 취약점이 발생할 수 있다. 美 뉴욕대학교의 탠던 공대 연구진에 따르면 코파일럿을 테스트한 결과 이 도구가 생성한 코드의 40%에서 취약점이 발견됐다. 연구진은 알려진 취약점을 자동으로 찾아내는 깃허브의 코드QL(CodeQL)을 사용하여 (코파일럿이 생성한) 코드를 확인했고, ‘2021년 CWE 가장 위험한 소프트웨어 취약점 25개(2021 Top 25 Most Dangerous Software Weakness)’ 목록에 포함된 SQL 주입 취약점 또는 결함을 발견했다. 또 베리로그(Verilog) 등의 도메인 특정 언어의 경우 구문적으로 정확하고 의미 있는 코드를 생성하는 데 어려움을 겪었다고 언급했다.  이러한 문제의 대부분은 코파일럿이 구축된 방식에서 비롯된다. 첫째, 이 모델은 깃허브에 게시된 코드를 학습했는데, 이러한 코드의 상당 부분은 검증되지 않았다. 둘째, 오픈소스 리포지토리에는 충분한 경계를 구축하지 않고 입력 및 동작을 검사하는 많은 반복 코드 패턴이 포함될 수 있다. 코파일럿은 패턴이 빈번할수록 더 널리 사용되고, 따라서 안전하다는 가정하에 이러한 패턴을 제안한다. 셋째, 생성된 코드는 컴파일되지 않고, 잠재적인 보안 문제가 없는지 확인되지도 않는다. 아울러 연구진은 누군가의 리포지토리에 실수로 남겨진 일부 기밀...

깃허브 깃허브 코파일럿 AI 머신러닝 코드 자동완성 개발자 탭나인 인공지능 프로그래밍

2022.03.23

깃허브 코파일럿, 탭나인 등의 AI 기반 도구는 개발자가 코드를 더 빠르게 작성하도록 돕는 자동완성 제안을 지원한다. 하지만 이렇게 생성된 코드가 안전하다고 어떻게 믿을 수 있을까?  2021년 6월, 깃허브가 코드 자동완성 도구 ‘코파일럿’을 출시했을 때 많은 개발자는 이 도구가 ‘내 마음을 읽고 코드를 더 빨리 쓸 수 있도록 도와준다’라며 놀라움을 감추지 못했다. 코파일럿은 누군가가 쓴 변수 이름과 주석을 기반으로 다음에 무엇이 올지 제안한다. 이는 코드 줄 또는 개발자가 작성 방법을 모를 수도 있는 전체 함수를 제공한다.    하지만 개발자가 확인하지 않고 이러한 제안을 사용하면 보안 취약점이 발생할 수 있다. 美 뉴욕대학교의 탠던 공대 연구진에 따르면 코파일럿을 테스트한 결과 이 도구가 생성한 코드의 40%에서 취약점이 발견됐다. 연구진은 알려진 취약점을 자동으로 찾아내는 깃허브의 코드QL(CodeQL)을 사용하여 (코파일럿이 생성한) 코드를 확인했고, ‘2021년 CWE 가장 위험한 소프트웨어 취약점 25개(2021 Top 25 Most Dangerous Software Weakness)’ 목록에 포함된 SQL 주입 취약점 또는 결함을 발견했다. 또 베리로그(Verilog) 등의 도메인 특정 언어의 경우 구문적으로 정확하고 의미 있는 코드를 생성하는 데 어려움을 겪었다고 언급했다.  이러한 문제의 대부분은 코파일럿이 구축된 방식에서 비롯된다. 첫째, 이 모델은 깃허브에 게시된 코드를 학습했는데, 이러한 코드의 상당 부분은 검증되지 않았다. 둘째, 오픈소스 리포지토리에는 충분한 경계를 구축하지 않고 입력 및 동작을 검사하는 많은 반복 코드 패턴이 포함될 수 있다. 코파일럿은 패턴이 빈번할수록 더 널리 사용되고, 따라서 안전하다는 가정하에 이러한 패턴을 제안한다. 셋째, 생성된 코드는 컴파일되지 않고, 잠재적인 보안 문제가 없는지 확인되지도 않는다. 아울러 연구진은 누군가의 리포지토리에 실수로 남겨진 일부 기밀...

2022.03.23

깃허브, ‘자문 데이터베이스’ 공개··· “SW 공급망 보안 개선”

소프트웨어 개발 플랫폼 깃허브(GitHub)가 ‘자문 데이터베이스(Advisory Database)’를 커뮤니티 컨트리뷰터에 개방했다. 이를 통해 누구나 보안 취약점에 관한 인사이트와 인텔리전스를 제공하여 소프트웨어 공급망 보안을 개선할 수 있다.  회사에 따르면 해당 데이터베이스의 전체 내용은 크리에이티브 커먼즈(Creative Commons) 라이선스에 따라 자유롭게 액세스할 수 있는 새로운 퍼블릭 리포지토리에 게시된다. 업계 전문가들은 이러한 종류의 데이터 공유가 소프트웨어 공급망 보안을 개선하고, 소프트웨어 관련 위험을 해결하는 데 중요하다고 입을 모았다.    무료 및 공개 데이터를 활용할 수 있게 된 보안 커뮤니티 수백만 명의 개발자와 기업들이 소프트웨어를 빌드, 배포, 유지관리하기 위해 깃허브를 사용한다. 깃허브는 자문 데이터베이스를 커뮤니티에 개방함으로써 보안 연구진, 관련 학계 등이 보안 권고(security advisories)에 관한 커뮤니티의 이해와 인식을 높일 수 있도록 추가적인 정보와 맥락을 제공, 공유, 활용할 수 있다고 말했다.  이어서 “무료 및 공개 보안 데이터는 업계 전반에서 소프트웨어 공급망을 보호하는 데 매우 중요하다고 본다. 깃허브 자문 데이터베이스는 소프트웨어 종속성 내 취약점에 관한 세계 최대의 데이터베이스다. 더 쉽게 기여하고 사용할 수 있도록 함으로써 더 많은 경험을 제공하고 모든 소프트웨어의 보안을 개선하는 데 더욱더 도움이 되길 바란다”라고 회사 측은 전했다.  아울러 깃허브는 컨트리뷰션을 위한 사용자 인터페이스를 구축했으며, 깃허브 보안 랩(GitHub Security Lab) 연구진이 이를 검토했다. 컨트리뷰터는 패키지, 영향을 받는 버전 및 생태계에 관한 변경사항을 제안하거나 맥락을 제공할 수 있으며, 컨트리뷰션이 수락되면 깃허브 프로필에 공개 크레딧을 받게 된다. 깃허브는 OSV(Open-Source Vulnerabilities) 형식이 해당 리포지토...

깃허브 오픈소스 사이버보안 자문 데이터베이스 보안 취약점 소프트웨어 공급망 데브섹옵스

2022.02.23

소프트웨어 개발 플랫폼 깃허브(GitHub)가 ‘자문 데이터베이스(Advisory Database)’를 커뮤니티 컨트리뷰터에 개방했다. 이를 통해 누구나 보안 취약점에 관한 인사이트와 인텔리전스를 제공하여 소프트웨어 공급망 보안을 개선할 수 있다.  회사에 따르면 해당 데이터베이스의 전체 내용은 크리에이티브 커먼즈(Creative Commons) 라이선스에 따라 자유롭게 액세스할 수 있는 새로운 퍼블릭 리포지토리에 게시된다. 업계 전문가들은 이러한 종류의 데이터 공유가 소프트웨어 공급망 보안을 개선하고, 소프트웨어 관련 위험을 해결하는 데 중요하다고 입을 모았다.    무료 및 공개 데이터를 활용할 수 있게 된 보안 커뮤니티 수백만 명의 개발자와 기업들이 소프트웨어를 빌드, 배포, 유지관리하기 위해 깃허브를 사용한다. 깃허브는 자문 데이터베이스를 커뮤니티에 개방함으로써 보안 연구진, 관련 학계 등이 보안 권고(security advisories)에 관한 커뮤니티의 이해와 인식을 높일 수 있도록 추가적인 정보와 맥락을 제공, 공유, 활용할 수 있다고 말했다.  이어서 “무료 및 공개 보안 데이터는 업계 전반에서 소프트웨어 공급망을 보호하는 데 매우 중요하다고 본다. 깃허브 자문 데이터베이스는 소프트웨어 종속성 내 취약점에 관한 세계 최대의 데이터베이스다. 더 쉽게 기여하고 사용할 수 있도록 함으로써 더 많은 경험을 제공하고 모든 소프트웨어의 보안을 개선하는 데 더욱더 도움이 되길 바란다”라고 회사 측은 전했다.  아울러 깃허브는 컨트리뷰션을 위한 사용자 인터페이스를 구축했으며, 깃허브 보안 랩(GitHub Security Lab) 연구진이 이를 검토했다. 컨트리뷰터는 패키지, 영향을 받는 버전 및 생태계에 관한 변경사항을 제안하거나 맥락을 제공할 수 있으며, 컨트리뷰션이 수락되면 깃허브 프로필에 공개 크레딧을 받게 된다. 깃허브는 OSV(Open-Source Vulnerabilities) 형식이 해당 리포지토...

