[디지털경제뉴스 박시현 기자] 깃랩(GitLab)은 올해 6월 인수한 피치테크(Peach Tech)와 퍼지트(Fuzzit)의 통합을 완료, 데브섹옵스 기능을 강화했다고 밝혔다.
피치테크는 프로토콜 퍼즈 테스팅(Fuzz Testing) 및 DAST(Dynamic Application Security Testing) API 테스팅 분야의 보안 소프트웨어 전문기업이며, 퍼지트는 커버리지 가이드(Coverage-Guided) 테스팅을 제공하는 연속 퍼즈 테스팅 솔루션 업체이다.
피치테크와 퍼지트를 깃랩에 도입함으로써 개발자와 보안 팀 모두 퍼즈 테스팅을 작업 플로우에 쉽게 통합해 유용한 실행방식으로 많은 혜택을 얻을 수 있다.
리눅스 재단의 ‘핵심 인프라 이니셔티브 FOSS 기여자 설문조사, 2020년 11월’ 보고서에 따르면, 조사 대상자의 39%만이 보안 소프트웨어 개발과 관련한 공식적인 트레이닝을 받았다고 응답했다.
가장 높은 평가를 받은 사람들의 경우, 버그/보안 수정, 무료 보안 감사, 보안 도구를 추가하는 간단한 방법 및 보안 교육과정 등의 트레이닝을 받은 것으로 나타났다.
개발자가 코드 작업을 완료하기 전에 퍼즈 테스팅 및 다른 스캐닝 결과를 제공하는 것은 트레이닝의 매우 중요한 요소이다. 이를 통해 취약성이 어디에서 발생했고, 어떤 역할이 있었는지 파악할 필요없이 어떠한 보안 결함이 발생했는지 즉각적으로 확인할 수 있다.
퍼즈 테스팅은 새로운 것은 아니다. 깃랩이 최근 보고서에서 실시한 설문조사에 따르면, 응답자의 81%가 퍼즈 테스팅이 중요하다고 생각하고 있는 것으로 나타났다.
그러나 퍼즈 테스팅을 설정하고, CI 시스템에 통합할 때 발생하는 많은 어려움 때문에 실제로는 36%만이 퍼징을 사용하고 있다고 응답했다. 위협 벡터와 취약성이 증가하면서 기업들의 보안에 대한 관심은 점차 높아지고 있다.
깃랩은 기존의 작업 플로우에 퍼즈 테스팅을 도입해 포괄적인 데브섹옵스 기능으로 이러한 기업들을 지원함으로써 애플리케이션 또는 서비스 비즈니스 로직에서 보안 문제와 결함을 확인할 수 있도록 해준다.
또한 퍼징은 SAST(Static Application Security Testing) 및 DAST와 같은 다른 형태의 애플리케이션 보안 테스트를 보완할 수 있다.
SAST 및 DAST는 알려진 취약점을 찾는 반면, 퍼즈 테스팅은 알려진 CVE(Common Vulnerability Exposure)로 식별되지 않는 애플리케이션 고유의 취약점을 찾는다.
깃랩은 피치테크와 퍼지트 기술 구현을 완료함으로써 자동 데브옵스 보안 테스트 배포에서 취약성 관리 및 치료에 이르기까지 훨씬 더 포괄적이고, 완벽하게 통합된 보안 솔루션을 제공한다.
퍼징 및 다른 모든 깃랩 스캐닝은 CI 파이프라인 내에서 즉시 사용할 수 있으며, 복잡한 API 및 플러그인이 필요하지 않다. 깃랩은 이러한 완벽한 통합 접근방식을 통해 인수한 퍼징 지적 자산들에 대한 혁신을 가속화하는 것은 물론, DAST에 리플레이 기능을 추가해 취약성의 발생 방식을 쉽게 재현하고, 퍼즈 테스트 결과를 상호 연관시켜 깃랩의 선도적인 SAST 기능의 충실도를 개선할 계획이다.
특히 퍼즈 테스팅의 경우, 퍼즈 테스팅을 확장해 웹 애플리케이션 및 API뿐 아니라 추가 적용사례를 처리하거나, 퍼즈 테스트를 맞춤화 하고자 하는 사용자를 위해 첨단 구성 옵션을 추가할 계획이다.
