깃허브, 보안 캠페인 정식 출시 AI 통해 대규모 취약점 해결 지원:: 보드나라

뉴스

단신뉴스

오늘의 주요뉴스

메인

전송 2025-04-09 12:35

[뉴스/보도자료]
깃허브, 보안 캠페인 정식 출시 AI 통해 대규모 취약점 해결 지원

깃허브(GitHub)는 깃허브 어드밴스드 시큐리티(GitHub Advanced Security, GHAS) 및 깃허브 코드 시큐리티(GitHub Code Security) 고객을 대상으로 코파일럿 오토픽스(Copilot Autofix)가 포함된 보안 캠페인(security campaigns) 기능을 출시했다. 이를 통해 개발자와 보안 전문팀 간 협업이 원활해지고, 보안 부채(security debt)를 제어하고 리스크를 관리할 수 있게 됐다.

보안 캠페인 기능은 보안 전문가와 개발자 간 협업을 통해, 보안 취약점 수정 프로세스를 개발자 워크플로우 내에서 간소화하면서도 대규모로 적용할 수 있도록 지원한다. 특히 코파일럿 오토픽스는 한 번에 최대 1,000건에 달하는 코드 스캐닝 경고(code scanning alerts)에 대한 코드 수정 제안을 자동으로 생성한다. 이를 통해 보안 담당자는 분류 및 우선순위를 정하고, 개발자는 기존의 개발 흐름을 유지하면서 빠르게 보안 문제를 해결할 수 있도록 지원한다.

제임스 플레처(James Fletcher) 깃허브 시니어 프로덕트 매니저(Senior Product Manager)는 "보안 부채는 고객이 해결하지 못한 가장 큰 리스크 중 하나로, 자체 분석 결과에 따르면 지금까지 병합된 코드 내 보안 부채 중 단 10%만이 해결되어, 전체의 90%가 미해결 상태로 남아 있었다"며 "하지만 보안 캠페인 기능 도입 이후, 보안 부채 해결 비율이 55%까지 크게 향상되었다"고 설명했다.

보안 캠페인 기능은 지난 해 깃허브 유니버스(GitHub Universe)에서 프리뷰 형태로 대중에 처음 공개된 이후, 기업 규모나 보안 수준에 상관 없이 다양한 조직에서 활용됐다. 특히 전사적인 보안 부채 해결이나 핵심 저장소 경고 관리 등 다양한 방식으로 사용되며, 개발자와 보안 전문팀 모두에게 실질적인 가치를 제공했다.

실제 초기 사용자 데이터를 분석한 결과, 보안 캠페인에 보고되지 않은 외부 보안 부채는 약 10%만 해결된 반면, 보안 캠페인에 보고된 보안 경고 중 55%가 해결되면서 5.5배 높은 효과를 보였다. 이는 보안 담당자가 우선순위를 선별해 주면, 개발자들은 보안 부채 해결에 더 집중할 수 있다는 점을 반영한다. 실제로 깃허브에 따르면, 보안 캠페인에 보고된 경고는 보고되지 않은 경고보다 개발자 참여율이 약 2배 더 높은 것으로 나타났다.

코드베이스에 존재하는 보안 문제를 분류하고 우선순위를 정하는 작업은 소프트웨어 개발 과정에서 반드시 필요한 절차다. 하지만 제품 담당자는 빠른 코드 작성 일정에 쫓기면서 수많은 보안 경고를 일일이 검토하고 어떤 항목부터 처리할지 결정할 여유가 부족한 것이 현실이다. 다행히 대부분의 조직에는 이러한 리스크를 전문적으로 다루는 보안 전문팀이 존재하며, 보안 캠페인 기능은 개발자와 보안 담당자가 각자의 강점을 살려 보안 부채를 함께 해결할 수 있도록 돕는 새로운 협업 방식이다.

1. 보안 전문팀은 보안 캠페인을 통해 조직 내 여러 저장소에 걸쳐 우선적으로 해결해야 할 보안 리스크를 선별한다. 캠페인 구성 시에는 마이터(MITRE, 미국 비영리 연구개발 조직) 상위 10대 공개된 취약점(MITRE top 10 Known Exploited Vulnerabilities)과 같은 사전 정의된 템플릿을 활용해 범위를 손쉽게 설정할 수 있다. 또한, 깃허브의 보안 개요(security overview) 기능을 통해 조직 전체의 보안 리스크 현황을 통계와 지표로 확인할 수 있다.

