깃허브, 오픈소스 보호하기 위한 새로운 이니셔티브 시작

SECURITY

SAFETY

Home > 전체기사

깃허브, 오픈소스 보호하기 위한 새로운 이니셔티브 시작

| 입력 : 2019-11-18 10:49

오픈소스 소프트웨어 보호하려는 깃허브에 14개 파트너사들도 힘 합쳐
보안 업데이트의 빠르고 안전한 배포를 위한 시스템도 같이 마련돼

[보안뉴스 문가용 기자] 깃허브(GitHub)가 이번 주 새로운 이니셔티브를 발표했다. 이름은 깃허브 시큐리티 랩(GitHub Security Lab)으로 오픈소스 소프트웨어를 강화한다는 목적으로 시작됐다고 한다. 전문가들은 깃허브 시큐리티 랩을 통해 보안 취약점을 식별 및 보고할 수 있고, 깃허브를 통해 픽스를 개발하며 취약점 공개 일정을 서로 조정할 수 있게 된다.

[이미지 = iclickart]

이미 많은 조직들이 이 이니셔티브에 참여하고 있다.
1) F5, 2) 구글, 3) 해커원(HackerOne), 4) 인텔, 5) 아이오액티브(IOActive), 6) JP모건(J.P. Morgan), 7) 링크드인, 8) 마이크로소프트, 9) 모질라, 10) NCC 그룹, 11) 오라클, 12) 트레일 오브 비츠(Trail of Bits), 13) 우버, 14) VM웨어.
이들은 오픈소스 보호에 필요한 지식과 자원, 도구를 아낌없이 지원하기로 했다.

깃허브는 이니셔티브를 위해 기존의 코드 분석 엔진인 코드QL(CodeQL)을 보안 전문가들에게 공개한다고 발표하기도 했다. 코드QL은 코드의 의미 분석(semantic analysis)을 도와주는 도구로, 코드를 데이터처럼 요청할 수 있게 해준다. 개발자들은 코드QL을 가지고 쿼리문을 작성하고, 소프트웨어 내에 있는 취약점을 유발하고 있는 코드의 모든 변종들을 찾아낼 수 있다.

여기에 더해 깃허브 권고 데이터베이스(GitHub Advisory Database, GAD)라는 것을 공개하기도 했다. GAD는 깃허브 플랫폼에서 생성된 권고문들을 모아 놓은 데이터베이스로, 누구나 브라우저를 사용해 접근할 수 있다. 컨트리뷰터(contributor) 자격이 있다면 CVE 식별자를 통해 직접 기록을 열람하는 것도 가능하다. 보안 권고 API(Security Advisory API) 엔드포인트를 활용한다면 프로그래밍 기법을 통해 데이터에 접근할 수도 있다.

또한 깃허브는 시스템 유지 보수 담당자들과 개발자들이 작업을 진행하는 데 있어서 깃허브와 직접 협업을 함으로써 취약점들이 패치 가능한 시점에만 공개될 수 있도록 만들고, 픽스 배포와 적용의 빠르고 쉽게 진행될 수 있도록 할 수 있다고 발표하기도 했다. 즉 취약점과 패치가 안전하게 해결 및 배포될 수 있도록 깃허브가 역할을 수행할 것이라는 뜻이다.

그런 맥락에서 자동화 된 보안 업데이트 시스템도 개발됐다. 이를 통해 개발자들은 보안 업데이트가 배포될 때마다 빠르게 대응할 수 있게 될 것이라고 깃허브는 발표했다. 현재 이 자동화 업데이트 시스템은 보안 경보 옵션이 활성화 되어 있는 리포지터리들 모두에 적용되어 있는 상태다.

깃허브의 서비스에 네 군데 파트너사가 추가로 붙었다는 소식도 있었다. 이 파트너사들은 20개의 클라우드 서비스들로부터 하드코드 된 토큰들이나 크리덴셜들을 스캔하는 기능을 제공하기로 했다. 파트너사는 1) 고카드레스(GoCardless), 2) 해시코프(HashiCorp), 3) 포스트먼(Postman), 4) 텐센트(Tencent)이다.

깃허브의 코드QL을 요 몇 년 동안 사용해왔던 모질라(Mozilla)는 버그바운티 프로그램을 확장시킨다고 발표하기도 했다. “코드QL을 사용해 정적 분석을 함으로써 파이어폭스에서 현존하거나 과거에 존재했던 오류들을 식별해낼 경우 새로운 상금을 부여할 예정입니다. 또한 이 프로그램은 깃허브와 합의하에 진행되는 것이 아니므로 같은 오류에 대해 두 회사로부터 버그바운티를 받는 게 가능한 경우가 나올 수도 있습니다.”

모질라의 버그바운티에 대한 상세한 설명은 여기(https://www.mozilla.org/en-US/security/client-bug-bounty/)서 열람이 가능하다.

3줄 요약
1. 깃허브, 새로운 오픈소스 소프트웨어 보호 이니셔티브인 깃허브 시큐리티 랩 시작.
2. 이미 14개 업체가 참여. 패치 개발 및 관리의 효율 높일 계획.
3. 깃허브 권고 데이터베이스도 시작. 깃허브의 보안 권고문을 모아 둔 데이터베이스로 누구나 브라우저 통해 접근 가능.
[국제부 문가용 기자(globoan@boannews.com)]

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제

올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
	인공지능(AI)
	빅데이터
	VR(가상현실)/VR(증강현실)
	웨어러블
	블록체인
	스마트시티
	자율주행차
	클라우드 컴퓨팅
	기타(댓글로)