2022.02.23

“웹 버전에서 서명된 깃허브 커밋 지원”··· VS 코드 1.64 출시

2022년 1월 릴리즈라고도 하는 ‘비주얼 스튜디오 코드 1.64’가 출시됐다. 새로운 사이드 패널(Side Panel)부터 자동 터미널 응답까지 다양한 개선사항을 제공한다. 또한 이번 릴리즈에서는 서명된(signed) 깃허브 커밋을 지원하는 등 웹용 버전을 업데이트했다.  지난 2월 3일 공개된 비주얼 스튜디오 코드 1.64는 공식 웹 사이트에서 액세스할 수 있다. 웹 기반 버전은 이곳(vscode.dev)에서 프리뷰로 제공된다.    개발팀에 따르면 이번 업데이트를 통해 온라인 편집기에서 생성된 커밋이 깃허브 UI에서 서명되고 ‘Verified’로 표시된다. 아울러 메인테이너는 웹용 VS 코드를 사용할 때 포크에서 제출된 풀 요청을 커밋할 수 있다. 이는 새로운 깃허브 그래프QL createCommitOnBranch API 덕분이라고 개발팀은 덧붙였다. 아울러 소스 제어(Source Control) 보기에서 다중 선택을 지원한다. 웹용 VS 코드는 깃허브 풀 리퀘스트, 이슈, 깃허브 리포지토리 확장의 시험판 버전도 번들로 제공한다.  한편 마이크로소프트는 자바스크립트/타입스크립트 등에서도 개선사항을 지원한다고 밝혔다. 이번 버전에서는 선택한 텍스트 주변을 지원하도록 많은 자바스크립트/타입스크립트 스니펫이 업데이트됐다.  이 밖에 비주얼 스튜디오 코드 1.64의 새로운 기능 및 개선사항은 다음과 같다.  • 새로운 레이아웃 옵션인 ‘패널 정렬(Panel Alignment)’이 추가됐다. 이를 사용하면 하단 패널이 창에서 차지하는 범위를 구성할 수 있다.  • 사이드 바(Side Bar) 반대편 워크벤치에 새로운 표면인 사이드 패널(Side Panel)이 도입됐다. 이를 통해 사이드 바 또는 하단 패널에서 보기를 볼 수 있다. 또는 한 번에 더 많은 보기 세트를 볼 수 있다.  • 오디오 신호(Audio Cue)는 현재 줄에 오류, 중단점 또는 접힌 텍스트 영역 등의 특정 마...

마이크로소프트 VS 코드 비주얼 스튜디오 코드 깃허브

2022.02.07

2022년 1월 릴리즈라고도 하는 ‘비주얼 스튜디오 코드 1.64’가 출시됐다. 새로운 사이드 패널(Side Panel)부터 자동 터미널 응답까지 다양한 개선사항을 제공한다. 또한 이번 릴리즈에서는 서명된(signed) 깃허브 커밋을 지원하는 등 웹용 버전을 업데이트했다.  지난 2월 3일 공개된 비주얼 스튜디오 코드 1.64는 공식 웹 사이트에서 액세스할 수 있다. 웹 기반 버전은 이곳(vscode.dev)에서 프리뷰로 제공된다.    개발팀에 따르면 이번 업데이트를 통해 온라인 편집기에서 생성된 커밋이 깃허브 UI에서 서명되고 ‘Verified’로 표시된다. 아울러 메인테이너는 웹용 VS 코드를 사용할 때 포크에서 제출된 풀 요청을 커밋할 수 있다. 이는 새로운 깃허브 그래프QL createCommitOnBranch API 덕분이라고 개발팀은 덧붙였다. 아울러 소스 제어(Source Control) 보기에서 다중 선택을 지원한다. 웹용 VS 코드는 깃허브 풀 리퀘스트, 이슈, 깃허브 리포지토리 확장의 시험판 버전도 번들로 제공한다.  한편 마이크로소프트는 자바스크립트/타입스크립트 등에서도 개선사항을 지원한다고 밝혔다. 이번 버전에서는 선택한 텍스트 주변을 지원하도록 많은 자바스크립트/타입스크립트 스니펫이 업데이트됐다.  이 밖에 비주얼 스튜디오 코드 1.64의 새로운 기능 및 개선사항은 다음과 같다.  • 새로운 레이아웃 옵션인 ‘패널 정렬(Panel Alignment)’이 추가됐다. 이를 사용하면 하단 패널이 창에서 차지하는 범위를 구성할 수 있다.  • 사이드 바(Side Bar) 반대편 워크벤치에 새로운 표면인 사이드 패널(Side Panel)이 도입됐다. 이를 통해 사이드 바 또는 하단 패널에서 보기를 볼 수 있다. 또는 한 번에 더 많은 보기 세트를 볼 수 있다.  • 오디오 신호(Audio Cue)는 현재 줄에 오류, 중단점 또는 접힌 텍스트 영역 등의 특정 마...

2022.02.07

수세, ‘뉴벡터 컨테이너 보안 플랫폼’ 오픈소스로 공개 

수세가 ‘뉴벡터(NeuVector)’를 인수한 지 3개월 만에, 모든 쿠버네티스 사용자를 위해 깃허브의 아파치 2.0 라이선스에 따라 이 ‘전체 라이프사이클’ 컨테이너 보안 플랫폼을 오픈소스화했다. 한편 이 회사는 지난 2021년 10월 28일 뉴벡터를 인수한다고 발표했다.    컨테이너 런타임 보안은 쿠버네티스 클러스터를 강화하는 것부터 프로덕션 환경에 배포된 후 컨테이너 내에서 예기치 않은 동작을 지속적으로 스캔하는 것까지 임시 클라우드 네이티브 워크로드 보호를 목표로 하는 새로운 모델이다. 이러한 컨테이너 보안 니즈에 따라 딥펜스(Deepfence), 시스디그(Sysdig), 아쿠아 시큐리티(Aqua Security) 등의 (자금 지원을 받는) 스타트업은 팔로 알토 네트웍스(트위스트락(TwistLock))부터 레드햇(스택록스(StackRox)) 그리고 이제는 수세(뉴벡터)까지 이 시장을 노리는 기존 벤더와 경쟁하게 됐다.  뉴벡터는 전체 컨테이너 라이프사이클에 걸친 지속적인 취약점 검사, 엔드투엔드 런타임 보안, 포드 전반의 심층 네트워크 가시성, 컴플라이언스를 위한 컨테이터 세분화 등의 기능을 지원한다. 이제 모든 CNCF 인증 쿠버네티스 클러스터에 뉴벡터 컨테이너 이미지를 설치할 수 있다. 또 이는 수세의 자체 관리형 컨테이너 플랫폼 랜처(Rancher)와 긴밀하게 통합돼, 해당 애플리케이션 카탈로그를 통해 사용할 수 있다고 회사 측은 설명했다.  랜처 공동 설립자이자 현재 수세의 엔지니어링 및 혁신 부문 사장인 셍 리앙은 공식 블로그를 통해 “이 움직임이 쿠버네티스 보안에서 생태계 혁신을 주도하는 데 도움이 될 것이다”라고 밝혔다. 이어서 “독점 기술을 완전히 오픈소스화하는 작업은 수세의 오픈소스 문화 그리고 파트너 및 고객에게 개방적이고 상호 운용 가능하며 혁신적인 솔루션을 제공하겠다는 (수세의) 약속을 입증하는 것”이라고 그는 덧붙였다. ciokr@idg.co.kr

