GitLab은 정적 애플리케이션 보안 테스트(SAST) 로드맵 가속화에 초점을 두고 애플리케이션 보안 역량을 강화하고자 Oxeye를 인수했습니다.

GitLab은 2017년 SAST를 처음 출시했습니다. 이후 ‘SAST를 GitLab DevSecOps 워크플로의 핵심 부분으로 발전시킨다’는 비전의 일환으로 애플리케이션 보안 기능을 계속 발전시켰습니다. 이는 AI/ML의 발전으로 동급 최고 제품을 강화하며, 유익한 정보와 무익한 정보의 비율을 지속 개선해 SAST 솔루션에 흔히 나타나는 거짓 긍정(false positives)을 줄여 전체 소프트웨어 개발 라이프사이클에서 SAST 성능을 향상하는 걸 의미합니다.

SAST가 보안에 가장 큰 영향을 미치려면 다른 보안, 개발 도구와 원활하게 사용돼야 하고, 개발자가 액세스할 수 있어야 합니다. SAST는 강력한 도구이지만 결과를 관리할 수 없거나, 적절한 컨텍스트가 부족하면 그 가치를 상당 부분 잃습니다.

GitLab은 기본적으로 보안을 소스 제어, 빌드 도구, 리포지터리, 이슈 추적, 애플리케이션 모니터링 기능과 결합한 가장 포괄적인 AI 기반 DevSecOps 플랫폼입니다. 정적 분석을 혁신하는 GitLab의 접근 방식은 오픈 소스 집중, 플랫폼 접근 방식, SAST에 전문화된 투자를 결합합니다.

GitLab은 SAST 분야에서 다음과 같은 혁신 역사가 있습니다.

  • 2017년 DevOps 플랫폼에 SAST를 일찍 포함했습니다.
  • 2020 Gartner® Magic Quadrant™ for Application Security Testing에서 인정받은 최초의 DevSecOps 플랫폼입니다.
  • 오픈 소스 SAST 도구에 크게 기여하고 있습니다.

최근 Forrester는 2023년 2분기 ‘The Forrester Wave™: 통합 소프트웨어 전달 플랫폼’ 보고서에서 GitLab을 유일한 리더로 선정했습니다. 이 보고서에는 "비밀키(시크릿), 환경, 러너, SAST/DAST/라이선스 검사 등을 사용하는 CI/CD 경험은 타의 추종을 불허한다"는 고객 의견이 있었습니다.

출처=GitLab | 인포그랩 GitLab
출처=GitLab

동급 최고의 스캐닝 기술을 위해 Oxeye를 인수하는 건 GitLab의 SAST 로드맵을 가속화하는 또 다른 단계입니다. 향상된 SAST 스캐너는 개발자의 취약점 관리와 해결을 간소화할 것입니다. 개발자가 제품 보안에 영향을 미치도록 하려면 보안 결과가 정확해야 하며, 가장 중요하고 악용 가능한 취약점에 초점을 맞춰야 합니다. Oxeye 역량은 GitLab이 이 비전을 실현하는 데 도움이 될 것입니다.

SAST를 넘어선 Oxeye 기능에는 다양한 유형의 데이터 수집과 분석을 통해 런타임 컨텍스트를 제공하여 "코드부터 클라우드까지" 취약점을 추적하는 기능도 있습니다. GitLab은 이러한 기능으로 소프트웨어 구성 분석과 컴플라이언스 도구를 강화해 고객이 모든 애플리케이션 계층 위험을 신속히 확인하고 해결하는 데 더 도움이 될 걸로 예상합니다.

GitLab과 Oxeye 팀의 강점과 보안 전문 기술을 결합하면 훨씬 더 많은 조직이 디지털 전환 노력을 가속화하면서 보안과 컴플라이언스 위험을 줄이는 데 도움이 될 것입니다.

이 포스트는 GitLab의 동의를 받아 공식 블로그의 영문 포스트를 우리말로 번역한 글입니다.