개발 행위에 반드시 필요한 디펜던시, 최신화와 보안 유지 필수
자동으로 디펜던시 업데이트 해주는 디펜더봇과 취약점 DB API 통합돼

[보안뉴스 문가용 기자] 마이크로소프트가 소유한 세계적인 코드 저장소 및 공유 사이트인 깃허브(GitHub)가 개발자들에게 “애플리케이션 개발에 사용하는 디펜던시들에 대한 보안을 쉽게 확인 및 강화할 수 있도록 하겠다”고 발표했다. 깃허브는 디펜던시가 항상 최신화 되어 있고, 안전한 상태인 채로 유지하기 위해 보안 권고 API(Security Advisory API)와 디펜더봇(Dependabot)을 통합할 계획이다.


디펜더봇은 런던에서 활동하는 개발자인 그레이 베이커(Grey Baker)가 만든 것으로, 일종의 관리 툴이다. 깃허브 사용자들이 디펜던시들을 항상 최신화할 수 있도록 도와주는 기능을 가지고 있다. 사용자의 디펜던시 파일들을 매일 확인하고, 업데이트가 있을 경우 이를 사용자에게 알려준다. 그러면 사용자들은 이를 수동적으로 검토하고 업데이트를 하나하나 개별 진행할 수 있고, 디펜더봇이 자동으로 업데이트를 실시하도록 설정할 수도 있다.

이런 디펜더봇이 깃허브가 이전부터 운영해왔던 보안 권고 API와 통합될 예정이다. 보안 권고 API는 깃허브 사용자들이 “조심스럽게 선정한” 취약점 데이터베이스에 접근할 수 있도록 해주는 기능을 가지고 있다. 깃허브에 따르면 이런 보안 권고 서비스는 작년 약 1천 개의 오류와 관련하여 1천만 건이 넘는 보안 경고를 사용자들에게 보냈다고 한다. 그러므로 깃허브 사용자들은 취약점에 대한 경고와 디펜던시 업데이트에 대한 알림 메시지를 받게 되는 것이다.

“보안 권고 API와 통합된 디펜더봇은, 깃허브 사용자가 진행하고 있는 프로젝트의 디펜던시들이 공개된 취약점들을 가지고 있는지 확인할 수 있게 됩니다. 그리고 그에 따른 업데이트 경고를 사용자들에게 전달할 수 있지요. 또한 디펜더봇은 루비, 자바스크립트, PHP, 자바, 파이선, 닷넷, 러스트, 엘릭서를 지원합니다.”

디펜던시의 업데이트 현황 여부를 일일이 확인한다는 건 매우 어려운 일이다. 자동화 시스템이 반드시 필요하다. 디펜더봇을 만든 베이커는 “예를 들어 자바스크립트의 경우 30개의 직접적인 디펜던시와 712개의 간접 디펜던시를 가지고 있다”고 설명한다.

“루비는 총 합해서 125개, 러스트는 98개, PHP는 73개, 파이선은 68개입니다. 이걸 매일 하나하나 확인한다는 건 꽤나 비효율적인 일입니다. 사실 이거 확인하다가 개발은 못할 정도죠.” 디펜더봇은 이러한 작업을 사용자 대신 자동으로 해주는 것으로, “깃허브의 API와 통합되어 사용자들이 개발 행위에 더 집중할 수 있게 될 것”이라고 베이커는 설명한다.

깃허브가 제공할 통합 디펜더봇은 오픈소스 및 개인 프로젝트에 있어서는 무료로 사용할 수 있도록 제공된다. 그러나 기업이 상업적 목적으로 사용할 경우에는 요금을 내야 하는데, 한 달에 15달러~100달러라고 한다.

3줄 요약
1. 모든 앱 개발 프로젝트에는 디펜던시들이 사용되어야 함. 그런데 이 디펜던시들도 업데이트가 되지 않으면 취약해짐.
2. 디펜던시 업데이트 여부를 자동으로 확인해주는 툴 중에 디펜더봇이란 게 있음.
3. 깃허브가 이 디펜더봇을, 취약점 데이터베이스 API인 보안 권고 API와 통합시켜 사용자들의 디펜던시 보안을 강화함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>