Offcanvas

���������

깃허브, 유출된 오쓰(OAuth)로 인해 개인 저장소 해킹당했다고 밝혀

세일즈포스 산하의 PaaS 업체 헤로쿠(Heroku)와 깃허브(GitHub)에 따르면 손상된 오쓰(OAuth) 사용자 토큰이 헤로쿠와 지속적인 통합 및 테스트 서비스 트래비스 CI(Travis CI)를 쓰는 조직의 개인 리포지토리 데이터를 다운로드하는 데 악용됐다.    깃허브는 깃허브 시스템 자체가 해킹돼 오쓰 토큰이 유출됐을 가능성은 낮다고 밝혔다. 문제가 된 오쓰 토큰은 깃허브에서 사용 가능한 포맷으로 저장되지 않기 때문이다. 이는 인증을 위해 오쓰 프레임워크를 사용하는 헤로쿠와 트레비스 CI의 애플리케이션에서 가져왔을 가능성이 크다고 회사 측은 설명했다. 4월 15일(현지 시각) 깃허브는 5개의 오쓰 애플리케이션이 영향을 받았다고 전했다. 4가지 버전의 헤로쿠 대시보드(ID 145909, 628778, 313468, 363831)와 트레비스 CI(ID 9261)다.  세일즈포스는 지난 수요일 깃허브의 통지를 받은 이후 손상된 오쓰 토큰과 해당 토큰의 출처 계정을 비활성화했다고 말했다. 헤로쿠는 공식 블로그에서 “깃허브가 공유한 정보를 바탕으로 위협 행위자가 어떻게 고객 오쓰 토큰에 접근했는지 조사하고 있다”라면서, “손상된 토큰은 위협 행위자에게 고객 깃허브 리포지토리의 액세스 권한을 제공했지만 고객 헤로쿠 계정 액세스 권한은 제공하지 않았을 수 있다”라고 언급했다.  헤로쿠는 영향을 받은 제품의 사용자에게 데이터 도난의 증거가 있는지 즉시 깃허브 로그를 검토하고, 의심스러운 활동이 감지되면 세일즈포스 보안팀에 연락하라고 촉구했다. 또 문제가 해결될 때까지 헤로쿠로 연결된 애플리케이션은 깃허브 리포지토리에서 연결을 끊고, 노출된 자격증명을 취소하거나 교체해야 한다고 권고했다. 4월 17일 게시된 가장 최근 업데이트에 의하면 세일즈포스는 모든 오쓰 토큰을 해지했다. 세일즈포스에 따르면 토큰 취소는 새 토큰을 발행할 수 있을 때까지 깃허브에서 헤로쿠 대시보드로 새로운 앱을 배포할 수 없다는 것을 의미한다. ...

깃허브 리포지토리 저장소 오쓰 헤로쿠 세일즈포스

2022.04.19

세일즈포스 산하의 PaaS 업체 헤로쿠(Heroku)와 깃허브(GitHub)에 따르면 손상된 오쓰(OAuth) 사용자 토큰이 헤로쿠와 지속적인 통합 및 테스트 서비스 트래비스 CI(Travis CI)를 쓰는 조직의 개인 리포지토리 데이터를 다운로드하는 데 악용됐다.    깃허브는 깃허브 시스템 자체가 해킹돼 오쓰 토큰이 유출됐을 가능성은 낮다고 밝혔다. 문제가 된 오쓰 토큰은 깃허브에서 사용 가능한 포맷으로 저장되지 않기 때문이다. 이는 인증을 위해 오쓰 프레임워크를 사용하는 헤로쿠와 트레비스 CI의 애플리케이션에서 가져왔을 가능성이 크다고 회사 측은 설명했다. 4월 15일(현지 시각) 깃허브는 5개의 오쓰 애플리케이션이 영향을 받았다고 전했다. 4가지 버전의 헤로쿠 대시보드(ID 145909, 628778, 313468, 363831)와 트레비스 CI(ID 9261)다.  세일즈포스는 지난 수요일 깃허브의 통지를 받은 이후 손상된 오쓰 토큰과 해당 토큰의 출처 계정을 비활성화했다고 말했다. 헤로쿠는 공식 블로그에서 “깃허브가 공유한 정보를 바탕으로 위협 행위자가 어떻게 고객 오쓰 토큰에 접근했는지 조사하고 있다”라면서, “손상된 토큰은 위협 행위자에게 고객 깃허브 리포지토리의 액세스 권한을 제공했지만 고객 헤로쿠 계정 액세스 권한은 제공하지 않았을 수 있다”라고 언급했다.  헤로쿠는 영향을 받은 제품의 사용자에게 데이터 도난의 증거가 있는지 즉시 깃허브 로그를 검토하고, 의심스러운 활동이 감지되면 세일즈포스 보안팀에 연락하라고 촉구했다. 또 문제가 해결될 때까지 헤로쿠로 연결된 애플리케이션은 깃허브 리포지토리에서 연결을 끊고, 노출된 자격증명을 취소하거나 교체해야 한다고 권고했다. 4월 17일 게시된 가장 최근 업데이트에 의하면 세일즈포스는 모든 오쓰 토큰을 해지했다. 세일즈포스에 따르면 토큰 취소는 새 토큰을 발행할 수 있을 때까지 깃허브에서 헤로쿠 대시보드로 새로운 앱을 배포할 수 없다는 것을 의미한다. ...

