깃랩, 데브섹옵스 기능 확장을 위해 피치테크(Peach Tech)와 퍼지트(Fuzzit) 인수
- 이번 인수를 통해 깃랩은 커버리지-가이드 및 동작 퍼즈 테스팅을모두 제공하는 최초의 보안 솔루션을 갖추게 되었다.
[테크수다 이창길 jjangkil@techsuda.com] 데브옵스(DevOps) 전체 라이프사이클을 단일 애플리케이션으로 구현한 깃랩(GitLab)은 프로토콜퍼즈 테스팅(Fuzz Testing) 및 DAST(Dynamic Application Security Testing) API 테스팅 분야의 보안 소프트웨어 전문회사인 피치테크(Peach Tech)와 커버리지가이드(Coverage-Guided) 테스팅을 제공하는 연속 퍼즈테스팅 솔루션 업체인 퍼지트(Fuzzit)를 인수했다고 밝혔다. 깃랩은 이번 인수를 통해 프로토콜 퍼징과 API 퍼징, DAST API 테스팅 및 커버리지 가이드 퍼즈 테스팅을 비롯해 완벽한 테스트 솔루션을 확장하게 된다. 이를 통해 깃랩의 데브섹옵스(DevSecOps)는 커버리지 가이드 및 동작(Behavioral) 퍼즈 테스팅 기술을 모두 제공하는 최초의 보안 솔루션이 되는 것은 물론, 깃랩 CI/CD 환경에서 이러한새로운 제품으로 시프트 레프트(Shift Left) 퍼즈 테스팅을지원하는 최초의 진정한 데브섹옵스 플랫폼이 된다.
깃랩의 CEO인 시드 시브랜디(Sid Sijbrandij)는 “깃랩은 단일 플랫폼으로 완벽한 데브옵스 라이프사이클을 위한 최고의도구를 제공하고 있다.”며, “피치테크와 퍼지트의 퍼징 기술을 깃랩의 보안 솔루션에 도입함으로써 사용자들에게 보다강력하고 완벽한 애플리케이션 보안 테스트 경험을 제공하는것은 물론, 보안 시프트 레프트를 실현할 수 있게 되었다. 동시에 작업 플로우를 간소화하고, 개발 및 보안, 운영 팀 간의협업을 창출할 수 있다.”고 밝혔다.
오픈소스 소프트웨어(OSS)가 급격히 성장하면서 기업들은제로-트러스트(Zero-Trust) 모델로 나아가고 있지만, 잠재적인 위협과 취약성으로 인해 공격을 받을 수 있는 영역이 확대됨에 따라 대기업조차 이러한 보안 상태를 효과적으로 평가할 수 있는 시간이나 리소스가 없는 지점에서는 엔터프라이즈 보안에 대한 우려가 커지고 있다. 퍼징이라고도 하는 퍼즈 테스팅은 악용될 수 있는 버그나 충돌, 오류 등을 파악하기 위해 프로그램에 올바르지 않은 입력을 제공하는 프로세스이다.
‘시프트 레프트’ 데브섹옵스 접근방식을 접목한 성공적인 애플리케이션 보안 테스트 자동화는 개발 및 보안 팀이조기에, 그리고 자주 테스트를 수행할 수 있을 뿐만 아니라기업의 전체 보안 위험을 관리하고 낮출 수 있는 협업을 강화할 수 있다. 또한 커버리지-가이드 및 동작 퍼즈 테스팅을 데브섹옵스 도구 체인에 모두 추가함으로써 기업들이 기존의애플리케이션 보안 테스트 및 QA(Quality Assurance) 테스트 기법으로 흔히 놓치게 되는 취약성과 약점을 파악하는데 도움을 주며, 이러한 결과는 이미 알려진 취약점(예. CVE ID)과 직접 관련되지 않을 수도 있기 때문에 매우 유용하다.
피치테크와 퍼지트의 기술이 완전히 통합되면, 깃랩의 보안기능을 이용하는 고객들은 애플리케이션 보안 테스트 요구를충족시키기 위해 더 이상 추가적인 퍼즈 테스팅 솔루션에 의존할 필요가 없다. 대신 보안 테스트 자동 데브옵스(Auto DevOps) 배포에서 취약성 관리 및 치료에 이르기까지 완벽하게 통합된 솔루션을 이용할 수 있다. 또한 깃랩은 이번 인수를 통해 피치테크의 DAST API 보안 엔진과 퍼지트의 충돌 상관관계 기술을 확장하여 IAST(Interactive Application Security Testing) 로드맵을 가속화할 방침이다.
피치테크의 창업자이자 CEO인 마이클 에딩턴(Michael Eddington)은 “깃랩 데브섹옵스의 핵심 목표는 깃랩 사용자에게 최고의 보안 테스트 도구를 제공하는 것이다. 피치테크기술의 통합으로 깃랩의 보안 시프트 레프트 기능이 확장됨에 따라 오늘날 모든 깃랩 사용자는 보안 및 데브섹옵스의 미래를 실현할 수 있게 되었다.”고 밝혔다.
퍼지트의 창업자이자 CEO인 이브게니 패츠(Yevgeny Pats)는 “깃랩은 퍼지트를 완벽하게 통합함으로써 CI/CD 파이프라인 내에서 지속적인 커버리지 가이드 퍼즈 테스팅을제공하는 최초의 보안 솔루션이 될 것이다. 또한 퍼지트가 지원하는 크래쉬 분석 및 상관관계 기술을 접목한 다중 커버리지 가이드 퍼저(Fuzzer)를 통해 데브섹옵스에 깃랩 사용자를 위한 중요 기능들이 추가될 것이다.”고 피력했다.
깃랩의 데브섹옵스 플랫폼에 피치테크와 퍼지트의 기술이 통합됨에 따라 깃랩은 개발자들이 보다 자연스럽고 원활한 방식으로 보안 취약성과 약점을 발견하고, 수정 및 치료할 수있도록 애플리케이션 보안 테스트 로드맵을 더욱 가속화할예정이다.
https://youtu.be/G7pRWDKts_Q
Secure: Fuzz Testing Update - GitLab acquires Peach Tech & Fuzzit
깃랩은 사용자가 취약성과 약점을 사전에 식별하여 보안 위험을 최소화할 수 있도록 애플리케이션에 대한 정확하고, 자동화된, 지속적인 평가를 제공하고 있다. 깃랩의 보안 기능은데브옵스 사이클에 통합되어 있기 때문에 사용자가 추가 단계나 도구를 사용하지 않고도 보안 테스트 및 프로세스를 조정할 수 있다.
깃랩의 보안 전략 및 방향에 대한 세부내용과 깃랩을 통해 어떻게 기업들이 최상의 데브섹옵스 실행방식을 적용할 수 있는지에 대한 자세한 정보는 깃랩 웹사이트와 비디오 개요에서 확인할 수 있다. 깃랩은 2020 AST(Application Security Testing)를 위한 가트너 매직 쿼드런트 리포트에서 니치마켓 플레이어로 인정받았다.
깃랩의 공개 핸드북에는 대상 회사의 프로필 공유에서 팀에게 제공하는 재정적 인센티브 목록에 이르기까지 회사가 취하고 있는 투명한 기업개발 접근방식을 개괄적으로 설명한 인수 섹션이 포함되어 있다. [테크수다 Techsuda]