마이크로소프트 소유 오픈소스 코드 저장소 깃허브(GitHub)가 보안 업데이트 사항을 공개했다.
영국 테크 매체 테크레이더는 깃허브가 취약한 깃허브 액션(GitHub Actions) 발견 시 ‘디펜다봇(Dependabot)’으로 경고를 보낸다고 전했다.
깃허브 액션은 깃허브 플랫폼에서 제공하는 지속적 통합 및 지속적 공급(Continuous Integration and Continuous Delivery, CI/CD) 솔루션으로 사용자들이 소프트웨어 개발 파이프라인 자동화를 돕는다.
디펜다봇은 개발자가 작업 도중 보안 취약점 수정 사항을 최신 상태로 업데이트하도록 지원하는 것을 목표로 한다.
경고 시스템은 깃허브 어드바이저리 데이터베이스(GitHub Advisory Database)를 기반으로 알림 메시지를 전달한다. 깃허브 어드바이저리 데이터베이스는 보안 취약점에 관한 데이터베이스로 공개적으로 알려진 컴퓨터 보안 결함 목록(Common Vulnerabilities and Exposures, CVEs)을 포함하며 오픈소스 소프트웨어를 통하여 구축한 깃허브만의 보안 어드바이저리도 포함한다.
디펜다봇이 전송한 경고 사항을 바탕으로 깃허브 액션 및 코드에 존재하는 취약점을 발견하고 싶다면, 코드 보안 및 분석 탭에서 ‘모두 활성화(Enable all)’를 선택하여 디펜다봇을 활성화하면 된다. 이미 디펜다봇을 사용 중이라면, 추가 조치 없이 경고 기능을 이용할 수 있다.
개발자 누구나 다른 사용자의 안전한 서비스 제작을 돕고자 한다면, 보안 시스템에 참여할 수도 있다. 또한, 깃허브 액션 소유자로서 이에 대한 취약점을 발견하였다면, 저장소의 보안 탭에서 어드바이저리를 직접 생성할 수 있다.
저장소 어드바이저리를 생성한 후 깃허브 액션 생태계 내에 태그하면, 이후 깃허브 큐레이션팀이 제출 사항을 검토한다. 만약, 다른 사용자에게도 유용한 내용이라고 판단하면, 글로벌 어드바이저로 승격된다.
한편, 오픈소스 코드는 해커 세력이 공격에 자주 악용하는 경로이다. 따라서 깃허브 외에도 여러 기업에서 오픈소스 코드의 취약점을 발견하고 대응하기 위하여 노력하고 있다. 최근 들어 오픈소스의 사이버 보안은 테크 업계 전반의 관심 대상이 되었다. Log4j 공격 등 오픈소스 코드 보안 문제가 최근 몇 년간 막대한 피해를 준 대규모 사이버 공격의 원인으로 드러난 사례가 증가했기 때문이다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
