Secure Code Warrior, AI 활용으로 DevSecOps 교육 범위 확대

Source: DevOps.com

Secure Code Warrior는 이번 주에 인공지능(AI) 에이전트의 기능을 확장하여, 애플리케이션 개발자가 코드를 작성하는 동안 실시간으로 관련 교육 인사이트를 제공할 수 있게 했습니다.

Gartner Security & Risk Management Summit에서 발표된 Adaptive Learning 기능은 학습 플랫폼에 추가되어 각 개발자가 사용하는 AI 도구와 커밋한 코드 라인까지 감지하고, 자동으로 관련 교육을 제공해 개발자가 컴플라이언스 문제를 식별하고 코드 저장소에서 발견된 취약점을 해결할 수 있도록 돕습니다.

SCW Trust Agent는 Checkmarx, SonarQube, Parasoft와 같은 API 데이터를 가져오고 정적 분석 결과 교환 형식(SARIF) 파일을 업로드함으로써 이러한 취약점을 발견할 수 있습니다.

DevSecOps 팀은 또한 취약점을 저장소와 기여자에 매핑하고, 할당 및 완료된 작업을 추적하여 애플리케이션 개발자의 진행 상황을 시간에 따라 평가할 수 있습니다.

마지막으로, 발견된 취약점을 기반으로 특정 개발자에게 목표 마이크로 교육을 자동으로 할당하는 정책을 설정할 수 있습니다.

Secure Code Warrior CTO인 Matias Madou는 이번 SCW Trust Agent 확장이 조직이 예를 들어, 프로덕션 환경에서 나중에 해결해야 할 수 있는 애플리케이션 보안 문제를 처음부터 발생하지 않도록 방지하는 고도로 개인화된 교육을 제공할 수 있게 만든다고 말했습니다.

AI가 애플리케이션 품질에 미칠 영향을 판단하기에는 아직 이릅니다. 첫 번째 AI 생성 코드 물결은 다양한 출처에서 가져온 종종 결함이 있는 코드 예시를 기반으로 생성된 코드가 많아 취약점이 더 많이 발생하고 있습니다. 그러나 코드를 생성하는 대형 언어 모델(LLM)의 추론 능력이 향상됨에 따라, 과거 인간과 기계가 흔히 만들던 많은 취약점이 점차 감소하고 있습니다.

Madou는 SCW Trust Agent가 코드가 개발되는 즉시 문제를 식별하도록 특별히 훈련된 AI 에이전트를 추가함으로써 그 능력을 다음 논리적 단계로 끌어올렸다고 설명했습니다. 이 기능은 AI 코딩 도구가 생성한 코드를 디버깅하기 쉽게 만들 뿐만 아니라, 불필요하게 공격 표면을 확대할 수 있는 과도한 코드와 같은 약점을 식별하는 데에도 도움이 된다고 덧붙였습니다.

Futurum Group의 소프트웨어 라이프사이클 엔지니어링 부문 부사장 겸 실무 책임자인 Mitch Ashley는 AI 생성 코드에 대한 거버넌스 레이어가 스캐너 위에 통합되고 있으며, 보안 코드 교육이 AI 기여와 연결된 커밋 수준 신호로 재배치되고 있다고 말했습니다. 이제 보안 및 엔지니어링 팀은 시점 스캔만으로는 어느 기여자(인간 또는 에이전트)가 취약점을 만들고 해결했는지 증명할 수 없기 때문에 다른 결정을 내려야 한다고 덧붙였습니다.

Ashley는 “감사 가능한 개발자별 증거가 이제는 컴플라이언스와 AI가 요구하는 필수 조건이 되었다”고 말했습니다.

이러한 접근 방식과 관계없이 AI 시대에 명확한 한 가지는 가능한 한 많은 취약점이 처음부터 생성되지 않도록 예방에 훨씬 더 많은 강조가 필요하다는 점입니다.