작년부터 실시한 리포지토리 취약점 스캐닝 서비스
대부분 1주일 내로 해결...취약점 자체는 공개하지 않아

[보안뉴스 문가용 기자] 개발자들의 커뮤니티이자 코드 저장소 서비스를 제공하는 깃허브(GithHub)가 50만개 이상의 코드 리포지토리에서 4백만 개 이상의 취약점을 발견했다고 발표했다.


깃허브는 자신이 보유하고 있는 루비 및 자바스크립트 라이브러리에서 CVE 취약점들을 2017년부터 스캔해왔다고 한다. 스캐닝을 시작하고 얼마 지나지 않아 깃허브는 45만여개의 취약점들을 발견했고, 이를 작년 12월 1일자로 전부 해결했다고 발표한 바 있다. 취약점이 탐지된 후 1주일 만에 해결되는 경우는 약 30%라고 한다.

“또한 울린 경보의 15%가 일주일 내로 해제되기도 했습니다. 즉 발견된 모든 취약점의 절반 가까이가 1주일 내로 해결되었다는 뜻이 됩니다. 해결되지 않는 나머지 경보 및 취약점들의 경우에도 대부분은 지난 90일 동안 어디에도 사용된 적 없는 리포지토리에서 발견된 것들 뿐입니다.”

그러면서 깃허브는 “최근에 등록된 리포지토리들은 거의 대부분 1주일 내에 취약점 패치 및 보완이 완료되는 것이 추세”라고 강조했다. 다만 깃허브는 안전을 위하여 리포지토리에 있는 취약점들을 대중에게 공개하지는 않는다고 밝혔다.

“물론 리포지토리 관리자나 운영자에게는 취약점 정보가 전달됩니다. 관리자나 운영자에 따라서는 리포지토리 스캔 서비스를 받지 않아도 되고요. 선택 사항입니다. 다만 많은 리포지토리에서 취약점이 발견되고 있으니만큼 한 번쯤 검사를 받고 해결하는 것이 장기적으로 도움이 될 것이라고 권고하고 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>