2022.04.19

“기밀 커밋되기 전에 스캔한다” 깃허브, ‘암호 검색’ 강화

‘깃허브 어드밴스드 시큐리티(GitHub Advanced Security)’를 사용하는 기업은 이제 코드를 리포지토리에 푸시할 때 토큰, 키 및 기타 보안 암호를 검색할 수 있다.    깃허브가 (자사의) 어드밴스드 시큐리티 서비스에서 ‘푸시 보호(push protection)’ 기능을 업데이트했다고 밝혔다. 새로운 기능은 개발자가 코드를 리포지토리에 푸시할 때 액세스 토큰, API 키 및 기타 자격증명 등의 (신뢰도가 높은) 암호 코드를 검색하고, 암호가 식별되면 푸시를 차단한다.  지난 4월 4일(현지 시각) 발표된 이 푸시 보호 기능을 사용하면 깃허브 어드밴드스 시큐리티 고객은 git push가 승인되기 전에 암호를 검색하여 유출을 방지할 수 있다고 회사 측은 설명했다. 엔터프라이즈 계정에서 활용할 수 있는 깃허브 어드밴스드 시큐리티는 코드 스캔, 종속성 검토, 암호 검색 등의 서비스를 제공하여 기밀이 리포지토리에서 노출되지 않도록 지원한다. 개발자는 암호 검색을 통해 자격증명 유출을 사전에 방지하고, 자격증명 오용으로 인한 위반을 보호할 수 있다.  아울러 깃허브 어드밴스드 시큐리티의 푸시 보호 기능을 쓰면 암호 검색이 개발자 워크플로우에 포함된다. 하지만 개발 생산성을 저해하지 않고 이를 활성화하기 위해 푸시 보호 기능은 정확하게 감지할 수 있는 토큰 유형만 지원한다. 회사에 따르면 지금까지 암호 검색 기능은 수천 개의 개인 리포지토리에서 70만 개 이상의 기밀을 감지했다.  깃허브의 제품 관리자 마리암 술라키안은 “매우 식별 가능한 기밀이 커밋되기 전에 검색함으로써 보안을 사후 대응이 아닌 사전 예방으로 전환하고, 암호가 완전히 유출되는 사고를 방지할 수 있다”라고 말했다.  깃허브 어드밴스드 시큐리티를 사용하는 기업은 UI 또는 API를 통해 클릭 한 번으로 리포지토리 또는 조직 수준에서 암호 검색의 푸시 보호 기능을 활성화할 수 있다고 회사 측은 덧붙였다. ciokr@idg.co....

