본문으로 바로가기
63144081 0592020100163144081 08 0802001 6.1.20-RELEASE 59 지디넷코리아 0 false true false false 1601531825000 1601559626000

깃허브, 소스코드 배포 전 취약점 찾아준다

글자크기

'코드 스캐닝' 기능 출시

(지디넷코리아=김윤희 기자)소스코드 공유 사이트 깃허브가 코드를 배포하기 전 취약점 유무를 검사하는 보안 기능 '코드 스캐닝'을 공식 출시한다고 미국 지디넷이 9월30일(현지시간) 보도했다.

해당 기능은 지난해 9월 깃허브가 코드 분석 플랫폼인 셈멜의 기술 역량을 통합해 개발한 코드 쿼리 언어 '코드QL'을 통해 구현됐으며, 지난 5월부터 베타 테스트 기간을 거쳐왔다. 지원하는 프로그래밍 언어는 C, C++, C#, 고, 자바, 자바스크립트, 타입스크립트, 파이썬이다.

깃허브 보안팀은 코드 스캐닝을 제공하기 위해 사전 정의된 코드QL 쿼리 2천개 이상을 취합했다고 밝혔다. 이를 통해 모든 풀리퀘스트, 커밋, 병합을 분석해 취약한 코드가 생성되는 즉시 기본적인 보안 결함 유무를 확인해준다고 설명했다.

지디넷코리아

소스코드 공유 사이트 깃허브가 코드를 배포하기 전 취약점 유무를 검사하는 보안 기능 '코드 스캐닝'을 공식 출시한다고 미국 지디넷이 30일(현지시간) 보도했다.(출처=미국지디넷)

<이미지를 클릭하시면 크게 보실 수 있습니다>



이용자는 각 코드 저장소의 '보안' 탭에서 코드 스캐닝 기능을 활성화할 수 있다. 지원 언어로 작성된 코드에서 취약점이 탐지될 경우 코드 저장소에 경고가 표시된다. 개발자에게는 코드 수정 요청이 전달되고, 문제가 해결되면 경고 알림이 사라지게 된다.

깃허브는 베타 테스트 기간 동안 코드 스캐닝이 1만2천개 이상의 저장소에서 140만번 이상 사용됐으며, 원격코드실행(RCE), SQL 주입, 크로스사이트스크립팅(xss) 등 취약점 2만개 이상을 확인했다고 밝혔다.

김윤희 기자(kyh@zdnet.co.kr)

<저작권자 ⓒ '대한민국 대표 산업 미디어' 지디넷코리아, 무단전재 및 재배포 금지>
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.