Dependabot, 코드 스캔, OIDC 지원으로 보안 강화!
Dependabot 및 코드 스캔(Code Scanning)이 OIDC(OpenID Connect) 인증을 지원하며, Cloudsmith 및 Google Artifact Registry를 추가 지원
OIDC 기반 인증을 통해 클라우드 ID 제공업체에서 단기 자격 증명을 동적으로 획득하여 보안 강화(Security Enhancement)
GitHub Enterprise Server 3.22 및 github.com에서 정식 출시되어 조직 수준의 보안 설정(Organization-level Security Configuration)을 지원
OIDC 기반 인증의 작동 원리
본문에 따르면 OIDC(OpenID Connect)는 ID 제공업체(Identity Provider)를 통해 단기 자격 증명을 획득하는 방식이다.
GitHub Actions와 유사하게, 클라우드 ID 제공업체에서 발급된 토큰(Token)을 사용하여 비밀번호 없이 인증(Passwordless Authentication)
단기 자격 증명(Short-lived Credentials) 사용으로 자격 증명 유출 위험 감소 및 보안 강화(Security Enhancement)
지원 레지스트리: AWS CodeArtifact, Azure DevOps Artifacts, JFrog Artifactory, Cloudsmith, Google Artifact Registry
결과적으로 OIDC는 CI/CD 파이프라인(CI/CD Pipeline)의 보안성을 높이고, 자동화된 보안 관리(Automated Security Management)를 가능하게 한다.
기존 인증 방식과의 차이점
기존의 레지스트리 인증 방식은 API 키(API Key) 또는 사용자 이름/비밀번호를 사용하므로, 보안 취약점이 존재했다.
API 키 유출(API Key Leakage): 코드에 하드코딩된 API 키는 노출 시 악의적인 공격에 악용될 수 있음
자격 증명 관리(Credential Management) 복잡성: 장기적인 자격 증명 관리는 키 로테이션(Key Rotation) 및 접근 권한 관리의 어려움
OIDC는 자동화된 자격 증명 관리(Automated Credential Management)를 통해 이러한 문제점을 해결하고, 보안 모범 사례(Security Best Practices)를 제공한다.
OIDC 도입은 DevSecOps(DevSecOps) 문화를 강화하고, 자동화된 보안(Automated Security)을 가능하게 한다.
GitHub Enterprise Server 3.22 출시의 의미
GitHub Enterprise Server 3.22 버전 출시를 통해 조직 수준에서 OIDC 기반 인증을 사용할 수 있게 되었다.
조직 전체 설정(Organization-wide Configuration): 중앙 집중식 보안 정책 관리 및 일관된 인증 방식 적용
GitHub Actions와의 통합: OIDC를 활용하여 GitHub Actions 워크플로우(Workflow)와 동일한 방식으로 인증
확장성: 향후 더 많은 레지스트리 및 서비스에 OIDC 지원이 확대될 것으로 예상
결론적으로, GitHub Enterprise Server 3.22는 기업 환경(Enterprise Environment)에서 보안을 강화하고, 개발 생산성(Development Productivity)을 향상시키는 데 기여할 것이다.
