개발자

깃허브, 러스트 언어용 공급망 보안 도구 추가

Paul Krill | InfoWorld 2022.06.09
깃허브의 여러 공급망 보안 기능을 러스트 카고(Rust Cargo) 파일에 사용할 수 있게 됐다. 자문 데이터베이스(Advisory Database), 디펜더봇 경보(Dependabot Alerts), 디펜던시 그래프(Dependency Graph) 등의 활용처가 넓어진 셈이다.
 
ⓒUnsplash

깃허브가 러스트(Rust) 언어를 위한 일련의 공급망 보안 기능을 추가했다. 요즘 성장세를 타고 있는 러스트 개발자가 보안 취약성을 발견하고 예방할 수 있도록 지원하기 위해서다.

여기에는 깃허브 자문 데이터베이스가 포함된다. 이 데이터베이스는 400개 이상의 러스트 보안 권고 사항, 디펜더봇 경보 및 업데이트, 디펜던시 그래프를 지원하며, 러스트 카고 패키지 파일의 취약한 의존성에 대한 경고를 제공한다.

깃허브 자문 데이터베이스는 개발자가 조치를 취할 수 있는 취약점 정보를 제공하는 보안 데이터베이스이다. 데이터베이스에 기재된 취약점 대부분은 러스트 라이브러리와 관련된 보안 권고 사항을 게재하는 러스트섹(RustSec)에서 제공한다. 러스트 패키지 메인테이너는 보안 권고 사항을 참고해 취약점을 공개적으로 발표하기 전에 제보자와 협력한 뒤 서로 논의을 거쳐 취약점을 수정할 수 있다. 개발자는 커뮤니티 기여를 통해 러스트 취약점을 CVE(Common Vulnerabilities and Exposures)로 보고할 수 있다. 

깃허브 디펜던시 그래프는 저장소의 Cargo.toml 및 Cargo.lock 파일을 분석해 프로젝트의 의존관계를 판단한다. 디펜더봇은 이 디펜던시 그래프를 이용해 개발자에게 알려진 취약성을 경고하고 풀 요청(pull request)을 생성해 영향을 받는 의존성을 업데이트한다. 디펜던시 그래프는 공용 저장소에서 사용하도록 기본 설정되지만, 개인 저장소에서 사용하려면 따로 설정해야 한다. 

깃허브는 공용 저장소의 디펜던시 그래프가 아직 업데이트되지 않았다면 곧 업데이트되는 모습을 확인할 수 있을 것이라고 밝혔다. 러스트용 디펜던시 그래프 지원은 2단계로 배포될 계획이다. 깃허브 저장소의 패키지 매핑을 포함한 러스트용 풀 패키지 메타데이터는 향후 출시된다.

개발자는 디펜던시 리뷰 깃허브 액션(dependency review GitHub Action)을 사용해 러스트의 취약점이 전혀 발생하지 않도록 할 수도 있다. 러스트 의존성과 식별자의 변경 사항에 대한 풀 요청을 스캔하고 이미 판명된 취약성이 있는지를 확인하는 방식이다. 그런 다음 이러한 취약점이 코드로 병합되는 것을 차단한다. 더 자세한 내용은 깃허브 공식 문서에 기재된 러스트 저장소 보호 지침을 참고하면 된다. ciokr@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.