오픈소스 취약점 단번에 찾아주는 ‘소스클리어’

가 +
가 -

오픈소스 기술은 개발자들에게 유용한 정보를 가지고 있지만, 이를 기업내 서비스나 시스템에 통합할 때는 반드시 몇 가지 사항을 점검해야 한다. 우선 라이선스를 확인해야 하고, 버전이나 보안 취약성도 확인해야 한다. 이러한 과정은 오픈소스 기술을 처음 다루는 사람에게 쉬운 일이 아니다. 미국의 한 스타트업은 이러한 고민에 빠져있는 개발자들을 돕기 위해 오픈소스 취약점만 전문적으로 찾아주는 서비스를 공개했다. ‘소스클리어‘라는 기술이다.

소스클리어는 2013년 미국 샌프란시스코에 설립된 스타트업이다. 오픈소스 기술에 최적화된 보안 기술을 주로 제공하고 있다. 벤처캐피탈 등으로부터 1천만달러, 우리돈 약 110억원 규모의 투자를 받기도 했다.

소스클리어를 사용하는 방법은 간단하다. 먼저 커맨드라인 인터페이스나 메이븐, 그래들, 젠킨스, 트래비스CI 플러그인 등을 활용해 소스코드를 검사한다. 소스클리어는 코드저장소, 브랜치 등 검사할 항목을 지정하고 코드와 라이브러리, 의존성을 분석한다. 그리고 누가 코드를 작성했으며, 어떤 라이선스를 사용했는지, 보안 취약성이 없는지 자동으로 검색하고 그 결과를 시각화해서 보여준다. 특히 보안 취약성을 검사할 때는 소스클리어가 별도로 구축한 머신러닝 기술을 활용한다.

sourceclear_05

▲사진 : 소스클리어 홈페이지

sourceclear_03

▲사진 : 소스클리어 홈페이지

소스클리어는 문제점을 발견하면 대처법도 함께 알려준다. 예를 들어 “코드를 바꾸시오”, “외부 패치를 찾으시오”, “라이브러리를 업데이트하시오”같은 정보를 준다. 협업도구 지라와도 통합할 수 있어, 문제가 발생한 부분에 대해서 쉽게 지라 공유 게시판에 보고할 수 있다.

sourceclear_02

▲사진 : 소스클리어 홈페이지

sourceclear_04

▲사진 : 소스클리어 홈페이지

마크 커페이 소스클리어 최고경영자는 5월9일 블로그를 통해 “90%의 기업이 오픈소스 라이브러리와 프레임워크를 결합해 제품을 만들고 있다”라며 “이러한 시스템에 대한 취약점은 점점 많아지고 있다”라고 말했다. 또한 “많은 개발자들이 오픈소스 기술을 검사할 있으면서도 쉽고 빠르고 이용할 수 있는 코드 분석기를 원했다”라고 소스클리어를 개발한 이유를 밝혔다.

현재 소스클리어에서 이용할 수 있는 오픈소스 기술은 자바, 루비, 노드JS, 파이썬이며, 향후 보어, C, C++, 고(Go) 언어도 지원된다고 한다. 여기에 깃허브, 깃허브 엔터프라이즈, 아틀라시안 비트버킷, 깃, 젠킨스, NPM 등을 통합해 사용할 수 있다.

소스클리어는 누구나 무료로 가입할 수 있다. 기본 버전은 무료로 이용할 수 있고, 추가 기능 및 보안 기능은 월별 요금을 지불해야 한다.

네티즌의견(총 0개)