수세 오픈소스 뉴벡터 컨테이너 컨테이너 보안 쿠버네티스 깃허브 아파치

2022.01.19

수세가 ‘뉴벡터(NeuVector)’를 인수한 지 3개월 만에, 모든 쿠버네티스 사용자를 위해 깃허브의 아파치 2.0 라이선스에 따라 이 ‘전체 라이프사이클’ 컨테이너 보안 플랫폼을 오픈소스화했다. 한편 이 회사는 지난 2021년 10월 28일 뉴벡터를 인수한다고 발표했다.    컨테이너 런타임 보안은 쿠버네티스 클러스터를 강화하는 것부터 프로덕션 환경에 배포된 후 컨테이너 내에서 예기치 않은 동작을 지속적으로 스캔하는 것까지 임시 클라우드 네이티브 워크로드 보호를 목표로 하는 새로운 모델이다. 이러한 컨테이너 보안 니즈에 따라 딥펜스(Deepfence), 시스디그(Sysdig), 아쿠아 시큐리티(Aqua Security) 등의 (자금 지원을 받는) 스타트업은 팔로 알토 네트웍스(트위스트락(TwistLock))부터 레드햇(스택록스(StackRox)) 그리고 이제는 수세(뉴벡터)까지 이 시장을 노리는 기존 벤더와 경쟁하게 됐다.  뉴벡터는 전체 컨테이너 라이프사이클에 걸친 지속적인 취약점 검사, 엔드투엔드 런타임 보안, 포드 전반의 심층 네트워크 가시성, 컴플라이언스를 위한 컨테이터 세분화 등의 기능을 지원한다. 이제 모든 CNCF 인증 쿠버네티스 클러스터에 뉴벡터 컨테이너 이미지를 설치할 수 있다. 또 이는 수세의 자체 관리형 컨테이너 플랫폼 랜처(Rancher)와 긴밀하게 통합돼, 해당 애플리케이션 카탈로그를 통해 사용할 수 있다고 회사 측은 설명했다.  랜처 공동 설립자이자 현재 수세의 엔지니어링 및 혁신 부문 사장인 셍 리앙은 공식 블로그를 통해 “이 움직임이 쿠버네티스 보안에서 생태계 혁신을 주도하는 데 도움이 될 것이다”라고 밝혔다. 이어서 “독점 기술을 완전히 오픈소스화하는 작업은 수세의 오픈소스 문화 그리고 파트너 및 고객에게 개방적이고 상호 운용 가능하며 혁신적인 솔루션을 제공하겠다는 (수세의) 약속을 입증하는 것”이라고 그는 덧붙였다. ciokr@idg.co.kr

2022.01.19

‘앵귤러JS’ 11년 만에 종료··· “서드파티 지원 옵션은 사용 가능”

웹 개발에 ’혁신을 일으킨’ 자바스크립트 프레임워크가 더 이상 유지되지 않는다. 단, 서드파티 지원 옵션은 사용할 수 있다.  ‘앵귤러JS(AngularJS)’ 자바스크립트 프레임워크가 수명 종료(End-of-Life; EoL)에 도달했다. 그다음 세대인 타입스크립트 기반 앵귤러(Angular) 프레임워크 개발팀은 앵귤러JS 사용자가 후속 제품을 사용하길 바란다고 말했다.    지난 2010년 구글에서 출시된 ‘앵귤러 JS’는 11년 만인 2021년 12월 31일 EOL에 도달했으며, 해당 커뮤니티의 장기 지원도 중단됐다. 하지만 앵귤러 JS 사용자는 엑스엘티에스닷데브(XLTS.dev), 퍼포스(Perforce) 등의 지원 서비스 업체를 포함한 서드파티 지원을 받을 수 있다고 개발팀은 전했다. 앵귤러JS 소스 코드도 NPM, CDN, Bower를 통해 깃허브에서 사용할 수 있다.  구글의 후속작 ‘앵귤러’는 동일한 철학을 사용하지만 지난 2016년에 타입스크립트로 다시 작성된 다른 프레임워크다. 구글 개발자 관계 엔지니어 민코 게체브에 따르면 “타입스크립트는 정적 타이핑을 제공해 개발 경험을 지원하고, 프로덕션 환경에 배포하기 전에 버그를 식별하는 데 도움을 준다.” 퍼포스의 오픈소스 에반젤리티스트 하비에르 페레즈는 EOL 버전의 앵귤러JS를 계속 사용하면 위험할 수 있다고 지적했다. 그는 “오픈소스 커뮤니티의 장기 지원이 EOL에 도달하면 더 이상 패치가 릴리즈되지 않는다. 사용자가 EOL 버전의 소프트웨어를 사용할 경우 심각도가 높거나 치명적인 취약점이 새로 발견됐을 때 패치를 사용할 수 없게 될 위험이 있다”라고 설명했다.  또 앵귤러JS는 웹 애플리케이션에서 널리 사용되기 때문에 브라우저를 변경하면 기능에 영향을 미칠 수 있다고 페레즈는 덧붙였다. 그는 앵귤러JS 사용자는 위험할 수 있는 앵귤러JS에 앱을 유지하거나, 최신 버전의 앵귤러로 앱을 다시 작성하거나, 다른 자바스크립트 프레임워크를 사용하...

구글 앵귤러JS 앵귤러 웹 개발 자바스크립트 프레임워크 퍼포스 깃허브 타입스크립트 자바스크립트 웹 애플리케이션

2022.01.11

웹 개발에 ’혁신을 일으킨’ 자바스크립트 프레임워크가 더 이상 유지되지 않는다. 단, 서드파티 지원 옵션은 사용할 수 있다.  ‘앵귤러JS(AngularJS)’ 자바스크립트 프레임워크가 수명 종료(End-of-Life; EoL)에 도달했다. 그다음 세대인 타입스크립트 기반 앵귤러(Angular) 프레임워크 개발팀은 앵귤러JS 사용자가 후속 제품을 사용하길 바란다고 말했다.    지난 2010년 구글에서 출시된 ‘앵귤러 JS’는 11년 만인 2021년 12월 31일 EOL에 도달했으며, 해당 커뮤니티의 장기 지원도 중단됐다. 하지만 앵귤러 JS 사용자는 엑스엘티에스닷데브(XLTS.dev), 퍼포스(Perforce) 등의 지원 서비스 업체를 포함한 서드파티 지원을 받을 수 있다고 개발팀은 전했다. 앵귤러JS 소스 코드도 NPM, CDN, Bower를 통해 깃허브에서 사용할 수 있다.  구글의 후속작 ‘앵귤러’는 동일한 철학을 사용하지만 지난 2016년에 타입스크립트로 다시 작성된 다른 프레임워크다. 구글 개발자 관계 엔지니어 민코 게체브에 따르면 “타입스크립트는 정적 타이핑을 제공해 개발 경험을 지원하고, 프로덕션 환경에 배포하기 전에 버그를 식별하는 데 도움을 준다.” 퍼포스의 오픈소스 에반젤리티스트 하비에르 페레즈는 EOL 버전의 앵귤러JS를 계속 사용하면 위험할 수 있다고 지적했다. 그는 “오픈소스 커뮤니티의 장기 지원이 EOL에 도달하면 더 이상 패치가 릴리즈되지 않는다. 사용자가 EOL 버전의 소프트웨어를 사용할 경우 심각도가 높거나 치명적인 취약점이 새로 발견됐을 때 패치를 사용할 수 없게 될 위험이 있다”라고 설명했다.  또 앵귤러JS는 웹 애플리케이션에서 널리 사용되기 때문에 브라우저를 변경하면 기능에 영향을 미칠 수 있다고 페레즈는 덧붙였다. 그는 앵귤러JS 사용자는 위험할 수 있는 앵귤러JS에 앱을 유지하거나, 최신 버전의 앵귤러로 앱을 다시 작성하거나, 다른 자바스크립트 프레임워크를 사용하...

