2021-01-24 02:10 (일)
깃랩, 퍼징 솔루션 통합 완료하고 데브섹옵스 기능 강화
상태바
깃랩, 퍼징 솔루션 통합 완료하고 데브섹옵스 기능 강화
  • 길민권 기자
  • 승인 2020.12.03 16:17
이 기사를 공유합니다

데브옵스 전체 라이프사이클을 단일 애플리케이션으로 구현한 깃랩은 프로토콜 퍼즈 테스팅 및 DAST API 테스팅 분야의 보안 소프트웨어 전문기업인 피치테크와 커버리지 가이드 테스팅을 제공하는 연속 퍼즈 테스팅 솔루션 업체인 퍼지트의 통합을 완료했다고 밝혔다.

올해 6월 인수된 피치테크와 퍼지트가 깃랩에 완전히 통합됨에 따라 사용자는 깃랩에서 연속 퍼징 및 커버리지 가이드 퍼즈 테스팅, 웹 API 퍼즈 테스팅과 같은 기능을 사용할 수 있게 되었으며, 개발자가 코드를 계속 반복하는 동안에도 직접 결과를 제공할 수 있다. 전통적으로 퍼징은 결과를 얻기가 어렵고 힘들다. 피치테크와 퍼지트를 깃랩에 도입함으로써 개발자와 보안 팀 모두 퍼즈 테스팅을 작업 플로우에 쉽게 통합하여 유용한 실행방식으로 상당한 혜택을 얻을 수 있다.

리눅스 재단의 ‘핵심 인프라 이니셔티브 FOSS 기여자 설문조사, 2020년 11월’ 보고서에 따르면, 조사 대상자의 39%만이 보안 소프트웨어 개발과 관련한 공식적인 트레이닝을 받았다고 응답했다. 가장 높은 평가를 받은 사람들의 경우, 버그-보안 수정, 무료 보안 감사, 보안 도구를 추가하는 간단한 방법 및 보안 교육과정 등의 트레이닝을 받은 것으로 나타났다.

개발자가 코드 작업을 완료하기 전에 퍼즈 테스팅 및 다른 스캐닝 결과를 제공하는 것은 트레이닝의 매우 중요한 요소이다. 이를 통해 취약성이 어디에서 발생했고, 어떤 역할이 있었는지 파악할 필요없이 어떠한 보안 결함이 발생했는지 즉각적으로 확인할 수 있다.

깃랩의 보안 및 보호단계 제품 디렉터인 데이비트 디센토(David DeSanto)는 “보안은 더 이상 데브옵스 프로세스 외부의 별도 단계로 볼 수 없다”며 “깃랩은 이러한 퍼징 기술을 완벽하게 통합함으로써 개발 및 보안 팀이 소프트웨어 개발 라이프사이클 초기에 커버리지 가이드 및 API 퍼즈 테스팅 기법을 모두 쉽게 병합할 수 있도록 해준다. 개발자는 최상의 데브섹옵스 실행방식을 쉽게 적용할 수 있을 뿐만 아니라 코드 커밋에서 어떠한 보안 취약점이 생성되는지 파악할 수 있다. 이는 보안 담당자와 긴밀한 협업을 통해 기업 전반의 보안 위험을 줄일 수 있도록 해준다”고 말했다.

퍼즈 테스팅은 새로운 것은 아니다. 깃랩이 최근 보고서에서 실시한 설문조사에 따르면, 응답자의 81%가 퍼즈 테스팅이 중요하다고 생각하고 있는 것으로 나타났다. 그러나 퍼즈 테스팅을 설정하고, CI 시스템에 통합할 때 발생하는 많은 어려움 때문에 실제로는 36%만이 퍼징을 사용하고 있다고 응답했다.

위협 벡터와 취약성이 증가하면서 기업들의 보안에 대한 관심은 점차 높아지고 있다. 깃랩은 기존의 작업 플로우에 퍼즈 테스팅을 도입하여 포괄적인 데브섹옵스 기능으로 이러한 기업들을 지원함으로써 애플리케이션 또는 서비스 비즈니스 로직에서 보안 문제와 결함을 확인할 수 있도록 해준다.

또한 퍼징은 SAST(Static Application Security Testing) 및 DAST와 같은 다른 형태의 애플리케이션 보안 테스트를 보완할 수 있다. SAST 및 DAST는 알려진 취약점을 찾는 반면, 퍼즈 테스팅은 알려진 CVE(Common Vulnerability Exposure)로 식별되지 않는 애플리케이션 고유의 취약점을 찾는다.

깃랩의 신디 블레이크(Cindy Blake)는 “보안 팀의 공통적인 고민은 자동화된 보안 테스트를 데브옵스 CI 파이프라인에 통합하여 프로젝트 팀이 규정된 테스트 세트를 따르고, 보안 정책을 준수하도록 하는 것이다. 깃랩의 얼티미트(Ultimate) 및 골드(Gold) 계층은 이러한 노력을 간소화할 수 있도록 해준다. 일부 문서를 제외하고, 일관된 방식으로 탬플릿을 설정하고 프로젝트에 적용할 수 있다”고 말했다.

깃랩은 피치테크와 퍼지트 기술 구현을 완료함으로써 보안 기능 고객들에게 자동 데브옵스 보안 테스트 배포에서 취약성 관리 및 치료에 이르기까지 훨씬 더 포괄적이고, 완벽하게 통합된 보안 솔루션을 제공한다. 퍼징 및 다른 모든 깃랩 스캐닝(DAST, SAST, 의존성 스캐닝, 컨테이너 스캐닝, 기밀 감지 및 라이선스 준수)은 CI 파이프라인 내에서 즉시 사용할 수 있으며, 복잡한 API 및 플러그인이 필요하지 않다.

깃랩 측은 이러한 완벽한 통합 접근방식을 통해 인수한 퍼징 지적 자산들에 대한 혁신을 가속화하는 것은 물론, DAST에 리플레이 기능을 추가하여 취약성의 발생 방식을 쉽게 재현하고, 퍼즈 테스트 결과를 상호 연관시켜 깃랩의 선도적인 SAST 기능의 충실도를 개선할 계획이다.

특히 퍼즈 테스팅의 경우, 퍼즈 테스팅을 확장하여 웹 애플리케이션 및 API뿐 아니라 추가 적용사례를 처리하거나 퍼즈 테스트를 맞춤화 하고자 하는 사용자를 위해 첨단 구성 옵션을 추가할 계획이다. 안정적인 퍼즈 테스팅을 위한 깃랩의 향후 계획에 대한 자세한 정보는 카테고리 디렉션 페이지에서 확인할 수 있다.

★정보보안 대표 미디어 데일리시큐!★