깃랩, 퍼즈 테스팅 솔루션 통합으로 데브섹옵스 강화
상태바
깃랩, 퍼즈 테스팅 솔루션 통합으로 데브섹옵스 강화
  • 김경한 기자
  • 승인 2020.12.03 13:55
  • 댓글 0
이 기사를 공유합니다

퍼즈 테스트 맞춤화 위해 첨단 구성 옵션 추가 예정

[테크월드=김경한 기자] 깃랩(GitLab)은 올해 6월 인수한 피치테크(Peach Tech)와 퍼지트(Fuzzit)의 통합을 완료함에 따라, 개발자와 보안 팀 모두 퍼즈 테스팅을 작업 플로우에 쉽게 통합할 수 있게 됐다. 

이로써 사용자는 깃랩에서 연속 퍼징, 커버리지 가이드 퍼즈 테스팅, 웹 API 퍼즈 테스팅과 같은 기능을 사용할 수 있게 됐으며, 개발자가 코드를 계속 반복하는 동안에도 직접 결과를 제공받을 수 있게 됐다. 퍼징(혹은 퍼즈 테스팅)은 컴퓨터 프로그램에 무작위 데이터를 입력한 후, 잠재적인 오류나 충돌을 발견하는 것이다. 

피치테크는 프로토콜 퍼즈 테스팅(Fuzz Testing)과 DAST(Dynamic Application Security Testing) API 테스팅 분야의 보안 소프트웨어 전문기업이고, 퍼지트는 커버리지 가이드(Coverage-Guided) 테스팅을 제공하는 연속 퍼즈 테스팅 솔루션 업체다. 

리눅스 재단(Linux Foundation)의 ‘핵심 인프라 이니셔티브 FOSS 기여자 설문조사, 2020년 11월’ 보고서에 따르면, 조사 대상자의 39%만이 보안 소프트웨어 개발과 관련한 공식적인 트레이닝을 받았다고 응답했다. 가장 높은 평가를 받은 사람들의 경우, 버그/보안 수정, 무료 보안 감사, 보안 도구를 추가하는 간단한 방법과 보안 교육과정 등의 트레이닝을 받은 것으로 나타났다. 개발자가 코드 작업을 완료하기 전에 퍼즈 테스팅과 다른 스캐닝 결과를 제공하는 것은 트레이닝의 중요 요소다. 이를 통해 취약성이 어디에서 발생했고, 어떤 역할이 있었는지 파악할 필요 없이 어떠한 보안 결함이 발생했는지 즉각적으로 확인할 수 있다. 

데이비트 디센토(David DeSanto) 깃랩의 보안·보호단계 제품 디렉터는 “보안은 더 이상 데브옵스 프로세스 외부의 별도 단계로 볼 수 없다”며, “깃랩은 퍼징 기술을 완벽하게 통합함으로써 개발·보안 팀이 소프트웨어 개발 라이프사이클 초기에 커버리지 가이드와 API 퍼즈 테스팅 기법을 모두 쉽게 병합할 수 있도록 해준다. 개발자는 최상의 데브섹옵스(DevSecOps) 실행방식을 쉽게 적용할 수 있을 뿐만 아니라 코드 커밋(Code Commit)에서 어떤 보안 취약점이 생성되는지 파악할 수 있다. 이는 보안 담당자와 긴밀한 협업을 통해 기업 전반의 보안 위험을 줄일 수 있도록 해준다”고 밝혔다.

퍼즈 테스팅은 새로운 것은 아니다. 깃랩이 최근 보고서에서 실시한 설문조사에 따르면, 응답자의 81%가 퍼즈 테스팅이 중요하다고 생각하고 있는 것으로 나타났다. 그러나 퍼즈 테스팅을 설정하고, CI 시스템에 통합할 때 발생하는 많은 어려움 때문에 실제로는 36%만이 퍼징을 사용하고 있다고 응답했다. 위협 벡터와 취약성이 증가하면서 기업들의 보안에 대한 관심은 점차 높아지고 있다. 깃랩은 기존의 작업 플로우에 퍼즈 테스팅을 도입해 포괄적인 데브섹옵스 기능으로 이런 기업들을 지원함으로써 애플리케이션 또는 서비스 비즈니스 로직에서 보안 문제와 결함을 확인할 수 있도록 해준다. 또한 퍼징은 SAST(Static Application Security Testing), DAST와 같은 다른 형태의 애플리케이션 보안 테스트를 보완할 수 있다. SAST와 DAST는 알려진 취약점을 찾는 반면, 퍼즈 테스팅은 알려진 CVE(Common Vulnerability Exposure)로 식별되지 않는 애플리케이션 고유의 취약점을 찾는다.

깃랩은 피치테크와 퍼지트 기술 구현을 완료함으로써 보안 기능 고객들에게 자동 데브옵스 보안 테스트 배포에서 취약성 관리와 치료에 이르기까지 훨씬 더 포괄적이고, 완벽하게 통합된 보안 솔루션을 제공한다. 퍼징, 다른 모든 깃랩 스캐닝(DAST, SAST, 의존성 스캐닝, 컨테이너 스캐닝, 기밀 감지, 라이선스 준수)은 CI 파이프라인 내에서 즉시 사용할 수 있으며, 복잡한 API와 플러그인이 필요하지 않다. 깃랩은 이러한 완벽한 통합 접근방식을 통해 인수한 퍼징 지적 자산들에 대한 혁신을 가속화하는 것은 물론, DAST에 리플레이 기능을 추가해 취약성의 발생 방식을 쉽게 재현하고, 퍼즈 테스트 결과를 상호 연관시켜 깃랩의 선도적인 SAST 기능의 충실도를 개선할 계획이다. 

특히 퍼즈 테스팅의 경우, 퍼즈 테스팅을 확장해 웹 애플리케이션과 API뿐 아니라 추가 적용사례를 처리하거나, 퍼즈 테스트를 맞춤화하고자 하는 사용자를 위해 첨단 구성 옵션을 추가할 계획이다. 


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.