반도체 전문 온라인 매거진 - 올포칩

깃랩(GitLab)은 기업들이 모든 소프트웨어 개발 라이프사이클 단계에 보안 및 컴플라이언스를 통합하고, 소프트웨어 공급망을 보호할 수 있도록 보안 및 거버넌스 솔루션의 향상된 기능을 발표했다. 

깃랩의 2022년 글로벌 데브섹옵스 조사에 따르면, 보안이 기업들의 최우선 투자 영역인 것으로 나타났으며, 조사 대상 보안 전문가의 약 57%가 조직이 이미 시프트 레프트(Shift Left) 보안으로 전환했거나 올해 안에 계획 중이라고 밝혔다. 깃랩은 증가하는 보안 요구사항을 충족하기 위해 보안 및 거버넌스 솔루션을 개선하고, 보안 결과 및 컴플라이언스 요구사항에 대한 가시성과 관리 기능을 지원하는 것은 물론, 최상의 소프트웨어 공급망 보안 환경을 제공한다.

기업에 대한 규제 및 컴플라이언스 요구사항이 증가함에 따라, 깃랩은 프로젝트 의존성과 보안 결과 및 사용자 활동에 대한 가시성을 제공하여 팀이 위험을 식별할 수 있도록 거버넌스에 대한 초점을 보다 강화했다. 여기에는 보안 정책 관리, 컴플라이언스 관리, 감사 이벤트, 취약성 관리를 비롯해 향후 도입될 의존성 관리 기능 등이 포함되어 있으며, 이는 개발자가 애플리케이션에서 탐지된 취약한 의존성을 추적하는데 도움을 준다. 이러한 거버넌스 기능은 정적 애플리케이션 보안 테스트(SAST: Static Application Security Testing), 인증정보 탐지, 동적 애플리케이션 보안 테스트(DAST: Dynamic Application Security Testing), API 보안, 퍼즈 테스트(Fuzz Testing), 의존성 스캐닝(Dependency Scanning), 라이선스 준수 및 컨테이너 스캐닝(Container Scanning) 등과 같은 포괄적인 보안 테스트 기능 세트와 함께 기업들이 속도와 민첩성을 유지하면서도 소프트웨어 공급망의 지속적인 보안 및 컴플라이언스를 달성할 수 있도록 지원한다.

깃랩의 제품 담당 부사장인 데이비드 디산토(David DeSanto)는 “기업들이 경쟁력을 유지하고, 디지털 혁신을 추진하기 위해서는 소프트웨어 개발, 운영 및 보안에 능숙해야 한다. 보안은 모든 소프트웨어 개발 라이프사이클 단계에 포함되어야 하며, 사후 고려사항이 되어서는 안 된다.”며, “깃랩은 향상된 보안 및 거버넌스 기능을 통해 기업들의 소프트웨어 공급망을 보호할 수 있는 포괄적인 데브섹옵스 솔루션으로 더욱 강화되었다.”고 밝혔다.

소프트웨어 공급망 보호

소프트웨어 공급망은 최신 소프트웨어 개발에 사용되는 모든 내부 및 외부 의존성을 포괄한다. 기업들은 이러한 공급망을 올바르게 보호하기 위해 내부에서 생성된 코드를 보호할 수 있는 적절한 툴을 배치해야 하는 것은 물론, 타사 구성요소로 인해 도입될 수 있는 취약성까지 탐지할 수 있는 방법도 필요하다. 변경되는 부분들이 너무 많기 때문에 조직의 소프트웨어 공급망을 보호하는 것은 복잡할 수 있다. 코드가 효율적으로 안전하게 배포되도록 개발 라이프사이클 전반에 걸쳐 자동화된 견제 및 균형 시스템이 필요하다. 데브섹옵스 플랫폼을 구현하면, 소유권 및 액세스에 대한 투명성을 개선하고, 핸드오프를 줄임으로써 종단간(End-to-End) 보안을 부분적으로 개선할 수 있다.

• SBOM(Software Bill of Materials): 올해 초 SBOM을 도입한 깃랩은 기업들이 SBOM을 생성하고, 발견된 구성요소 내의 취약성을 자동으로 스캔할 수 있도록 지원하는 것은 물론, 개발자의 자연스러운 워크플로우 내에서 이러한 취약성을 해결할 수 있는 가이드를 제공한다.
• SBOM 보고서 인제스트(Ingest): 곧 출시될 예정인 이 기능은 개발자의 워크플로우를 보호하고, 사용하기 쉽게 데이터를 집계할 수 있도록 제3자의 기존 SBOM 데이터를 파싱(Parsing) 및 인제스트(Ingest)하여 깃랩이 보다 효율적으로 SBOM을 생성할 수 있도록 지원한다.
• 빌드 산출물 서명: 곧 출시될 예정인 이 기능을 통해 깃랩은 빌드 산출물 신뢰성을 증명하기 위해 빌드 산출물과 증명 파일을 모두 서명으로 암호화하여 생성한 후 변경되지 않았음을 입증할 수 있다.
• SLSA-2 증명: 이를 적용하지 않으면, 컨테이너 기반 아키텍처가 결함 및 취약성이 있거나 승인되지 않은 소프트웨어를 배포할 위험을 초래할 수 있다. SLSA-2 증명은 소프트웨어 변조를 보호하고, 추가적인 빌드 무결성 보장을 제공하기 위해 깃랩 15 릴리스 이후 도입되었다. 깃랩 러너(GitLab Runner)는 이제 빌드 산출물에 대한 SLSA-2 호환 증명 메타 데이터를 생성할 수 있다.

