파이썬 기반 소스코드에서 보안 오류를 찾을 수 있는 인스타그램의 보안 도구가 오픈소스로 공개됐다.
미국 지디넷은 페이스북이 인스타그램의 보안도구인 파이사(Pysa)를 깃허브를 통해 오픈소스로 공개했다고 최근 보도했다.
파이사는 파이썬기반의 소스 코드에서 버그를 찾아주는 정적분석기다. 코드를 컴파일하기 전 단계에서 코드를 스캔 후 버그가 발생할 수 있을 것으로 예상되는 패턴을 찾으면 플래그로 개발자에게 알리는 방식이다.
이 도구는 보안관련 버그나 문제를 찾는 것에 특화됐으며 주로 프로그램 내 데이터의 흐름을 추적한다. 대부분의 보안 공격은 필터링 되지 않거나 제어되지 않은 데이터의 흐름을 이용하기 때문이다.
페이스북은 수백만 줄의 코드로 이뤄진 대규모 소스코드에서 데이터의 흐름에 대한 통찰력을 제공하는 것을 목표로 파이사를 개발했다.
이를 위해 개발팀은 보안팀과 함께 크로스사이트 스크립팅, 원격코드 실행, SQL 삽입 등 일반적인 보안 문제 관련 패턴을 학습하고 수개월에 걸쳐 내부테스트를 진행했다.
관련기사
- 페이스북, 2분기 영업이익 52억 달러...전년대비 29% 늘어2020.07.31
- 저커버그도, 베조스도, '미국의 꿈' 강조했다2020.07.29
- 데이터과학 프로그래밍 언어 줄리아 1.5버전 출시2020.08.05
- 자바, 8년 만에 프로그래밍 언어 순위 2위 내줬다2020.07.29
페이스북은 지속적인 개선을 통해 공개할 수 있을 정도로 프로그램이 성숙했다며 2020년 상반기 인스타그램의 파이썬 서버코드에서 모든 보안 버그의 44%를 파이사로 감지했다고 설명했다.
페이스북의 그레이엄 블리니 보안 엔지니어는 “파이사는 수 시간 내에 수백만 줄 이상의 코드를 스캔할 수 있도록 구축됐다”며 “개발자는 이 도구로 수시간 내에 수백만 줄의 코드를 전송할 수 있는 속도를 갖춰 거의 실시간으로 버그를 찾고 개발이 지연되는 것에 대해 두려움을 덜 느껴도 될 것”이라고 말했다.
