깃허브가 코드를 스캔하고 보안상 문제가 있는 코드를 자동 수정해주는 ‘코드스캐닝 오토픽스’ 기능을 20일 베타버전으로 공개했다.
코드스캐닝 오토픽스는 코드QL 엔진, 깃허브 코파일럿 AI의 API, 휴리스틱 기법을 활용해 코드를 제안한다. AI 코딩 도구인 깃허브 코파일럿이 종합적인 코드를 추천한다면, 코드스캐닝 오토픽스는 보안 관점에서 문제가 있는 코드를 집중적으로 찾아 제시한다.
가령 코드스캐닝 오토픽스 이용자는 취약점이 있는 코드에 대한 간단한 설명과 수락, 편집, 무시할 수 있는 코드를 미리보기 형식으로 확인할 수 있다. 제안 내용에는 현재 파일에 대한 변경 사항 외에도 연관된 파일에 대한 변경 사항, 프로젝트 종속성 관련 코드가 포함된다.
깃허브는 “자바스크립트, 타입스크립트, 파이썬 코드에서 볼 수 있는 보안 경고 유형 90%를 코드스캐닝 오토픽스에서 관리한다”라며 “발견된 취약점 중 3분의 2는 거의 그대로 혹은 수정 하나도 없이 개발자가 바로 활용할 수 있다”라고 밝혔다. 향후 C#과 고 언어도 코드스캐닝 오토픽스에서 지원할 예정이다.
깃허브는 코드스캐닝 오토픽스를 자사 솔루션에 탑재되는 보안 기능의 하나로 지난 11월 공개했다. 사용자는 깃허브의 보안 기능으로 코드를 스캔하고, 보안 경로를 위한 자동 트리거 규칙을 생성하고, 종속성 검토 등을 할 수 있다. 코드스캐닝 오토픽스를 비롯한 고급 보안 기능은 깃허브의 유료 서비스 사용자만 이용할 수 있.다.
dl-ciokorea@foundryco.com