깃허브 보안 코드 보안 리포지토리 저장소 데이터 유출

2022.04.11

‘깃허브 어드밴스드 시큐리티(GitHub Advanced Security)’를 사용하는 기업은 이제 코드를 리포지토리에 푸시할 때 토큰, 키 및 기타 보안 암호를 검색할 수 있다.    깃허브가 (자사의) 어드밴스드 시큐리티 서비스에서 ‘푸시 보호(push protection)’ 기능을 업데이트했다고 밝혔다. 새로운 기능은 개발자가 코드를 리포지토리에 푸시할 때 액세스 토큰, API 키 및 기타 자격증명 등의 (신뢰도가 높은) 암호 코드를 검색하고, 암호가 식별되면 푸시를 차단한다.  지난 4월 4일(현지 시각) 발표된 이 푸시 보호 기능을 사용하면 깃허브 어드밴드스 시큐리티 고객은 git push가 승인되기 전에 암호를 검색하여 유출을 방지할 수 있다고 회사 측은 설명했다. 엔터프라이즈 계정에서 활용할 수 있는 깃허브 어드밴스드 시큐리티는 코드 스캔, 종속성 검토, 암호 검색 등의 서비스를 제공하여 기밀이 리포지토리에서 노출되지 않도록 지원한다. 개발자는 암호 검색을 통해 자격증명 유출을 사전에 방지하고, 자격증명 오용으로 인한 위반을 보호할 수 있다.  아울러 깃허브 어드밴스드 시큐리티의 푸시 보호 기능을 쓰면 암호 검색이 개발자 워크플로우에 포함된다. 하지만 개발 생산성을 저해하지 않고 이를 활성화하기 위해 푸시 보호 기능은 정확하게 감지할 수 있는 토큰 유형만 지원한다. 회사에 따르면 지금까지 암호 검색 기능은 수천 개의 개인 리포지토리에서 70만 개 이상의 기밀을 감지했다.  깃허브의 제품 관리자 마리암 술라키안은 “매우 식별 가능한 기밀이 커밋되기 전에 검색함으로써 보안을 사후 대응이 아닌 사전 예방으로 전환하고, 암호가 완전히 유출되는 사고를 방지할 수 있다”라고 말했다.  깃허브 어드밴스드 시큐리티를 사용하는 기업은 UI 또는 API를 통해 클릭 한 번으로 리포지토리 또는 조직 수준에서 암호 검색의 푸시 보호 기능을 활성화할 수 있다고 회사 측은 덧붙였다. ciokr@idg.co....

2022.04.11

코드 스캐닝 및 코드스페이스 곧 출시··· 기트허브, 로드맵 공개

앞으로 몇 개월 동안 기트허브에서 기대할 수 있는 것들을 알려주는 ‘공개 로드맵’이 발표됐다. 이 로드맵에는 코드 스캐닝부터 워크플로우, 보안 강화에 이르기까지 다양한 개선 사항들이 포함됐다.    지난 7월 29일 기트허브가 공개한 ‘기트허브 로드맵(GitHub roadmap)’은 관련 계획 및 타임라인을 비롯해 코드-투-클라우드 데브옵스(code-to-cloud devops), 협업(collaboration), 보안(security), 컴플라이언스(compliance), 클라이언트 애플리케이션(client applications), 저장소(repos), 풀 리퀘스트(pull requests), 지스트(gists) 등을 포함한 여러 기능들의 릴리즈 일정(알파 단계부터 GA까지)을 보여주고 있다.  기트허브 로드맵에서 공개된 몇 가지 주요 기능들은 다음과 같다.  • 기트허브 ‘코드QL(CodeQL) 시맨틱 코드 분석 엔진’을 사용하는 ‘클라우드용 코드 스캐닝(Code scanning for the cloud)’. 이를 사용하면 분석 결과가 저장소와 풀 리퀘스트에 표시된다. 해당 기능은 이번 분기에 공개될 예정이다.  • 마이크로소프트 ‘비주얼 스튜디오 코드 에디터(Visual Studio Code editor)’를 활용해 클라우드에서 호스팅되는 인스턴트 개발 환경을 제공하는 ‘코드스페이스(Codespaces)’. 이를 통해 개발자는 커밋에 드는 시간을 단축해 더 빨리 시작하고 실행할 수 있게 된다. 기업 또한 클라우드에서 코드를 유지 관리하는 안전한 클라우드 호스팅 환경을 확보할 수 있다. 코드스페이스는 2020년 4분기에 GA될 계획이다.  • 기트허브 프라이빗 인스턴스용 ‘기트허브 액션(GitHub Actions)’. 기트허브 프라이빗 인스턴스에 기트허브 워크플로우 기능을 제공한다. 오는 2021년 1분기에 공개될 예정이다.  • ‘디펜더봇 보안(Dependabot sec...

