소스코드 공유 사이트 깃허브가 코드를 배포하기 전 취약점 유무를 검사하는 보안 기능 '코드 스캐닝'을 공식 출시한다고 미국 지디넷이 9월30일(현지시간) 보도했다.
해당 기능은 지난해 9월 깃허브가 코드 분석 플랫폼인 셈멜의 기술 역량을 통합해 개발한 코드 쿼리 언어 '코드QL'을 통해 구현됐으며, 지난 5월부터 베타 테스트 기간을 거쳐왔다. 지원하는 프로그래밍 언어는 C, C++, C#, 고, 자바, 자바스크립트, 타입스크립트, 파이썬이다.
깃허브 보안팀은 코드 스캐닝을 제공하기 위해 사전 정의된 코드QL 쿼리 2천개 이상을 취합했다고 밝혔다. 이를 통해 모든 풀리퀘스트, 커밋, 병합을 분석해 취약한 코드가 생성되는 즉시 기본적인 보안 결함 유무를 확인해준다고 설명했다.
관련기사
- 깃허브, 개발용어 '마스터'→메인으로 바꾼다2020.09.21
- MS, 깃허브 코드스페이스로 웹개발 도구 통합2020.09.07
- 천년 뒤 후손 위해 북극에 오픈소스 저장 완료2020.07.21
- 깃허브, 개인 개발자에 무료 개방…팀 요금도 5달러 인하2020.04.16
이용자는 각 코드 저장소의 '보안' 탭에서 코드 스캐닝 기능을 활성화할 수 있다. 지원 언어로 작성된 코드에서 취약점이 탐지될 경우 코드 저장소에 경고가 표시된다. 개발자에게는 코드 수정 요청이 전달되고, 문제가 해결되면 경고 알림이 사라지게 된다.
깃허브는 베타 테스트 기간 동안 코드 스캐닝이 1만2천개 이상의 저장소에서 140만번 이상 사용됐으며, 원격코드실행(RCE), SQL 주입, 크로스사이트스크립팅(xss) 등 취약점 2만개 이상을 확인했다고 밝혔다.