깃랩, 피치테크-퍼지트 인수하며 퍼징 역량 확보
퍼즈 테스팅, SAST나 DAST와 달리 알려진 CVE로
식별 안된 애플리케이션 고유의 보안 취약점 찾아


디지털 보안에 관한 관심이 높아지고 있다. 보안 소프트웨어 개발자가 코드 작업을 완료하기 전에 퍼즈 테스팅(Fuzz Testing) 등의 스캐닝 결과를 알 수 있다면, 취약성이 어디에서 발생했고, 어떤 역할이 있었는지 파악할 필요 없이 어떠한 보안 결함이 발생했는지 즉각적으로 확인할 수 있다.

깃랩은 3일, 지난 6월에 인수한 피치테크(Peach Tech), 퍼지트(Fuzzit)와의 통합 작업이 완료됐다고 밝혔다.

피치테크는 프로토콜 퍼즈 테스팅 및 DAST(Dynamic Application Security Testing) API 테스팅 보안 소프트웨어 업체이며, 퍼지트는 커버리지 가이드(Coverage-Guided) 테스팅을 제공하는 연속 퍼즈 테스팅 솔루션 업체다.

이번 통합을 통해 깃랩 사용자는 연속 퍼징(Fuzzing) 및 커버리지 가이드 퍼즈 테스팅, 웹 API 퍼즈 테스팅과 같은 기능을 사용할 수 있게 됐으며, 개발자가 코드를 계속 반복하는 동안에도 결과를 직접 제공할 수 있다.

퍼즈 테스팅은 SAST(Static Application Security Testing) 및 DAST와 같은 다른 형태의 애플리케이션 보안 테스트를 보완할 수 있다. SAST, DAST는 알려진 취약점을 찾지만, 퍼즈 테스팅은 알려진 CVE(Common Vulnerability Exposure)로 식별되지 않는 애플리케이션 고유의 취약점을 찾는다.

깃랩의 데이비트 디센토(David DeSanto) 보안 및 보호 단계 제품 디렉터는 “보안은 이제 데브옵스(DevOps) 프로세스 외부의 별도 단계로 볼 수 없다”라며, “깃랩은 퍼징 기술을 통합하여 개발 및 보안 팀이 소프트웨어 개발 초기에 커버리지 가이드 및 API 퍼즈 테스팅 기법을 모두 쉽게 병합할 수 있도록 해준다”라고 말했다.

그러면서 “개발자는 최상의 데브섹옵스(DevSecOps) 실행방식을 쉽게 적용할 수 있을 뿐만 아니라 코드 커밋(Code Commit)에서 어떠한 보안 취약점이 생성되는지 파악할 수 있다”라며, “이는 보안 담당자와 긴밀한 협업을 통해 기업 전반의 보안 위험을 줄일 수 있도록 해준다”라고 밝혔다.

퍼징, DAST, SAST, 의존성 스캐닝, 컨테이너 스캐닝, 기밀 감지, 라이선스 준수 등 모든 깃랩 스캐닝은 CI 파이프라인 내에서 즉시 사용할 수 있으며, 복잡한 API 및 플러그인이 필요하지 않다.

깃랩은 통합된 접근방식으로 인수한 퍼징 IP 혁신을 가속하는 것은 물론, DAST에 리플레이 기능을 추가하여 취약성의 발생 방식을 쉽게 재현하고, 퍼즈 테스팅 결과를 토대로 SAST 기능의 충실도를 개선할 계획이다.

특히 퍼즈 테스팅의 경우, 퍼즈 테스팅을 확장하여 웹 애플리케이션 및 API뿐 아니라 추가 적용사례를 처리하거나, 퍼즈 테스트를 맞춤화하고자 하는 사용자를 위한 구성 옵션을 추가할 계획이다.