기트허브 로드맵 코드 스캐닝 워크플로우 보안 강화 데브옵스 현업 컴플라이언스 애플리케이션 클라우드 저장소 풀 리퀘스트 지스트 마이크로소프트 비주얼 스튜디오 코드 에디터 구글 구글 클라우드 컴포저

2020.08.03

앞으로 몇 개월 동안 기트허브에서 기대할 수 있는 것들을 알려주는 ‘공개 로드맵’이 발표됐다. 이 로드맵에는 코드 스캐닝부터 워크플로우, 보안 강화에 이르기까지 다양한 개선 사항들이 포함됐다.    지난 7월 29일 기트허브가 공개한 ‘기트허브 로드맵(GitHub roadmap)’은 관련 계획 및 타임라인을 비롯해 코드-투-클라우드 데브옵스(code-to-cloud devops), 협업(collaboration), 보안(security), 컴플라이언스(compliance), 클라이언트 애플리케이션(client applications), 저장소(repos), 풀 리퀘스트(pull requests), 지스트(gists) 등을 포함한 여러 기능들의 릴리즈 일정(알파 단계부터 GA까지)을 보여주고 있다.  기트허브 로드맵에서 공개된 몇 가지 주요 기능들은 다음과 같다.  • 기트허브 ‘코드QL(CodeQL) 시맨틱 코드 분석 엔진’을 사용하는 ‘클라우드용 코드 스캐닝(Code scanning for the cloud)’. 이를 사용하면 분석 결과가 저장소와 풀 리퀘스트에 표시된다. 해당 기능은 이번 분기에 공개될 예정이다.  • 마이크로소프트 ‘비주얼 스튜디오 코드 에디터(Visual Studio Code editor)’를 활용해 클라우드에서 호스팅되는 인스턴트 개발 환경을 제공하는 ‘코드스페이스(Codespaces)’. 이를 통해 개발자는 커밋에 드는 시간을 단축해 더 빨리 시작하고 실행할 수 있게 된다. 기업 또한 클라우드에서 코드를 유지 관리하는 안전한 클라우드 호스팅 환경을 확보할 수 있다. 코드스페이스는 2020년 4분기에 GA될 계획이다.  • 기트허브 프라이빗 인스턴스용 ‘기트허브 액션(GitHub Actions)’. 기트허브 프라이빗 인스턴스에 기트허브 워크플로우 기능을 제공한다. 오는 2021년 1분기에 공개될 예정이다.  • ‘디펜더봇 보안(Dependabot sec...

