깃허브, 오픈소스 보호하기 위한 새로운 이니셔티브 시작

2019-11-18 10:49
  • 카카오톡
  • 네이버 블로그
  • url
오픈소스 소프트웨어 보호하려는 깃허브에 14개 파트너사들도 힘 합쳐
보안 업데이트의 빠르고 안전한 배포를 위한 시스템도 같이 마련돼


[보안뉴스 문가용 기자] 깃허브(GitHub)가 이번 주 새로운 이니셔티브를 발표했다. 이름은 깃허브 시큐리티 랩(GitHub Security Lab)으로 오픈소스 소프트웨어를 강화한다는 목적으로 시작됐다고 한다. 전문가들은 깃허브 시큐리티 랩을 통해 보안 취약점을 식별 및 보고할 수 있고, 깃허브를 통해 픽스를 개발하며 취약점 공개 일정을 서로 조정할 수 있게 된다.


[이미지 = iclickart]

이미 많은 조직들이 이 이니셔티브에 참여하고 있다.
1) F5, 2) 구글, 3) 해커원(HackerOne), 4) 인텔, 5) 아이오액티브(IOActive), 6) JP모건(J.P. Morgan), 7) 링크드인, 8) 마이크로소프트, 9) 모질라, 10) NCC 그룹, 11) 오라클, 12) 트레일 오브 비츠(Trail of Bits), 13) 우버, 14) VM웨어.
이들은 오픈소스 보호에 필요한 지식과 자원, 도구를 아낌없이 지원하기로 했다.

깃허브는 이니셔티브를 위해 기존의 코드 분석 엔진인 코드QL(CodeQL)을 보안 전문가들에게 공개한다고 발표하기도 했다. 코드QL은 코드의 의미 분석(semantic analysis)을 도와주는 도구로, 코드를 데이터처럼 요청할 수 있게 해준다. 개발자들은 코드QL을 가지고 쿼리문을 작성하고, 소프트웨어 내에 있는 취약점을 유발하고 있는 코드의 모든 변종들을 찾아낼 수 있다.

여기에 더해 깃허브 권고 데이터베이스(GitHub Advisory Database, GAD)라는 것을 공개하기도 했다. GAD는 깃허브 플랫폼에서 생성된 권고문들을 모아 놓은 데이터베이스로, 누구나 브라우저를 사용해 접근할 수 있다. 컨트리뷰터(contributor) 자격이 있다면 CVE 식별자를 통해 직접 기록을 열람하는 것도 가능하다. 보안 권고 API(Security Advisory API) 엔드포인트를 활용한다면 프로그래밍 기법을 통해 데이터에 접근할 수도 있다.

또한 깃허브는 시스템 유지 보수 담당자들과 개발자들이 작업을 진행하는 데 있어서 깃허브와 직접 협업을 함으로써 취약점들이 패치 가능한 시점에만 공개될 수 있도록 만들고, 픽스 배포와 적용의 빠르고 쉽게 진행될 수 있도록 할 수 있다고 발표하기도 했다. 즉 취약점과 패치가 안전하게 해결 및 배포될 수 있도록 깃허브가 역할을 수행할 것이라는 뜻이다.

그런 맥락에서 자동화 된 보안 업데이트 시스템도 개발됐다. 이를 통해 개발자들은 보안 업데이트가 배포될 때마다 빠르게 대응할 수 있게 될 것이라고 깃허브는 발표했다. 현재 이 자동화 업데이트 시스템은 보안 경보 옵션이 활성화 되어 있는 리포지터리들 모두에 적용되어 있는 상태다.

깃허브의 서비스에 네 군데 파트너사가 추가로 붙었다는 소식도 있었다. 이 파트너사들은 20개의 클라우드 서비스들로부터 하드코드 된 토큰들이나 크리덴셜들을 스캔하는 기능을 제공하기로 했다. 파트너사는 1) 고카드레스(GoCardless), 2) 해시코프(HashiCorp), 3) 포스트먼(Postman), 4) 텐센트(Tencent)이다.

깃허브의 코드QL을 요 몇 년 동안 사용해왔던 모질라(Mozilla)는 버그바운티 프로그램을 확장시킨다고 발표하기도 했다. “코드QL을 사용해 정적 분석을 함으로써 파이어폭스에서 현존하거나 과거에 존재했던 오류들을 식별해낼 경우 새로운 상금을 부여할 예정입니다. 또한 이 프로그램은 깃허브와 합의하에 진행되는 것이 아니므로 같은 오류에 대해 두 회사로부터 버그바운티를 받는 게 가능한 경우가 나올 수도 있습니다.”

모질라의 버그바운티에 대한 상세한 설명은 여기(https://www.mozilla.org/en-US/security/client-bug-bounty/)서 열람이 가능하다.

3줄 요약
1. 깃허브, 새로운 오픈소스 소프트웨어 보호 이니셔티브인 깃허브 시큐리티 랩 시작.
2. 이미 14개 업체가 참여. 패치 개발 및 관리의 효율 높일 계획.
3. 깃허브 권고 데이터베이스도 시작. 깃허브의 보안 권고문을 모아 둔 데이터베이스로 누구나 브라우저 통해 접근 가능.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다후아테크놀로지코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 비전정보통신

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 한결피아이에프

    • 프로브디지털

    • 디비시스

    • 세연테크

    • 스피어AX

    • 투윈스컴

    • 위트콘

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 탈레스

    • 에스지에이솔루션즈

    • 로그프레소

    • 윈스

    • 포티넷코리아

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 유투에스알

    • 케이제이테크

    • 알에프코리아

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 현대틸스
      팬틸트 / 카메라

    • 이스트컨트롤

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 엘림광통신

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기