2022.01.11

칼럼ㅣMS의 깃허브 인수로 살펴보는 ‘하시코프’의 미래

상장 기업은 빅 플레이어의 인수 대상이 될 수 있다. 그런 점에서 깃허브(GitHub)의 사례는 경계로 삼아야 할 이야기다.  지난주 하시코프는 나스닥에 상장해 미화 12억 달러 이상의 자금을 조달하고, 153억 달러의 기업 가치를 평가받으며 한 주를 마감했다. 소프트웨어를 무료로 제공하는 회사치고는 나쁘지 않은 성과였다(참고로 이 회사는 지난해 오픈소스로 2억 1,100만 달러 이상을 벌었다).  하시코프의 오픈소스 도구(예: 테라폼(Terraform), 베이그런트(Vagrant), 컨설(Consul) 등)를 사용하면 기업들은 클라우드 인프라를 자동화하고 관리할 수 있다. 이러한 도구는 클라우드에서 제공하는 자체 개발 인프라 자동화 서비스보다 훨씬 더 자주 사용된다.  이것이 바로 하시코프가 인수됐을 때 어떤 기술 대기업에서 가장 후회할지 궁금해지는 이유다.  하시코프가 인수되지 않을 것이라고 보는 의견도 많지만 비용이 얼마가 들든 가치가 있기 때문에 인수될 것이라고 보는 의견도 많다. 지난 2018년 마이크로소프트에 인수된 깃허브와 마찬가지로 하시코프트는 (어떤) 기업의 클라우드 서비스에 진입로를 제공할 수 있다.    하지만...멀티클라우드다! 물론 하시코프는 매물로 나와 있지 않다. 또한 이 회사는 독립적인 멀티클라우드 전문 기업이라는 점을 분명히 하고 있다. 하지만 후자와 관련해 깃허브도 멀티클라우드를 지원했다(오히려 코드 리포지토리가 어디서 실행될지에 대해 불가지론적이었다). 전자와 관련해서는 하시코프가 상장되면서 인수가를 추정할 수 있게 됐다.   하시코프가 매각을 원하는 건 아니다. 오히려 그러한 제안을 오랫동안 거부해왔다. 이를테면 하시코프는 올해 초 5,000만 달러의 매각 제안을 받았다. 공동 창업자 미첼 하시모토는 이를 두고 “놀라운 금액”이라고 언급했다.  문제는 하시코프가 여러 기업에서 엄청난 가치를 갖게 됐다는 점이다. AWS부터 VM웨어까지 많은...

오픈소스 마이크로소프트 깃허브 하시코프 멀티클라우드

2021.12.15

상장 기업은 빅 플레이어의 인수 대상이 될 수 있다. 그런 점에서 깃허브(GitHub)의 사례는 경계로 삼아야 할 이야기다.  지난주 하시코프는 나스닥에 상장해 미화 12억 달러 이상의 자금을 조달하고, 153억 달러의 기업 가치를 평가받으며 한 주를 마감했다. 소프트웨어를 무료로 제공하는 회사치고는 나쁘지 않은 성과였다(참고로 이 회사는 지난해 오픈소스로 2억 1,100만 달러 이상을 벌었다).  하시코프의 오픈소스 도구(예: 테라폼(Terraform), 베이그런트(Vagrant), 컨설(Consul) 등)를 사용하면 기업들은 클라우드 인프라를 자동화하고 관리할 수 있다. 이러한 도구는 클라우드에서 제공하는 자체 개발 인프라 자동화 서비스보다 훨씬 더 자주 사용된다.  이것이 바로 하시코프가 인수됐을 때 어떤 기술 대기업에서 가장 후회할지 궁금해지는 이유다.  하시코프가 인수되지 않을 것이라고 보는 의견도 많지만 비용이 얼마가 들든 가치가 있기 때문에 인수될 것이라고 보는 의견도 많다. 지난 2018년 마이크로소프트에 인수된 깃허브와 마찬가지로 하시코프트는 (어떤) 기업의 클라우드 서비스에 진입로를 제공할 수 있다.    하지만...멀티클라우드다! 물론 하시코프는 매물로 나와 있지 않다. 또한 이 회사는 독립적인 멀티클라우드 전문 기업이라는 점을 분명히 하고 있다. 하지만 후자와 관련해 깃허브도 멀티클라우드를 지원했다(오히려 코드 리포지토리가 어디서 실행될지에 대해 불가지론적이었다). 전자와 관련해서는 하시코프가 상장되면서 인수가를 추정할 수 있게 됐다.   하시코프가 매각을 원하는 건 아니다. 오히려 그러한 제안을 오랫동안 거부해왔다. 이를테면 하시코프는 올해 초 5,000만 달러의 매각 제안을 받았다. 공동 창업자 미첼 하시모토는 이를 두고 “놀라운 금액”이라고 언급했다.  문제는 하시코프가 여러 기업에서 엄청난 가치를 갖게 됐다는 점이다. AWS부터 VM웨어까지 많은...

2021.12.15

깃허브, ‘코드 검색’ 개선한다··· 기술 프리뷰 발표

깃허브가 자사 코드 공유 사이트의 코드 검색 기능과 파이썬을 위한 코드 탐색 기능을 개선하기 위한 기술 프리뷰를 발표했다.  회사에 따르면 개선된 기능 중에는 러스트(Rust)로 구축된 새로운 코드 검색 엔진이 있다. 기술 프리뷰의 검색 인덱스는 가장 인기 있는 퍼블릭 리포지토리 500만 개 이상을 포함한다. 액세스 권한이 있다면 프라이빗 리포지토리에서도 검색할 수 있다.    이 밖에 기술 프리뷰에 포함된 기능은 다음과 같다.  • 스마트 랭킹과 코드에 최적화된 인덱스 • 부분 문자열 일치 및 특수문자를 지원하는 정확한 문자열 검색  • 검색 상자의 자동 완성 제안  • org:code 또는 repo:code 한정자로 검색 범위 지정  • language:code 및 path:code 등의 필터를 통한 결과 정제  • 디렉토리 트리 등의 추가 기능을 통한 빠른 베어링  검색 구문은 이곳에서 확인할 수 있다. 관심 있는 개발자는 기술 프리뷰에 등록해 피드백을 제공할 수 있다. 기술 프리뷰가 활성화되면 깃허브에서도 사용해 볼 수 있을 것이라고 회사 측은 전했다. 처음에는 별도의 새 코드 검색용 인터페이스가 제공된다. 깃허브에서 피드백을 반영하고, 이를 폭넓게 채택할 준비가 되면 깃허브닷컴 환경에 통합할 계획이다.  한편 파이썬을 위한 ‘정확한’ 코드 탐색 기능은 새로운 스택 그래프 프레임워크를 기반으로 한다고 깃허브는 밝혔다. 스택 그래프를 사용하면 파이썬 이름 바인딩 규칙의 자세한 정보를 인코딩할 수 있다. 이를 통해 리포지토리 추가 구성없이 각 참조가 참조하는 특정 정의를 결정할 수 있다고 회사 측은 설명했다.  지금까지 깃허브 코드 탐색은 ‘퍼지(fuzzy)’ 또는 검색 기반이었다. 참조를 클릭하면 해당 이름의 리포지토리에 있는 모든 정의가 표시됐다. 이로 인해 일반적인 이름의 정의 및 참조를 볼 때 많은 노이즈가 발생할 수 있었다. ...

