테크레시피

깃허브, 코드 자동 감지 스캔 기능 추가했다

깃허브(GitHub)는 세계 최대 소스 코드 사이트다. 이런 깃허브에 취약점을 자동 감지해주는 코드 스캐닝 기능이 추가됐다.

깃허브를 산하에 둔 마이크로소프트는 지난해 세믈(Semmle)이라는 코드 분석 엔진 개발 기업을 인수한 바 있다. 이 코드 분석 엔진은 우버와 미 항공우주국 나사(NASA), 구글 등 유명 대기업 코드 보안 취약점을 찾는데 이용되던 것이다. 이번에 세믈 기술을 깃허브가 몇 개월에 걸친 베타 테스트를 거쳐 새로운 기능으로 선보인 것이다.

기능 자체는 간단하다. 깃허브 커뮤니티에서 모인 2,000개 이상 쿼리를 실시간으로 자동 스캔해 문제가 발견되면 개발자에게 알려준다. 개발자가 새로운 취약점을 발견하면 본 기능 검사 항목에 새로운 쿼리로 추가할 수 있다.

개발팀은 깃허브가 제공하는 것으로 소규모 개발팀에게 도움이 된다. 깃허브가 인용한 업계 데이터에 따르면 취약점 중 30%는 프로젝트 발표 1개월 안에 발견된다고 한다. 또 깃허브 베타 테스트는 코드 스캔 기능을 이용해 사용자가 보고된 보안 오류 중 72%를 발견, 사전에 수정할 수 있었다고 한다.

코드 스캔 기능은 공개 저장소에서 사용한 무료다. 비공개 프로젝트에서 사용하고 싶다면 유료인 깃허브 엔터프라이즈(GitHub Enterprise) 등록이 필요하다. 관련 내용은 이곳에서 확인할 수 있다.

추천기사