해외 사이버 보안 전문 매체 블리핑컴퓨터가 깃허브의 머신러닝 기반 코드 스캔 분석 기능 출시 소식을 보도했다.
코드 스캔 분석 기능은 프로그램 최종 출시 전 보편적인 보안 취약점 자동 감지를 위해 제작됐다. 자동 감지 기능으로 발견한 보한 취약점은 등록된 저장소의 ‘보안’ 탭에 경고를 전송하여 해커 세력의 취약점 악용과 의도치 않은 피해 발생을 방지한다.
코드 스캔 기능은 깃허브의 소스 코드 보안 취약점 분석 엔진인 코드QL(CodeQL)을 활용한다. 저장소에서 취약점을 감지하기 위해 코드QL 엔진이 먼저 코드의 특수 관계 표현을 인코딩하는 데이터베이스를 구축한다.
이후 데이터베이스에서 특정 유형이 보안 문제를 찾고자 설계된 일련의 코드QL 쿼리를 실행할 수 있다.
코드 스캔 분석 기능 제작 과정에는 코드 스니펫의 위험 여부를 판단하는 딥러닝 신경망으로 그동안 드러난 보안 취약점 사례를 수동 모델 훈련이 이루어졌다.
깃허브 관계자는 딥러닝 신경망을 훈련한 덕분에 처음 접하는 라이브러리를 사용할 때도 보안 취약점 발견이 가능해졌다고 밝혔다.
이어, “새로운 분석 기능을 활용해, 코드 스캐닝은 사이트 간 스크립팅(XSS), 경로 주입, NoSQL 주입, SQL 주입 등 4가지 취약점 패턴에 대한 훨씬 더 많은 경보를 표면화할 수 있다”라며, “4가지 취약점 패턴 모두 자바스크립트와 타입스크립트 생태계 내 CVE 중 높은 비중을 차지하고 있다. 코드 스캔 기능의 핵심은 취약점 조기 탐지 능력 향상과 개발자의 안전한 코드 작성 지원이다”라고 말했다.
한편, 코드 스캔 분석 기능은 현재 자바스크립트와 타입스크립트 깃허브 저장소에서 무료 공개 베타 버전으로 사용할 수 있다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
