보안 업데이트의 빠르고 안전한 배포를 위한 시스템도 같이 마련돼
[보안뉴스 문가용 기자] 깃허브(GitHub)가 이번 주 새로운 이니셔티브를 발표했다. 이름은 깃허브 시큐리티 랩(GitHub Security Lab)으로 오픈소스 소프트웨어를 강화한다는 목적으로 시작됐다고 한다. 전문가들은 깃허브 시큐리티 랩을 통해 보안 취약점을 식별 및 보고할 수 있고, 깃허브를 통해 픽스를 개발하며 취약점 공개 일정을 서로 조정할 수 있게 된다.
[이미지 = iclickart]
이미 많은 조직들이 이 이니셔티브에 참여하고 있다.
1) F5, 2) 구글, 3) 해커원(HackerOne), 4) 인텔, 5) 아이오액티브(IOActive), 6) JP모건(J.P. Morgan), 7) 링크드인, 8) 마이크로소프트, 9) 모질라, 10) NCC 그룹, 11) 오라클, 12) 트레일 오브 비츠(Trail of Bits), 13) 우버, 14) VM웨어.
이들은 오픈소스 보호에 필요한 지식과 자원, 도구를 아낌없이 지원하기로 했다.
깃허브는 이니셔티브를 위해 기존의 코드 분석 엔진인 코드QL(CodeQL)을 보안 전문가들에게 공개한다고 발표하기도 했다. 코드QL은 코드의 의미 분석(semantic analysis)을 도와주는 도구로, 코드를 데이터처럼 요청할 수 있게 해준다. 개발자들은 코드QL을 가지고 쿼리문을 작성하고, 소프트웨어 내에 있는 취약점을 유발하고 있는 코드의 모든 변종들을 찾아낼 수 있다.
여기에 더해 깃허브 권고 데이터베이스(GitHub Advisory Database, GAD)라는 것을 공개하기도 했다. GAD는 깃허브 플랫폼에서 생성된 권고문들을 모아 놓은 데이터베이스로, 누구나 브라우저를 사용해 접근할 수 있다. 컨트리뷰터(contributor) 자격이 있다면 CVE 식별자를 통해 직접 기록을 열람하는 것도 가능하다. 보안 권고 API(Security Advisory API) 엔드포인트를 활용한다면 프로그래밍 기법을 통해 데이터에 접근할 수도 있다.
또한 깃허브는 시스템 유지 보수 담당자들과 개발자들이 작업을 진행하는 데 있어서 깃허브와 직접 협업을 함으로써 취약점들이 패치 가능한 시점에만 공개될 수 있도록 만들고, 픽스 배포와 적용의 빠르고 쉽게 진행될 수 있도록 할 수 있다고 발표하기도 했다. 즉 취약점과 패치가 안전하게 해결 및 배포될 수 있도록 깃허브가 역할을 수행할 것이라는 뜻이다.
그런 맥락에서 자동화 된 보안 업데이트 시스템도 개발됐다. 이를 통해 개발자들은 보안 업데이트가 배포될 때마다 빠르게 대응할 수 있게 될 것이라고 깃허브는 발표했다. 현재 이 자동화 업데이트 시스템은 보안 경보 옵션이 활성화 되어 있는 리포지터리들 모두에 적용되어 있는 상태다.
깃허브의 서비스에 네 군데 파트너사가 추가로 붙었다는 소식도 있었다. 이 파트너사들은 20개의 클라우드 서비스들로부터 하드코드 된 토큰들이나 크리덴셜들을 스캔하는 기능을 제공하기로 했다. 파트너사는 1) 고카드레스(GoCardless), 2) 해시코프(HashiCorp), 3) 포스트먼(Postman), 4) 텐센트(Tencent)이다.
깃허브의 코드QL을 요 몇 년 동안 사용해왔던 모질라(Mozilla)는 버그바운티 프로그램을 확장시킨다고 발표하기도 했다. “코드QL을 사용해 정적 분석을 함으로써 파이어폭스에서 현존하거나 과거에 존재했던 오류들을 식별해낼 경우 새로운 상금을 부여할 예정입니다. 또한 이 프로그램은 깃허브와 합의하에 진행되는 것이 아니므로 같은 오류에 대해 두 회사로부터 버그바운티를 받는 게 가능한 경우가 나올 수도 있습니다.”
모질라의 버그바운티에 대한 상세한 설명은 여기(https://www.mozilla.org/en-US/security/client-bug-bounty/)서 열람이 가능하다.
3줄 요약
1. 깃허브, 새로운 오픈소스 소프트웨어 보호 이니셔티브인 깃허브 시큐리티 랩 시작.
2. 이미 14개 업체가 참여. 패치 개발 및 관리의 효율 높일 계획.
3. 깃허브 권고 데이터베이스도 시작. 깃허브의 보안 권고문을 모아 둔 데이터베이스로 누구나 브라우저 통해 접근 가능.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>