GitGuardian: 보안 검사 도구

#Github

GitGuardian은 코드 수준 보안 검사 도구다.
이름에 Git이 붙은걸 보면 알겠지만, Git/Github에 통합되는 형태의 완전 관리형 Saas 서비스다.

쉽게 말해서 소스코드에 패스워드를 때려넣는다거나 하는 아찔한 상황들을 감지하고 막아내기 위한 도구라고 보면 된다.

탐지율이나 사용성도 꽤 괜찮고, 무료 사용량이 매우 널널해서 도입해봄직도 한 것 같다.

비용

무료로도 꽤 널널한 편이라서 중소규모에는 무리없이 사용할 수 있다.
근데 유료플랜은 이상하게 정량화가 잘 안되어있더라... 대규모 조직을 타겟으로 해서 그런가.

Github을 통해서 매우 간편하게 시작할 수 있다.

가입을 하면 즉시 레포지토리에 연동을 할 수 있는데

난 일부 레포만 지정했다.
이렇게 지정한 레포지토리에는 자동으로 보안 체크 도구가 붙는다.

그러면 전용 대시보드에 진입하게 될텐데, 처음 연동된 레포지토리는 자동으로 전체 스캔을 시도한다.

만약 뭔가 문제가 발견되면 이런 식으로 경고 목록이 잔뜩 뜬다.

근데 이게 패턴 기반으로 찾는거라서 실제 위험이 아닌 것도 잡을 수 있다.
그럴때는 Ignore를 누르고, 해결한 뒤라면 Resolve로 가려버리면 된다.

그리고 최초 연동 이후에도 PR에 반응해서 검사 workflow를 자동으로 돈다.

이런 식이다.