Offcanvas

개발자 / 보안

“기밀 커밋되기 전에 스캔한다” 깃허브, ‘암호 검색’ 강화

2022.04.11 Paul Krill  |  InfoWorld
‘깃허브 어드밴스드 시큐리티(GitHub Advanced Security)’를 사용하는 기업은 이제 코드를 리포지토리에 푸시할 때 토큰, 키 및 기타 보안 암호를 검색할 수 있다. 
 
ⓒGetty Images


깃허브가 (자사의) 어드밴스드 시큐리티 서비스에서 ‘푸시 보호(push protection)’ 기능을 업데이트했다고 밝혔다. 새로운 기능은 개발자가 코드를 리포지토리에 푸시할 때 액세스 토큰, API 키 및 기타 자격증명 등의 (신뢰도가 높은) 암호 코드를 검색하고, 암호가 식별되면 푸시를 차단한다. 

지난 4월 4일(현지 시각) 발표된 이 푸시 보호 기능을 사용하면 깃허브 어드밴드스 시큐리티 고객은 git push가 승인되기 전에 암호를 검색하여 유출을 방지할 수 있다고 회사 측은 설명했다. 엔터프라이즈 계정에서 활용할 수 있는 깃허브 어드밴스드 시큐리티는 코드 스캔, 종속성 검토, 암호 검색 등의 서비스를 제공하여 기밀이 리포지토리에서 노출되지 않도록 지원한다. 개발자는 암호 검색을 통해 자격증명 유출을 사전에 방지하고, 자격증명 오용으로 인한 위반을 보호할 수 있다. 

아울러 깃허브 어드밴스드 시큐리티의 푸시 보호 기능을 쓰면 암호 검색이 개발자 워크플로우에 포함된다. 하지만 개발 생산성을 저해하지 않고 이를 활성화하기 위해 푸시 보호 기능은 정확하게 감지할 수 있는 토큰 유형만 지원한다. 회사에 따르면 지금까지 암호 검색 기능은 수천 개의 개인 리포지토리에서 70만 개 이상의 기밀을 감지했다. 

깃허브의 제품 관리자 마리암 술라키안은 “매우 식별 가능한 기밀이 커밋되기 전에 검색함으로써 보안을 사후 대응이 아닌 사전 예방으로 전환하고, 암호가 완전히 유출되는 사고를 방지할 수 있다”라고 말했다. 

깃허브 어드밴스드 시큐리티를 사용하는 기업은 UI 또는 API를 통해 클릭 한 번으로 리포지토리 또는 조직 수준에서 암호 검색의 푸시 보호 기능을 활성화할 수 있다고 회사 측은 덧붙였다. ciokr@idg.co.kr
Sponsored
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.