사전 예방적 취약성 식별 

깃랩은 기업들이 시프트 레프트로 전환하여 취약성을 사전에 스캐닝하고, 제어 기능을 구현하여 애플리케이션을 보호할 수 있도록 지원한다. 기업들은 깃랩의 향상된 기능을 통해 소스 코드와 컨테이너, 의존성 및 실행 중인 애플리케이션에서 취약성을 자동으로 스캐닝할 수 있다. 또한 이러한 보안 기능은 애플리케이션이 운영환경에 배포되기 전후에 위협 탐지를 자동화하여 보안 위험을 최소화하는데 도움을 준다.

• DAST API 및 API 퍼징: 개발자는 DAST API 및 API 퍼징을 이용하여 CI/CD 파이프라인에서 스캐닝을 통해 애플리케이션의 알려지거나 알려지지 않은 문제들을 모두 확인할 수 있다. 이러한 API 보안 스캐닝은 최근 15.4 릴리스에 GraphQL 스키마 지원이 추가되면서, 이전 릴리스에 비해 최소한의 구성으로 애플리케이션을 보호할 수 있다. 추가 애플리케이션 보안 스캐너로는 정적 애플리케이션 보안 테스트(SAST: Static Application Security Testing), 인증정보 탐지, 컨테이너 스캐닝(Container Scanning), 의존성 스캐닝(Dependency Scanning), IaC 스캐닝 및 커버리지 가이드(Coverage-Guided) 퍼즈 테스트 등이 포함되어 있다.
• 통합 보안 교육: 2022년 데브섹옵스 보고서에 따르면, 응답자의 56%가 개발자들이 실제로 코드 취약성을 우선적으로 처리하는 것이 어렵고, 이러한 위협은 보안 전문가들이 포착해야 한다고 밝혔다. 통합 보안 교육을 통해 개발자는 깃랩 플랫폼 내에서 실행 가능한 관련 보안 코딩 지침에 액세스할 수 있으며, 이를 통해 보안 전문가들의 연관 정보(Context) 전환 및 관리 부담을 줄일 수 있다.

컴플라이언스 및 규제 표준 이행 

운영 전문가는 컴플라이언스 및 감사 요구사항 관리를 자신의 책임 범위 내의 활동으로 식별하고 있다. 깃랩은 새로운 기능과 조만간 출시될 기능을 통해 팀이 변경사항을 추적하고, 제어 기능을 구현하여 운영환경에 배포할 항목을 정의하는 것은 물론, 컴플라이언스 및 규제 프레임워크 라이선스를 준수하는데 도움이 될 것으로 기대하고 있다.

• 역할 지정: 향후 릴리스에서 깃랩 관리자/그룹 소유자는 세분화된 권한에 따라 역할을 지정할 수 있게 된다. 이러한 역할 기반 액세스 제어를 통해 보다 밀접하게 기업의 보안 정책과 연계하고, 최소 권한 원칙을 지원할 수 있다.
• FIPS 140-2 컴플라이언스: 깃랩은 현재 미국 정부의 규제 지침에 따라 일부 깃랩 고객들에게 요구되는 FIPS 140-2를 준수한다. 이 컴플라이언스는 깃랩이 암호화 모듈의 개발 및 사용을 관리하는 잘 정의된 보안 표준을 충족하고 있음을 보여준다. 
• 암호 규칙: 올해 초에 릴리스된 암호 규칙은 암호 복잡성에 대한 요구사항을 설정하고, 사용자가 안전하지 않은 공개 키를 사용하여 깃랩에 액세스하는 것을 방지할 수 있다.
• 스트리밍 감사 이벤트: 올해 초 릴리스된 스트리밍 감사 이벤트는 유의미한 시스템 이벤트와 관련된 메타데이터와 이벤트 유형, 타임라인 및 사용자에 대한 정보를 포착한다. 이를 통해 기업들은 로그를 하나의 툴세트로 통합하고, 워크플로우를 중앙집중식으로 구축하여 특정 이벤트가 발생하면 조치를 취할 수 있다. 
• 2인 승인: 지난해 릴리스된 깃랩을 사용하면, 작성자가 자신의 병합 요청을 승인하는 것을 방지하는 기능을 비롯해 사용자가 그룹 레벨의 병합 요청 설정을 지정할 수 있다. 이 설정을 다른 깃랩 기능과 결합하여 사용하면, 조직에서 코드가 병합되기 전에 두 사람의 승인을 요구할 수 있다.