github-changelog깃헙

깃허브(GitHub)로 코드-투-클라우드(Code-to-Cloud) 보안 강화!

by DD
4개월 전
조회수 14

빌드 아티팩트(Build Artifact)를 깃허브(GitHub)와 연결하여 코드-투-클라우드(Code-to-Cloud) 추적성(Traceability) 확보

아티팩트 메타데이터 API(Artifact Metadata API)를 통해 빌드 아티팩트의 저장 위치, 배포 이력, 런타임 위험 요소 추적

SLSA Build Level 3 보안을 위해 깃허브(GitHub) 아티팩트 증명(Attestation)을 활용하여 빌드 프로세스 무결성(Build Process Integrity) 보장

깃허브(GitHub) Dependabot, 코드 스캔(Code Scanning) 경고를 배포 환경(Deployment Environment) 기반으로 필터링하여 취약점 대응 우선순위(Vulnerability Remediation Prioritization) 설정

아티팩트 메타데이터 API(Artifact Metadata API) 상세 분석

본문에 따르면 아티팩트 메타데이터 API(Artifact Metadata API)는 빌드 아티팩트(Build Artifact)의 저장 위치(Storage Location), 배포 이력(Deployment History), 런타임 위험 요소(Runtime Risk)를 추적하는 REST API(REST API) 엔드포인트(Endpoint)를 제공한다.

스토리지 레코드(Storage Records): 패키지 레지스트리(Package Registry) 내 아티팩트 위치 기록

배포 레코드(Deployment Records): 아티팩트 배포 위치 및 런타임 위험 요소 기록

활용: CI/CD(CI/CD) 워크플로우(Workflow), 외부 CD(CD) 도구, 클라우드 런타임 모니터(Cloud Runtime Monitor)에서 호출 가능

이 API는 코드-투-클라우드(Code-to-Cloud) 추적성(Traceability) 확보를 위한 핵심 기능이며, DevSecOps(DevSecOps) 환경 구축에 기여한다.

SLSA Build Level 3 보안 달성을 위한 깃허브(GitHub) 아티팩트 증명(Attestation)

깃허브(GitHub) 아티팩트 증명(Attestation)은 빌드 아티팩트(Build Artifact)를 소스 저장소(Source Repository) 및 빌드 워크플로우(Build Workflow)에 암호화 방식으로 바인딩(Binding)하여 빌드 프로세스 무결성(Build Process Integrity)을 보장한다.

빌드 증명(Build Provenance): 빌드 과정의 출처 및 세부 정보 기록

SBOM(Software Bill of Materials): 소프트웨어 구성 요소 목록 기록

커스텀 증명(Custom Attestation): 개발자가 정의한 추가 정보 기록

SLSA Build Level 3는 빌드 단계의 위변조 방지(Tamper-Proofing)를 목표로 하며, 공급망 공격(Supply Chain Attack) 방어에 필수적이다.

배포 환경 기반의 보안 경고 필터링

깃허브(GitHub) Dependabot, 코드 스캔(Code Scanning) 경고를 배포 환경(Deployment Environment) 정보 기반으로 필터링하여 취약점 대응 우선순위(Vulnerability Remediation Prioritization)를 설정할 수 있다.

필터링 조건: artifact-registry, has:deployment, runtime-risk

기존 필터(EPSS, CVSS)와 결합: 가장 심각한 취약점(Vulnerability)에 집중

효과: 개발팀은 실제 프로덕션 환경(Production Environment)에 영향을 미치는 취약점에 집중하여 효율적인 대응 가능

결과적으로, 개발팀은 자원 낭비를 최소화하고 보안 사고(Security Incident) 발생 가능성을 감소시킬 수 있다.

깃허브(GitHub)와 파트너사 통합을 통한 아티팩트 연결

깃허브(GitHub)는 아티팩트(Artifact)를 연결하기 위해 다양한 방법을 제공하며, 특히 파트너사와의 통합을 통해 사용 편의성(Usability)을 극대화했다.

깃허브(GitHub) 액션(Action): attest-build-provenance 액션을 통해 자동으로 스토리지 레코드(Storage Record) 생성

파트너사 통합: Microsoft Defender for Cloud, JFrog Artifactory를 통해 별도 설정 없이 레코드 전송

REST API: 모든 아티팩트에 대해 수동으로 스토리지 및 배포 레코드 업로드 가능

이러한 다양한 방법을 통해 개발자는 자신의 환경에 맞는 유연한 아키텍처(Flexible Architecture)를 구성할 수 있다.

Strengthen your supply chain with code-to-cloud traceability and SLSA Build Level 3 security
원문 읽기