2020.08.03

'오픈소스를 지탱하는 힘은 클라우드 업체' AWS까지 코드 기여에 적극적

누군가는 사악한 클라우드 업체들이 연약한 오픈소스 커뮤니티에서 단물만 빨아먹고 기여는 거의 하지 않아서 오픈소스가 고사할 위기에 처했다고 말한다. 뿌리가 꽤 깊은 이 이야기에 영향을 받은 몇몇 예언가들은 오픈소스의 지속 가능성이 곧 끝을 맞이한다고 주장한다. 그러나 데이터를 통해 본 상황은 이 예언과는 전혀 다르다. 두 건의 독립적인 깃허브(GitHub) 데이터 및 CNCF 데이터 분석에 따르면 오픈소스 프로젝트의 가장 큰 기여자는 다름아닌 퍼블릭 클라우드 서비스 업체들이다. 이들 업체의 비즈니스는 소프트웨어 판매가 아닌 운용이며, 바로 그 이유로 앞으로 오랜 기간 오픈소스 파괴가 아닌 번성을 이끌 가장 적합한 위치에 있다.   나무가 아닌 숲의 오픈소스화 잘 살펴보면 꽤 오래 전부터, 특히 마이크로소프트와 구글은 가장 크고 공개적인 오픈소스 프로젝트 기여자 역할을 해왔다. 개발자에게 다가가고자 하는 지배적인 플랫폼 기업에 오픈소스는 선택이 아닌 필수다. 마이크로소프트는 애저에서 다양한 오픈소스 프로젝트의 실행을 개방하거나 지원하는 방법으로 오픈소스에 입성했고, 구글은 한걸음 더 나아가 쿠버네티스, 텐서플로우와 같은 강력한 코드를 아예 오픈소스화했다. 오픈소스에 거의 기여하지 않기로 유명했던 클라우드 선두업체인 아마존 웹 서비스도 더 이상 오픈소스 커뮤니티를 옆에서 구경만 하고 있을 수는 없는 상황이다. 사실 AWS는 사람들이 생각하는 것보다는 오픈소스 분야에서 많은 활동을 해왔지만, 2018년부터 오픈소스 참여를 대대적으로 확대했다. 620만 개의 깃허브 프로필과 각각의 기여 내역을 다룬 어도비 개발자 필 마즈의 분석을 보면 이러한 업계의 움직임이 명확하게 드러난다. 물론 이 분석은 비정밀 과학이고 아파치 프로젝트와 같은 굵직한 코드 저장소도 빠졌다. 그러나 GitHub.com 사용자-기업 관계에 대한 마즈의 분석은 많은 신호를 담고 있으며, 그 신호는 “클라우드가 오픈소스를 이끌고 있다”는 사실을 보여준다. 아래 표...

클라우드 커뮤니티 깃허브 기트허브 리포지토리 저장소 코드기여

2019.02.28

누군가는 사악한 클라우드 업체들이 연약한 오픈소스 커뮤니티에서 단물만 빨아먹고 기여는 거의 하지 않아서 오픈소스가 고사할 위기에 처했다고 말한다. 뿌리가 꽤 깊은 이 이야기에 영향을 받은 몇몇 예언가들은 오픈소스의 지속 가능성이 곧 끝을 맞이한다고 주장한다. 그러나 데이터를 통해 본 상황은 이 예언과는 전혀 다르다. 두 건의 독립적인 깃허브(GitHub) 데이터 및 CNCF 데이터 분석에 따르면 오픈소스 프로젝트의 가장 큰 기여자는 다름아닌 퍼블릭 클라우드 서비스 업체들이다. 이들 업체의 비즈니스는 소프트웨어 판매가 아닌 운용이며, 바로 그 이유로 앞으로 오랜 기간 오픈소스 파괴가 아닌 번성을 이끌 가장 적합한 위치에 있다.   나무가 아닌 숲의 오픈소스화 잘 살펴보면 꽤 오래 전부터, 특히 마이크로소프트와 구글은 가장 크고 공개적인 오픈소스 프로젝트 기여자 역할을 해왔다. 개발자에게 다가가고자 하는 지배적인 플랫폼 기업에 오픈소스는 선택이 아닌 필수다. 마이크로소프트는 애저에서 다양한 오픈소스 프로젝트의 실행을 개방하거나 지원하는 방법으로 오픈소스에 입성했고, 구글은 한걸음 더 나아가 쿠버네티스, 텐서플로우와 같은 강력한 코드를 아예 오픈소스화했다. 오픈소스에 거의 기여하지 않기로 유명했던 클라우드 선두업체인 아마존 웹 서비스도 더 이상 오픈소스 커뮤니티를 옆에서 구경만 하고 있을 수는 없는 상황이다. 사실 AWS는 사람들이 생각하는 것보다는 오픈소스 분야에서 많은 활동을 해왔지만, 2018년부터 오픈소스 참여를 대대적으로 확대했다. 620만 개의 깃허브 프로필과 각각의 기여 내역을 다룬 어도비 개발자 필 마즈의 분석을 보면 이러한 업계의 움직임이 명확하게 드러난다. 물론 이 분석은 비정밀 과학이고 아파치 프로젝트와 같은 굵직한 코드 저장소도 빠졌다. 그러나 GitHub.com 사용자-기업 관계에 대한 마즈의 분석은 많은 신호를 담고 있으며, 그 신호는 “클라우드가 오픈소스를 이끌고 있다”는 사실을 보여준다. 아래 표...

2019.02.28

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9