애플리케이션 보안은 대규모 소프트웨어 개발 환경에서 점차 필수적인 요구로 자리 잡고 있다. 최근의 복잡한 코드베이스와 빠른 배포 주기는 보안 취약점의 조기 탐지 및 수정 필요성을 높이고 있다. 특히 오픈 소스 의존성이 확대되면서 소프트웨어 구성 요소 분석(SCA)과 정적 애플리케이션 보안 테스트(SAST)의 중요성은 더욱 커지고 있다.

그러나 기존의 수동 보안 검사는 대규모 저장소 환경에서 관리와 확장성에 한계가 있었다. 이에 따라 개발 과정에 직접 통합되어 자동화된 보안 검사를 제공하는 솔루션에 대한 수요가 높아지고 있다.

애플리케이션 보안 기업 블랙덕 소프트웨어(Black Duck Software)가 깃허브(GitHub) 마켓플레이스에 블랙덕 시큐리티 깃허브(Black Duck Security GitHub) 앱을 공식 출시했다고 밝혔다.

이번 앱은 폴라리스(Polaris), 블랙 덕 SCA(Black Duck SCA), 커버리티(Coverity)와 깃허브 저장소 간 온보딩 및 동기화를 단순화해, SaaS와 온프레미스 환경 모두에서 보안 검사를 자동화할 수 있도록 지원한다. 이로써 대규모 개발 프로젝트에서도 보안팀과 개발팀이 데브섹옵스(DevSecOps) 환경을 효율적으로 운영할 수 있는 기반이 마련됐다.

보안 스캐닝 자동화·개발 속도 유지·보안 강화·데브섹옵스 구현

앱은 고객 저장소의 대규모 온보딩 및 지속적인 동기화를 지원한다. 코드 커밋과 풀 요청 시 자동으로 SAST와 SCA 스캔이 실행되며, 발견된 문제는 풀 요청 주석으로 기록돼 즉각적인 대응이 가능하다. 또한 취약한 오픈 소스 종속성에 대해서는 자동 수정 풀 요청이 생성돼 개발 속도를 유지하면서도 보안을 강화한다.

사용자 정의 정책을 통해 위반 사항이 발견되면 빌드를 실패 처리할 수 있으며, SARIF 보고서를 깃허브 어드밴스드 시큐리티(GitHub Advanced Security) 대시보드에 자동 통합해 시각적 관리가 가능하다. 이는 개발자가 깃허브 생태계를 벗어나지 않고도 보안 테스트를 구성·관리할 수 있게 해, 사용자 경험과 ROI를 높이는 효과를 제공한다.

이번 앱은 보안 검사의 가속화, 조직 전체 애플리케이션 포트폴리오에 대한 확장성, 수동 구성 작업 감소 및 오류 가능성 축소라는 장점을 제공한다. 깃허브 워크플로 내부에서 보안 통찰력과 수정 지침을 제공해 개발자 경험이 향상되며, 데브섹옵스의 시프트 레프트(Shift-Left) 원칙을 실현할 수 있다.

블랙덕 제품 관리 부사장 스콧 존슨(Scott Johnson)은 “블랙덕과 깃허브의 통합으로 개발자는 더욱 빠르고 효율적으로 안전한 소프트웨어를 개발할 수 있게 됐다”라며 “온프레미스와 SaaS 환경에서 모두 확장성을 확보하고, 업계 최고 수준의 애플리케이션 보안 전문성과 깃허브의 협업 플랫폼을 결합해 고객이 위험을 줄이고 보안을 강화하는 동시에 개발 속도를 유지할 수 있다.”라고 말했다.

그는 또한 “최신 소프트웨어 개발 환경은 민첩성과 속도를 요구하는 동시에 보안이 필수적 요소로 자리 잡고 있다. 이번 앱은 이러한 요구를 충족하기 위한 실질적 해법을 제공한다.”라고 강조했다.

깃허브 마켓플레이스 출시로 개발자와 보안팀은 별도의 복잡한 설정 없이 자동화된 애플리케이션 보안 테스트를 바로 적용할 수 있게 되었다. 이는 데브섹옵스 문화 확산을 촉진하고 기업의 보안 성숙도를 높이는 기반으로 작용할 전망이다.