깃허브 코드 공유 코드 검색 코드 탐색 파이썬 개발자 리포지토리

2021.12.10

깃허브가 자사 코드 공유 사이트의 코드 검색 기능과 파이썬을 위한 코드 탐색 기능을 개선하기 위한 기술 프리뷰를 발표했다.  회사에 따르면 개선된 기능 중에는 러스트(Rust)로 구축된 새로운 코드 검색 엔진이 있다. 기술 프리뷰의 검색 인덱스는 가장 인기 있는 퍼블릭 리포지토리 500만 개 이상을 포함한다. 액세스 권한이 있다면 프라이빗 리포지토리에서도 검색할 수 있다.    이 밖에 기술 프리뷰에 포함된 기능은 다음과 같다.  • 스마트 랭킹과 코드에 최적화된 인덱스 • 부분 문자열 일치 및 특수문자를 지원하는 정확한 문자열 검색  • 검색 상자의 자동 완성 제안  • org:code 또는 repo:code 한정자로 검색 범위 지정  • language:code 및 path:code 등의 필터를 통한 결과 정제  • 디렉토리 트리 등의 추가 기능을 통한 빠른 베어링  검색 구문은 이곳에서 확인할 수 있다. 관심 있는 개발자는 기술 프리뷰에 등록해 피드백을 제공할 수 있다. 기술 프리뷰가 활성화되면 깃허브에서도 사용해 볼 수 있을 것이라고 회사 측은 전했다. 처음에는 별도의 새 코드 검색용 인터페이스가 제공된다. 깃허브에서 피드백을 반영하고, 이를 폭넓게 채택할 준비가 되면 깃허브닷컴 환경에 통합할 계획이다.  한편 파이썬을 위한 ‘정확한’ 코드 탐색 기능은 새로운 스택 그래프 프레임워크를 기반으로 한다고 깃허브는 밝혔다. 스택 그래프를 사용하면 파이썬 이름 바인딩 규칙의 자세한 정보를 인코딩할 수 있다. 이를 통해 리포지토리 추가 구성없이 각 참조가 참조하는 특정 정의를 결정할 수 있다고 회사 측은 설명했다.  지금까지 깃허브 코드 탐색은 ‘퍼지(fuzzy)’ 또는 검색 기반이었다. 참조를 클릭하면 해당 이름의 리포지토리에 있는 모든 정의가 표시됐다. 이로 인해 일반적인 이름의 정의 및 참조를 볼 때 많은 노이즈가 발생할 수 있었다. ...

2021.12.10

깃허브, NPM 레지스트리 사용자에 ‘2단계 인증’ 적용

깃허브가 최근 발생한 2건의 자바스크립트 패키지용 NPM 레지스트리 관련 보안 사고를 감안해  NPM 상위 패키지의 유지관리자(Maintainer)와 관리자(Admin)를 대상으로 2단계 인증(2FA)를 적용한다고 발표했다.    11월 15일(현지 시각) 회사에 따르면 계정 탈취를 방지하기 위한 ‘2FA 정책’은 오는 2022년 1분기부터 상위 패키지 코호트를 시작으로 시행될 계획이다. 한편 깃허브는 2020년 NPM을 인수해 레지스트리를 관리하고 있다. 깃허브는 악의적 행위자가 레지스트리에서 NPM 계정을 손상시킨 후, 이러한 계정에서 액세스할 수 있는 인기 있는 패키지에 악성 코드를 삽입하는 사건을 주기적으로 목격한다고 언급했다. 최근 발생한 2건의 보안 사고는 다음과 같다.  • 지난 10월 26일 깃허브는 공개적으로 사용 가능한 NPM 서비스의 일상적인 유지보수로 인해 발생한 문제를 발견했다고 밝혔다. 공개 NPM 복제본을 실행하는 데이터베이스를 유지 관리하는 동안 비공개 패키지의 이름을 노출할 수 있는 레코드가 생성됐다. 그 결과 공개 변경 피드에 게시된 레코드로 인해 복제본 사용자가 비공개 패키지의 이름을 잠재적으로 식별할 수 있었다.  10월 20일 이전에 생성된 비공개 패키지의 경우 @owner/package 형식의 패키지 이름이 10월 21일부터 10월 29일 사이에 노출됐다. 깃허브는 문제 발견 즉시 수정 작업을 시작했다고 전했다. 이날 비공개 패키지 이름을 포함한 모든 레코드가 replicate.npmjs.com에서 제거됐다. 이러한 문제가 다시는 발생하지 않도록 해당 공개 복제 데이터베이스를 프로비저닝하는 방법도 변경했다. • 지난 11월 2일 깃허브는 공격자가 적절한 승인 없이 계정을 사용하여 모든 NPM 패키지의 새 버전을 게시할 수 있는 취약점을 보고 받았다. 취약점은 6시간 이내에 패치됐다고 회사 측은 말했다. ciokr@idg.co.kr   

깃허브 오픈소스 개발자 NPM 보안 2단계 인증 2FA 자바스크립트 노드닷제이에스

2021.11.23

깃허브가 최근 발생한 2건의 자바스크립트 패키지용 NPM 레지스트리 관련 보안 사고를 감안해  NPM 상위 패키지의 유지관리자(Maintainer)와 관리자(Admin)를 대상으로 2단계 인증(2FA)를 적용한다고 발표했다.    11월 15일(현지 시각) 회사에 따르면 계정 탈취를 방지하기 위한 ‘2FA 정책’은 오는 2022년 1분기부터 상위 패키지 코호트를 시작으로 시행될 계획이다. 한편 깃허브는 2020년 NPM을 인수해 레지스트리를 관리하고 있다. 깃허브는 악의적 행위자가 레지스트리에서 NPM 계정을 손상시킨 후, 이러한 계정에서 액세스할 수 있는 인기 있는 패키지에 악성 코드를 삽입하는 사건을 주기적으로 목격한다고 언급했다. 최근 발생한 2건의 보안 사고는 다음과 같다.  • 지난 10월 26일 깃허브는 공개적으로 사용 가능한 NPM 서비스의 일상적인 유지보수로 인해 발생한 문제를 발견했다고 밝혔다. 공개 NPM 복제본을 실행하는 데이터베이스를 유지 관리하는 동안 비공개 패키지의 이름을 노출할 수 있는 레코드가 생성됐다. 그 결과 공개 변경 피드에 게시된 레코드로 인해 복제본 사용자가 비공개 패키지의 이름을 잠재적으로 식별할 수 있었다.  10월 20일 이전에 생성된 비공개 패키지의 경우 @owner/package 형식의 패키지 이름이 10월 21일부터 10월 29일 사이에 노출됐다. 깃허브는 문제 발견 즉시 수정 작업을 시작했다고 전했다. 이날 비공개 패키지 이름을 포함한 모든 레코드가 replicate.npmjs.com에서 제거됐다. 이러한 문제가 다시는 발생하지 않도록 해당 공개 복제 데이터베이스를 프로비저닝하는 방법도 변경했다. • 지난 11월 2일 깃허브는 공격자가 적절한 승인 없이 계정을 사용하여 모든 NPM 패키지의 새 버전을 게시할 수 있는 취약점을 보고 받았다. 취약점은 6시간 이내에 패치됐다고 회사 측은 말했다. ciokr@idg.co.kr   

