MS, 소스코드부터 공급망까지 한 번에 통합 보안
마이크로소프트(MS)가 소스코드부터 공급망까지 한번에 자동관리하는 통합 보안 서비스를 공개했다. 마이크로소프트는 24일(현지시간) 미국 시애틀에서 개최한 연례 개발자 컨퍼런스 ' 빌드 2023'에서 애저 데브옵스용 깃허브 어드밴스드 시큐리티 미리보기 버전을 공개했다. 신규 보안 서비스는 깃허브에서 엔터프라이즈 계정에 제한적으로 제공하던 기능을 애저 데브옵스 환경까지 확대한 것이다. 앱과 소프트웨어 프로젝트를 개발하고 배포하는 모든 과정을 보호하기 위해 소스코드부터 공급망까지 자동화된 보안 검사를 수행하도록 설계됐다. 개발 수명주기에서 데이터나 코드가 개발환경을 이탈하지 않아 안정성을 더욱 높일 수 있다. 깃허브 어드밴스드 시큐리티와 동일한 보안 기능을 제공하며, 핵심 기능인 비밀 검사, 종속성 검사, 코드 검사도 그대로 지원한다. 비밀 검사는 개발 프로세스에서 데이터나 코드의 유출을 찾아내고, 방지하는 기술이다. 또한 허가되지 않은 데이터 이동이나 접근이 감지되면 자동으로 이를 차단해 보안 위협을 줄인다. 추가 도구 없이 애저 데브옵스 UI에서 100개 이상의 서비스 공급자로 구성된 파트너 프로그램을 활용해 200개 이상의 토큰 유형을 스캔할 수 있다. 깃허브의 아론 홀버그 제품 매니지먼트 부사장은 “노출된 자격 증명은 보안 위반의 50% 이상과 관련 있다”며 “수년간 내부 비밀을 유출을 막기 위해 많은 개발자들이 노력을 기울였고 그 결과 한 번의 클릭으로 대응할 수 있는 방안을 마련했다”고 설명했다. 종속성 검사는 개발 과정에서 사용한 오픈소스 중 취약한 구성 요소를 식별해 공급망을 보호는 기능이다. 취약점이 발견된 오픈소스는 위험 심각도에 따라 낮음, 중간, 높음 순으로 분류되어 경고 알림이 표시된다. 더불어 취약점을 해결하기 위해 이를 대체할 수 있는 오픈소스나 대안 등 수정 방안을 제시한다. 코드 검사는 코드 전문분석 엔진 코드QL을 이용해 개발 과정 중 작성 중인 코드를 자동으로 분석해 보안 취약성과 오류를 식별한다. 애저 데브옵스 내에서 실시간으로 코드 분석 및 수정이 이뤄지기 때문에 노출된 취약점이 유출되거나 악용할 여지를 최소화한다. C, C++, C#, 파이썬, GO, 자바, 자바스크립트, 타입스크립트, 코틀린, 루비 등 다양한 언어를 지원한다. 식별된 취약점은 분기, 상태, 파이프라인, 규칙 유형 및 심각도 등에 따라 분류하고 데브옵스 UI에서 바로 확인할 수 있어 직관적으로 문제를 파악하고 업무 분담 등 공동 작업에 유리하다. 또한 마이크로소프트는 3천500명 이상의 보안 전문가로 이뤄진 보안 및 운영팀이 고객사의 데이터 보안 및 개인 정보 보호를 유지하며 생산성을 향상할 수 있도록 지원한다고 강조했다.