본문 바로가기

Home > 열린마당 > 공개SW 소식

공개SW 소식

깃허브, 소스코드 배포 전 취약점 찾아준다

OSS관리자3 게시글 작성 시각 2020-10-06 14:39:59 게시글 조회수 4669

10월 1일

ⓒ ZDNet Korea, 김윤희 기자, kyh@zdnet.co.kr


소스코드 공유 사이트 깃허브가 코드를 배포하기 전 취약점 유무를 검사하는 보안 기능 '코드 스캐닝'을 공식 출시한다고 미국 지디넷이 9월30일(현지시간) 보도했다.


해당 기능은 지난해 9월 깃허브가 코드 분석 플랫폼인 셈멜의 기술 역량을 통합해 개발한 코드 쿼리 언어 '코드QL'을 통해 구현됐으며, 지난 5월부터 베타 테스트 기간을 거쳐왔다. 지원하는 프로그래밍 언어는 C, C++, C#, 고, 자바, 자바스크립트, 타입스크립트, 파이썬이다.


깃허브 보안팀은 코드 스캐닝을 제공하기 위해 사전 정의된 코드QL 쿼리 2천개 이상을 취합했다고 밝혔다. 이를 통해 모든 풀리퀘스트, 커밋, 병합을 분석해 취약한 코드가 생성되는 즉시 기본적인 보안 결함 유무를 확인해준다고 설명했다.


이용자는 각 코드 저장소의 '보안' 탭에서 코드 스캐닝 기능을 활성화할 수 있다. 지원 언어로 작성된 코드에서 취약점이 탐지될 경우 코드 저장소에 경고가 표시된다. 개발자에게는 코드 수정 요청이 전달되고, 문제가 해결되면 경고 알림이 사라지게 된다.


깃허브는 베타 테스트 기간 동안 코드 스캐닝이 1만2천개 이상의 저장소에서 140만번 이상 사용됐으며, 원격코드실행(RCE), SQL 주입, 크로스사이트스크립팅(xss) 등 취약점 2만개 이상을 확인했다고 밝혔다.


※ 본 내용은 (주)메가뉴스 (https://zdnet.co.kr/)의 저작권 동의에 의해 공유되고 있습니다.

Copyright ⓒ 2018 CBS Interactive. 무단전재 및 재배포 금지


[ 원문출처 : https://zdnet.co.kr/view/?no=20201001122036 ]

맨 위로
맨 위로