2021.11.23

“개발 생산성, 팬데믹 이전 수준으로 회복” 깃허브 2021 옥토버스 현황 보고서

“개발자 생산성이 팬데믹 이전으로 회복됐다. 하지만 개발자들이 사무실로 복귀한 것은 아니다.” 깃허브의 ‘2021 옥토버스 현황’ 보고서에 따르면, 올해 풀 리퀘스트(pull requests) 병합 속도는 직장에서 가장 빨랐다. 오픈소스 프로젝트보다 거의 두 대 빨랐다고 깃허브는 전했다. 단 직장에서의 풀 리퀘스트 병합 속도는 작년보다 25% 더 느렸다. 보고서는 그러나 지난 2년을 살펴볼 때 작업 리듬이 팬데믹 이전으로 회복된 수준이었다고 기술했다. 깃허브는 또 공동 작업을 진행한 개발자의 46%가 이제 완전히 원격으로 또는 하이브리드 환경에서 작업하는 것으로 예상하고 있었다고 밝혔다.  지난 16일 게시된 이번 보고서는 400만 개 이상의 저장소에서 수집한 데이터와 1만 2,000만 이상의 개발자를 대상으로 한 설문조사에 기반하고 있다. 깃허브 측은 이러한 접근법으로 인해 “예측적” 결과를 제시할 수 있다고 주장했다.  깃허브의 2021 옥토버스 현황 보고서에는 이 밖에도 다양한 현황 정보가 담겨 있다. 코드를 재사용할 때 개발 팀 성과가 최대 87%, 자동화를 사용할 때 최대 43% 증가할 수 있다는 진단이 대표적이다. 다른 결과로는 다음과 같은 것들이 있다. • 자바스크립트와 파이썬이 상위 언어로 남아 있고 자바와 타입스크립트가 뒤를 이었다. • 깃허브에 올해 새롭게 합류한 오픈소스 기여자는 140만 명에 이른다. • 개발자가 쉽게 검색할 수 있는 팀 리포지토리가 있으면 생산성이 11% 증가한다. • 오픈소스 및 엔터프라이즈 프로젝트 모두에서 문서가 최신 상태일 때 생산성이 50% 증가한다. • 멘토링은 오픈소스 프로젝트와 회사 모두에서 귀중한 자산이다. ciokr@idg.co.kr

깃허브 2021 옥토버스 현황 개발자 생산성 원격근무

2021.11.18

“개발자 생산성이 팬데믹 이전으로 회복됐다. 하지만 개발자들이 사무실로 복귀한 것은 아니다.” 깃허브의 ‘2021 옥토버스 현황’ 보고서에 따르면, 올해 풀 리퀘스트(pull requests) 병합 속도는 직장에서 가장 빨랐다. 오픈소스 프로젝트보다 거의 두 대 빨랐다고 깃허브는 전했다. 단 직장에서의 풀 리퀘스트 병합 속도는 작년보다 25% 더 느렸다. 보고서는 그러나 지난 2년을 살펴볼 때 작업 리듬이 팬데믹 이전으로 회복된 수준이었다고 기술했다. 깃허브는 또 공동 작업을 진행한 개발자의 46%가 이제 완전히 원격으로 또는 하이브리드 환경에서 작업하는 것으로 예상하고 있었다고 밝혔다.  지난 16일 게시된 이번 보고서는 400만 개 이상의 저장소에서 수집한 데이터와 1만 2,000만 이상의 개발자를 대상으로 한 설문조사에 기반하고 있다. 깃허브 측은 이러한 접근법으로 인해 “예측적” 결과를 제시할 수 있다고 주장했다.  깃허브의 2021 옥토버스 현황 보고서에는 이 밖에도 다양한 현황 정보가 담겨 있다. 코드를 재사용할 때 개발 팀 성과가 최대 87%, 자동화를 사용할 때 최대 43% 증가할 수 있다는 진단이 대표적이다. 다른 결과로는 다음과 같은 것들이 있다. • 자바스크립트와 파이썬이 상위 언어로 남아 있고 자바와 타입스크립트가 뒤를 이었다. • 깃허브에 올해 새롭게 합류한 오픈소스 기여자는 140만 명에 이른다. • 개발자가 쉽게 검색할 수 있는 팀 리포지토리가 있으면 생산성이 11% 증가한다. • 오픈소스 및 엔터프라이즈 프로젝트 모두에서 문서가 최신 상태일 때 생산성이 50% 증가한다. • 멘토링은 오픈소스 프로젝트와 회사 모두에서 귀중한 자산이다. ciokr@idg.co.kr

2021.11.18

“한 ‘보안’ 우물만 파던 시대는 끝났다” 깃허브 CSO

깃허브(GitHub)의 CSO 마이크 핸리는 ‘CISO’의 역할이 전통적인 기대치를 넘어 확대되면서 성공적인 역할 수행에 필요한 것 역시 고객 중심적 사고와 심도 있는 비즈니스 컨텍스트 이해를 중심으로 바뀌고 있다고 진단했다. ‘보안’은 깃허브가 세일즈 피치에서 내세우는 것 중 하나다. 이 회사는 깃허브 플랫폼을 ‘보호하고 방어하여’ 개발자가 신뢰하고 사용할 수 있도록 하겠다고 말한다.  이 약속을 이행해야 하는 사람은 깃허브의 CSO 마이크 핸리다. 그는 자신의 역할을 “내부 IT 및 기업 보안, 제품 보안, 플랫폼 건정성, GRC(거버넌스, 위험, 컴플라이언스), 깃허브 보안 랩(GitHub Security Lab), 보안 제품 개발을 위한 협력 등을 모두 포괄한다”라고 설명했다.    깃허브의 보안 요구사항은 대부분의 기업과는 다른 (깃허브의) 비즈니스 모델을 반영한다. 깃허브는 개발자가 오픈소스 프로그래밍 프로젝트를 관리, 유지, 협업할 수 있는 코드 호스팅 플랫폼이다. 또한 개발자, 작업, 온라인 협업 커뮤니티를 활성화하는 다양한 기능도 제공한다.  이 모든 것을 감안한다면 핸리가 맡고 있는 일의 범위가 전통적인 기업 최고보안책임자에 비해 넓다는 게 놀라운 일은 아니다. 그는 이러한 업무 범위가 깃허브와 해당 업계 및 제품에 특화돼 있다고 인정하는 한편, CISO의 역할이 전통적인 기대치를 넘어 점점 더 확장되는 추세는 앞으로도 계속될 것이라고 내다봤다. 핸리는 “오늘날의 보안 리더는 본인의 주된 책임이 기업과 고객을 보호하는 것이며, 앞으로는 이를 위해 보안뿐만 아니라 비즈니스까지 심도 있게 이해해야 한다는 것을 깨달아야 한다. 한 우물만 파던 시대는 끝났다”라고 강조했다.  이어서 그는 “따라서 보안 리더는 고객은 물론이고 비즈니스를 이끄는 동료와 대화해야 하고, 또 의사결정을 내리는 비즈니스 리더가 돼야 한다. 고객 중심적 사고와 비즈니스 컨텍스트 및 비즈니스 인사이트가 매우 중요해졌다. ...

CIO CSO CISO 커리어 경력 IT 리더십 보안 깃허브

2021.11.11

깃허브(GitHub)의 CSO 마이크 핸리는 ‘CISO’의 역할이 전통적인 기대치를 넘어 확대되면서 성공적인 역할 수행에 필요한 것 역시 고객 중심적 사고와 심도 있는 비즈니스 컨텍스트 이해를 중심으로 바뀌고 있다고 진단했다. ‘보안’은 깃허브가 세일즈 피치에서 내세우는 것 중 하나다. 이 회사는 깃허브 플랫폼을 ‘보호하고 방어하여’ 개발자가 신뢰하고 사용할 수 있도록 하겠다고 말한다.  이 약속을 이행해야 하는 사람은 깃허브의 CSO 마이크 핸리다. 그는 자신의 역할을 “내부 IT 및 기업 보안, 제품 보안, 플랫폼 건정성, GRC(거버넌스, 위험, 컴플라이언스), 깃허브 보안 랩(GitHub Security Lab), 보안 제품 개발을 위한 협력 등을 모두 포괄한다”라고 설명했다.    깃허브의 보안 요구사항은 대부분의 기업과는 다른 (깃허브의) 비즈니스 모델을 반영한다. 깃허브는 개발자가 오픈소스 프로그래밍 프로젝트를 관리, 유지, 협업할 수 있는 코드 호스팅 플랫폼이다. 또한 개발자, 작업, 온라인 협업 커뮤니티를 활성화하는 다양한 기능도 제공한다.  이 모든 것을 감안한다면 핸리가 맡고 있는 일의 범위가 전통적인 기업 최고보안책임자에 비해 넓다는 게 놀라운 일은 아니다. 그는 이러한 업무 범위가 깃허브와 해당 업계 및 제품에 특화돼 있다고 인정하는 한편, CISO의 역할이 전통적인 기대치를 넘어 점점 더 확장되는 추세는 앞으로도 계속될 것이라고 내다봤다. 핸리는 “오늘날의 보안 리더는 본인의 주된 책임이 기업과 고객을 보호하는 것이며, 앞으로는 이를 위해 보안뿐만 아니라 비즈니스까지 심도 있게 이해해야 한다는 것을 깨달아야 한다. 한 우물만 파던 시대는 끝났다”라고 강조했다.  이어서 그는 “따라서 보안 리더는 고객은 물론이고 비즈니스를 이끄는 동료와 대화해야 하고, 또 의사결정을 내리는 비즈니스 리더가 돼야 한다. 고객 중심적 사고와 비즈니스 컨텍스트 및 비즈니스 인사이트가 매우 중요해졌다. ...