2. 보안 캠페인에 포함할 경고가 확정되고 타임라인이 설정되면, 해당 캠페인의 영향을 받는 개발자들에게 자동으로 전달된다. 보안 캠페인에 정의된 수정 작업은 개발자들이 실제로 일하는 공간인 깃허브에서 제공되며, 다른 기능 개발 업무처럼 계획하고 관리할 수 있다.

3. 코파일럿 오토픽스는 캠페인에 포함된 모든 경고에 대해 자동 수정 제안과 함께 문제 원인을 설명하는 맞춤형 도움말을 제공한다. 이를 통해 이슈를 해결하는 것이 단순히 변경 사항을 검토하고 풀 리퀘스트(Full request)를 생성하는 것만큼 쉬워졌다.

깃허브는 이번에 출시한 보안 캠페인이 단순한 보안 경고에 그치지 않는다고 강조한다. 캠페인에는 각 경고의 책임 개발자를 명확히 전달하기 위한 알림 기능이 제공되며, 캠페인 매니저가 지정돼 전체 진행 상황을 관리하고 개발자들의 작업을 지원한다. 또한, 보안 관리자(security manager)는 깃허브 내에서 조직 단위의 캠페인 현황을 실시간으로 추적하고, 필요 시 개발자와 긴밀히 협업할 수 있다.

태그(Tag) : 깃허브, AI

관련 기사 보기

[영상] 24년 하드웨어 전문기자가 바라는 새정부의 소버린 AI 정책의 방향, 칩부터 모델링 산업융합까지 우리 것으로
[영상] 엔비디아와 대만의 AI산업 중심기지 전략 '팀타이완', 대만 국내용 메시지에 불과한 이유
[영상] 엔비디아와 그래픽카드 제조를 '따위' 취급한 댓가를 치르는, 한국 AI 하드웨어 제조산업 [PC흥망사 12-2]
[영상] 딥시크 쇼크, 엔비디아와 고성능 GPU 수요에 미치는 영향은?
[영상] 엔비디아가 제시하는 AI가 적용된,PC와 게임이 지금 당장 만들어 낼 변화는? (Feat. 지포스 50 에디터스 데이)
[테크닉] 게임속 NPC 까지 확대된 AI, 일상까지 깊숙히 스며든 AI 시대
태그(Tags) : 깃허브, AI 관련기사 더보기

편집부 /

press@bodnara.co.kr

이기사와 사진은 업체에서 제공받은 보도자료와 사진으로, 보드나라의 논조와는 다르다는 점을 알려드립니다.

보드나라 많이본 기사

베데스다, 폴아웃 4 10주년과 폴아웃 뉴베가스 15주년 에디션 발표

MS 차세대 AI 칩 Maia 3, 인텔 18A 공정서 생산?

윈도우 11 10월 누적 업데이트, 개발 및 복구 환경 영향 이슈 유발

모바일티머니 K-패스 서비스 확대 오픈

라이젠 메인스트림의 새로운 가성비 킹왕짱?, AMD 라이젠 5 9500F

서버와 모바일에 올인하고 데스크탑 CPU는 버티기, [인텔 25-26 전략 1부]

당신의 CPU를 편안하게 원더랜드까지, 잘만 ZET 5 솔더링

부담없는 보급형 어항형 케이스 3종, 내게 맞는 모델은?

이 기사의 의견 보기

닉네임

웹봇방지

2025년 10월

주간 히트 랭킹

라이젠 메인스트림의 새로운 가성비 킹왕짱?, AMD 라이젠

서버와 모바일에 올인하고 데스크탑 CPU는 버티기, [인

당신의 CPU를 편안하게 원더랜드까지, 잘만 ZET 5 솔더링

부담없는 보급형 어항형 케이스 3종, 내게 맞는 모델은?

화이트 감성의 고성능 SFF 대응 VGA,기가바이트 지포스 R

PC를 내주고 서버를 얻어야 하는, 인텔판 대혼돈의 멀티

12년만에 새롭게 제대로 열린 현대전장, 배틀필드 6

흔들리지 않고 편안한 기계식 키보드, WOB CRUSH80 리부

PD 100W까지 필요한건 다 갖춘 USB 허브,ipTIME UC306HDM

기능 타협 없는 ASUS의 새로운 엔트리 라인업 MAX, ASUS

잘만 N6 백사십	SPM, WOB Zen65 커스텀 키	ipTIME, 8K 초고해상도 출



정보는 LCD로 편리하게 확	서린씨앤아이, SSUPD PCIe	ZOOM



넷스카우트 클리어사이트	Newsync X300WF200	이엠텍, Ai 시스템 구축에