최근 공급망 공격이 증가하며, 오픈소스 및 서드파티 컴포넌트를 활용하는 소프트웨어 개발 환경에서 취약점 관리가 더욱 중요해졌다. 전통적인 보안 방식은 빠른 배포 주기를 따라가지 못해 개발 보안 운영(DevSecOps)와 같은 보안 통합이 필수적이다. 하지만 이 환경에서도 자동화 및 통합 부족, 보안과 개발 간의 협업 부족, 복잡한 툴 체인 관리의 문제가 도사리고 있다.

소프트웨어 공급망을 위한 지속적인 보증 플랫폼 제공업체인 스크라이브 시큐리티(Scribe Security)가 애플리케이션 보안(AppSec)과 개발 보안 운영(DevSecOps)을 포함한 제품 보안 문제를 효율적으로 관리할 수 있는 AI 기반 애플리케이션 보안 챗봇의 조기 출시를 발표했다.

스크라이브 시큐리티의 플랫폼은 CI/CD 파이프라인에 내장된 수집기 모음을 통해 고유한 보안 데이터를 생성하여 제품의 출처, 무결성, 보안 상태, SBOM, 취약점, 규정 준수에 대한 서명된 증명을 생성한다. 이러한 데이터 포인트들은 모든 단계에서 코드의 전체 수명 주기를 설명하는 상호 연결된 증거 그래프를 형성한다. 또한 소프트웨어 공장의 자산을 매핑하고 코드에서 클라우드까지의 계보를 추적한다.

솔로몬 왕의 가장 현명한 고문의 이름을 딴 AI 애플리케이션 보안 챗봇인 헤이맨(Heyman)은 슬랙에 기본적으로 통합되어 있어 보안 엔지니어들이 관련 데이터에 빠르게 접근하여, 보안 문제를 더 빠르게 이해하고 신속하게 대응할 수 있다.

스크라이브 시큐리티의 CEO인 루비 아벨(Rubi Arbel)은 “헤이맨은 취약점이나 정책 위반과 같은 데브섹옵스의 잘못된 구성 및 애플리케이션 보안 작업의 우선순위를 지정하고 해결하는 데 도움을 준다. 이 봇은 소프트웨어의 보안 증명을 효율적으로 조회할 수 있는 방법을 제공하여 어려운 작업을 더 빠르게 처리할 수 있다. 이를 통해 상당한 시간과 비용을 절약할 수 있다.”라고 설명했다.

헤이맨은 현재 스크라이브의 기존 고객들을 위한 조기 액세스 슬랙 봇으로만 이용 가능하다.