깃허브 액션, 오픈소스 세부경로 기록한다
깃허브가 공급망 사이버공격 방지를 위해 오픈소스의 경로를 확인할 수 있는 기능을 추가했다. 19일(이하 현지시각) 더레지스터 등 외신에 따르면 깃허브는 깃허브 액션으로 노드패키지매니저(npm) 레지스트리 소프트웨어 패키지를 빌드할 때 코드 출처에 대한 세부 정보를 게시할 수 있다. 급증한 사이버 공격의 핵심 공격 루트인 오픈소스 소프트웨어 공급망 보안을 더욱 강화하기 위함이다. 깃허브 액션은 복잡하거나 반복적인 명령줄 입력 및 소프트웨어 빌드를 자동화하는 방법을 제공하는 지속적 통합, 배포(CI/CD)플랫폼이다. npm은 확장성 있는 앱 개발을 지원하기 위한 모듈형 패키지 관리자다. 패키지를 다운받아서 추가하는 것 만으로 해당 기능을 활용할 수 있다. 개발자는 이런 라이브러리를 200만 개이상 호스팅 해야하는 만큼 깃허브 액션을 통해 자동화해 처리하는 경우가 많다. 문제는 일부 악성 사용자 또는 사이버 범죄자가 의도적으로 소스코드 내에 악성 코드를 심어 피해가 대규모로 확산될 우려가 있다. 지난 17일 발견된 바이브랜스드(Vibranced)라는 악성코드가 포함된 패키지는 매주 2천만 회 이상 다운로드되는 컬러스(colors)와 유사하게 제작돼 사용자들에게 혼란을 주기도 했다. 이런 문제를 해결하고 npm에 대한 신뢰를 높이기 위해 패키지가 만들어진 날짜부터 수정된 시간, 파일이 변조된 과정까지 시각화해 제공한다. 이를 통해 사용자의 혼란을 줄이고 사이버공격을 방지할 수 있다고 깃허브 측은 설명했다. 이 밖에도 다양한 통합 및 자동화 워크플로를 지원하기 위해 추가적인 리포지토리 보안 권고 API도 추가했다.