웹 프레임워크의 약한 기밀들 탐지해 주는 도구...하지만 보완 조치 기능은 없어

요약 : 보안 외신 시큐리티위크에 의하면 보안 업체 블랙랜턴(Black Lantern)이 이번 주 자사가 개발한 보안 탐지 도구인 배드시크리츠(Badsecrets)를 오픈소스로 전환했다고 한다. 배드시크리츠는 웹 프레임워크에서 암호화와 관련된 비밀 정보들이 약하게 보호되어 있는 경우를 찾아내주는 도구로, 모듈 구성을 하고 있으며, 파이선 기반이다. 탐지까지만 해 주는 도구이지, 문제를 해결하지는 않는다고 블랙랜턴은 강조했다.


배경 : 현재 배드시크리츠는 깃허브에 호스팅 되어 있어 누구라도 열람 및 다운로드가 가능하다. 해당 주소는 https://github.com/blacklanternsecurity/badsecrets이다. 블랙랜턴 측은 개발자 커뮤니티를 통해 배드시크리츠 모듈이 풍성해지기를 기대하고 있다고 한다.

말말말 : “취약한 부분을 탐지해 줄 수는 있습니다. 하지만 문제가 발견된 이후에는 스스로가 조치를 취해야 합니다.” -블랙랜턴-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>