2021.11.11

칼럼ㅣ깃허브 코파일럿에서 ‘희망’을 보았다

‘깃허브 코파일럿’이 언제나 적절하고 정확하며 실행 가능한 코드를 생성하는 건 아니지만 어느 정도 유용하다는 점은 부인할 수 없다.  컴퓨터 프로그래밍의 종말은 한두 해 된 이야기가 아니다. 하지만 여러 이유로 종말은 아직 오지 않았다. 가장 중요한 이유를 들자면 프로그래밍이 과학이나 공학이기도 하지만 그만큼이나 예술이기도 하다는 것이다.    ‘AI 동료 프로그래머(AI pair programmer)’라고도 부르는 ‘깃허브 코파일럿(GitHub Copilot)’은 인텔리센스(IntelliSense) 등이 제공할 수 있는 수준을 약간 능가하는 프로그래밍 자동화를 지원하고자 한다.  물론 완전히 자율적이진 않다. 코파일럿이 유의미한 코드를 생성하려면 (개발자가) 먼저 의도를 선언(입력)해야 하고, 또한 코파일럿이 불가피하게 궤도를 이탈하면 이를 정상 궤도로 되돌릴 수 있도록 감독해야 한다.  코파일럿은 비주얼 스튜디오 코드(Visual Studio Code), 젯브레인 IDE(예: 인텔리제이 IDEA(IntelliJ IDEA)), 네오빔(Neovim) 인터페이스를 갖춘 클라우드 서비스다(사용자의 컴퓨터에서 실행되거나 깃허브 코드스페이스의 클라우드에서 실행).  그리고 이 클라우드 서비스는 수십억 줄의 공개된 코드를 학습한 언어 모델 ‘오픈AI 코덱스(OpenAI Codex)’로 구동되는 코드 예측 엔진이다.  여기서 코덱스와 코파일럿에 대한 논란이 있었다. 하지만 코파일럿의 잠재적인 저작권 및 프라이버시 침해에 관해 열변을 토하기 전에, 코덱스가 머신러닝 커뮤니티 내에서 공정 이용(fair use)이라고 간주되는 방식에 따라 공개적으로 사용 가능한 코드를 학습했다는 점을 이해해야 한다.  아울러 코덱스는 검색 엔진이 아니라 코드 합성기(code synthesizer)라는 점도 이해해야 한다.  이와 관련해 코파일럿 개발팀은 “이는 새로운 공간이다. (깃허브는) 이에 ...

깃허브 코파일럿 개발자 코드 자동 완성 컴퓨터 프로그래밍 코드 인텔리센스 비주얼 스튜디오 코드 오픈AI 코덱스

2021.11.10

‘깃허브 코파일럿’이 언제나 적절하고 정확하며 실행 가능한 코드를 생성하는 건 아니지만 어느 정도 유용하다는 점은 부인할 수 없다.  컴퓨터 프로그래밍의 종말은 한두 해 된 이야기가 아니다. 하지만 여러 이유로 종말은 아직 오지 않았다. 가장 중요한 이유를 들자면 프로그래밍이 과학이나 공학이기도 하지만 그만큼이나 예술이기도 하다는 것이다.    ‘AI 동료 프로그래머(AI pair programmer)’라고도 부르는 ‘깃허브 코파일럿(GitHub Copilot)’은 인텔리센스(IntelliSense) 등이 제공할 수 있는 수준을 약간 능가하는 프로그래밍 자동화를 지원하고자 한다.  물론 완전히 자율적이진 않다. 코파일럿이 유의미한 코드를 생성하려면 (개발자가) 먼저 의도를 선언(입력)해야 하고, 또한 코파일럿이 불가피하게 궤도를 이탈하면 이를 정상 궤도로 되돌릴 수 있도록 감독해야 한다.  코파일럿은 비주얼 스튜디오 코드(Visual Studio Code), 젯브레인 IDE(예: 인텔리제이 IDEA(IntelliJ IDEA)), 네오빔(Neovim) 인터페이스를 갖춘 클라우드 서비스다(사용자의 컴퓨터에서 실행되거나 깃허브 코드스페이스의 클라우드에서 실행).  그리고 이 클라우드 서비스는 수십억 줄의 공개된 코드를 학습한 언어 모델 ‘오픈AI 코덱스(OpenAI Codex)’로 구동되는 코드 예측 엔진이다.  여기서 코덱스와 코파일럿에 대한 논란이 있었다. 하지만 코파일럿의 잠재적인 저작권 및 프라이버시 침해에 관해 열변을 토하기 전에, 코덱스가 머신러닝 커뮤니티 내에서 공정 이용(fair use)이라고 간주되는 방식에 따라 공개적으로 사용 가능한 코드를 학습했다는 점을 이해해야 한다.  아울러 코덱스는 검색 엔진이 아니라 코드 합성기(code synthesizer)라는 점도 이해해야 한다.  이와 관련해 코파일럿 개발팀은 “이는 새로운 공간이다. (깃허브는) 이에 ...

2021.11.10

기고ㅣ고급 사이버 범죄의 수익성이 높아지는 이유와 그 대응책

사이버 범죄자의 목적은 일반적인 범죄자와 크게 다르지 않다. 둘 다 적은 노력으로 더 큰 수익을 얻고 법의 처벌을 빠져나가길 원한다. 범죄자들은 비용 대비 효율성을 추구하기 때문에 공격으로 인한 수익보다 소요 비용이 크다면 관심을 갖지 않는다. 도둑들이 튼튼한 울타리와 최신 경비 시스템을 갖춘 집을 쉽게 노리지 않는 것과 같다.   보안이 삼엄한 대상에 대한 공격을 준비하는 데에는 많은 시간과 수준 높은 기술, 비싼 도구가 필요할 뿐 아니라 탐지될 위험도 크다. 수익을 얻기에 적합하고 취약한 사냥감이 많다면 굳이 위험성과 수고가 큰 일을 할 필요가 있을까? 따라서 많은 사이버 범죄자들은 좀 더 쉬운 표적을 택하곤 한다. 그래서 IT 보안 사고의 대부분이 손쉽게 이행할 수 있는 공격과 관련돼 있다. 최근의 사건 대응 분석 보고서에 따르면 조사 대상 공격의 63%는 패치 관리 소홀 및 부적절한 암호 정책에서 그 원인을 찾을 수 있었다. 즉, 상당수의 회사가 여전히 기본적인 보안 관리 문제를 안고 있다는 것이다. 그러니 사이버 범죄의 수익성이 높은 것도 놀랄 일은 아니다. 딜로이트(Deloitte) 연구 결과에 따르면 사이버 범죄자들은 매월 건당 미화 34달러의 비용으로 공격을 실행하고 2만5,000 달러의 수익을 거두는 것으로 나타났다. 그렇다면 보안 수준이 높은 조직은 안전하고 범죄자들이 관심을 기울이지 않을까? 꼭 그렇지만은 않다. 가장 안전한 인프라조차도 사용자 실수 및 인프라 복잡성과 같은 위험 요인이 사이버 범죄자에게 기회로 작용할 수 있다. 최근 우려가 높아지고 있는 또 다른 추세도 있다. 고급 공격 또는 APT급 공격을 구성하고 실행하는 것이 점점 쉬워져 범죄자들의 수익성이 높아지고 있는 것이다. APT급 공격이란 무엇인가?  일반적인 지능형 지속 공격은 목표 대상을 까다롭게 고른다. 국가 기관이나 대기업 등 가치가 높은 대상을 목표로 한다. 공격의 목표는 가능한 한 오랫동안 탐지되지 않고 시스템에 상주해 전략적 가치가 ...

카스퍼스키 사이버 범죄 보안 사고 기업 보안 보안 인공지능 엔드포인트 보안 깃허브 APT급 공격

2021.11.05

사이버 범죄자의 목적은 일반적인 범죄자와 크게 다르지 않다. 둘 다 적은 노력으로 더 큰 수익을 얻고 법의 처벌을 빠져나가길 원한다. 범죄자들은 비용 대비 효율성을 추구하기 때문에 공격으로 인한 수익보다 소요 비용이 크다면 관심을 갖지 않는다. 도둑들이 튼튼한 울타리와 최신 경비 시스템을 갖춘 집을 쉽게 노리지 않는 것과 같다.   보안이 삼엄한 대상에 대한 공격을 준비하는 데에는 많은 시간과 수준 높은 기술, 비싼 도구가 필요할 뿐 아니라 탐지될 위험도 크다. 수익을 얻기에 적합하고 취약한 사냥감이 많다면 굳이 위험성과 수고가 큰 일을 할 필요가 있을까? 따라서 많은 사이버 범죄자들은 좀 더 쉬운 표적을 택하곤 한다. 그래서 IT 보안 사고의 대부분이 손쉽게 이행할 수 있는 공격과 관련돼 있다. 최근의 사건 대응 분석 보고서에 따르면 조사 대상 공격의 63%는 패치 관리 소홀 및 부적절한 암호 정책에서 그 원인을 찾을 수 있었다. 즉, 상당수의 회사가 여전히 기본적인 보안 관리 문제를 안고 있다는 것이다. 그러니 사이버 범죄의 수익성이 높은 것도 놀랄 일은 아니다. 딜로이트(Deloitte) 연구 결과에 따르면 사이버 범죄자들은 매월 건당 미화 34달러의 비용으로 공격을 실행하고 2만5,000 달러의 수익을 거두는 것으로 나타났다. 그렇다면 보안 수준이 높은 조직은 안전하고 범죄자들이 관심을 기울이지 않을까? 꼭 그렇지만은 않다. 가장 안전한 인프라조차도 사용자 실수 및 인프라 복잡성과 같은 위험 요인이 사이버 범죄자에게 기회로 작용할 수 있다. 최근 우려가 높아지고 있는 또 다른 추세도 있다. 고급 공격 또는 APT급 공격을 구성하고 실행하는 것이 점점 쉬워져 범죄자들의 수익성이 높아지고 있는 것이다. APT급 공격이란 무엇인가?  일반적인 지능형 지속 공격은 목표 대상을 까다롭게 고른다. 국가 기관이나 대기업 등 가치가 높은 대상을 목표로 한다. 공격의 목표는 가능한 한 오랫동안 탐지되지 않고 시스템에 상주해 전략적 가치가 ...

2021.11.05

깃허브, ‘코드 리뷰 제한’ 기능 추가

깃허브의 새로운 관리 기능은 ‘드라이브-바이(drive-by)’ 풀 리퀘스트 승인 및 ‘스팸성(spammy)’ 변경 요청을 처리하도록 설계됐다.  지난 11월 1일(현지 시각) 깃허브가 깃(Git) 기반 버전 관리 시스템 및 코드 공유 사이트 사용자를 위해 코드 리뷰 제한을 추가하고 모바일 알림을 개선했다.  회사에 따르면 코드 리뷰 제한의 목적은 ‘드라이브-바이’ 풀 리퀘스트 승인과 스팸성 변경 요청 문제를 해결하는 것이다. 메인테이너는 이제 풀 리퀘스트에 대해 변경을 승인하고 요청할 수 있는 사용자를 제한할 수 있다.  즉, 리포지토리 수준에서 읽기 이상의 액세스 권한을 명시적으로 부여받은 사용자로 승인 및 변경 요청을 제한할 수 있다. 사용자 또는 조직 계정과 연결된 모든 리포지토리에서 코드 리뷰 제한을 활성화할 수도 있다.  리포지토리 코드 리뷰 제한을 활성화하려면 해당 리포지토리의 설정 페이지로 이동하여 왼쪽 메뉴에서 조정 설정(Moderation Settings)을 선택한다. 그다음 ‘코드 리뷰 제한(Code review limits)’을 누른 후 ‘읽기 이상의 권한이 명시적으로 부여된 사용자로 제한(Limit to users explicitly granted read or higher access)’ 상자를 체크한다.    또한 깃허브 모바일 앱에서 스팸성 이슈와 풀 리퀘스트를 처리하기 어렵다는 문제를 해결하기 위해 모바일 알림이 개선됐다. 이제 모바일 알림에 스팸 이슈 또는 풀 리퀘스트 팝업이 표시되면 쉽게 해당 이슈를 닫고, 개발자의 스마트폰에서 바로 조직의 사용자를 블록할 수 있다.    이 2가지 기능은 깃허브가 올해부터 제공하기 시작한, 오픈소스 커뮤니티의 ‘삶의 질 향상’에 초점을 맞춘 기능 중 하나다. 이를 지원하는 다른 기능은 아래와 같다.  • 문제 양식(Issue forms): 필수 필드를 포함한 양식 필드로 문제 템플릿을 생성해 문제...

깃허브 코드 공유 코드 리뷰 풀 리퀘스트 버전 관리 리포지토리 개발자 오픈소스 메인테이너

2021.11.04

깃허브의 새로운 관리 기능은 ‘드라이브-바이(drive-by)’ 풀 리퀘스트 승인 및 ‘스팸성(spammy)’ 변경 요청을 처리하도록 설계됐다.  지난 11월 1일(현지 시각) 깃허브가 깃(Git) 기반 버전 관리 시스템 및 코드 공유 사이트 사용자를 위해 코드 리뷰 제한을 추가하고 모바일 알림을 개선했다.  회사에 따르면 코드 리뷰 제한의 목적은 ‘드라이브-바이’ 풀 리퀘스트 승인과 스팸성 변경 요청 문제를 해결하는 것이다. 메인테이너는 이제 풀 리퀘스트에 대해 변경을 승인하고 요청할 수 있는 사용자를 제한할 수 있다.  즉, 리포지토리 수준에서 읽기 이상의 액세스 권한을 명시적으로 부여받은 사용자로 승인 및 변경 요청을 제한할 수 있다. 사용자 또는 조직 계정과 연결된 모든 리포지토리에서 코드 리뷰 제한을 활성화할 수도 있다.  리포지토리 코드 리뷰 제한을 활성화하려면 해당 리포지토리의 설정 페이지로 이동하여 왼쪽 메뉴에서 조정 설정(Moderation Settings)을 선택한다. 그다음 ‘코드 리뷰 제한(Code review limits)’을 누른 후 ‘읽기 이상의 권한이 명시적으로 부여된 사용자로 제한(Limit to users explicitly granted read or higher access)’ 상자를 체크한다.    또한 깃허브 모바일 앱에서 스팸성 이슈와 풀 리퀘스트를 처리하기 어렵다는 문제를 해결하기 위해 모바일 알림이 개선됐다. 이제 모바일 알림에 스팸 이슈 또는 풀 리퀘스트 팝업이 표시되면 쉽게 해당 이슈를 닫고, 개발자의 스마트폰에서 바로 조직의 사용자를 블록할 수 있다.    이 2가지 기능은 깃허브가 올해부터 제공하기 시작한, 오픈소스 커뮤니티의 ‘삶의 질 향상’에 초점을 맞춘 기능 중 하나다. 이를 지원하는 다른 기능은 아래와 같다.  • 문제 양식(Issue forms): 필수 필드를 포함한 양식 필드로 문제 템플릿을 생성해 문제...

2021.11.04

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9