소나소스, 오픈소스 코드 보안 강화한 '소나큐브 고급 보안' 출시

코드 품질 테스트 스타트업 소나소스(SonarSource)가 오픈소스 코드 보안 기능을 강화한 새로운 솔루션을 선보인다.

소나소스는 11일(현지시간) 자사 코드 분석 도구 소나큐브(SonarQube)에 ‘고급 보안(Advanced Security)’ 기능을 추가한다고 발표했다. 이번 업데이트는 기존의 AI 생성 및 내부 코드 분석을 넘어, 타사 오픈소스 코드에도 보안 검토 기능을 확대하는 것이 핵심이다.

소나큐브 고급 보안은 소프트웨어 개발 수명 주기(SDLC) 초기에 코드 품질과 보안 취약점을 탐색하고 해결할 수 있도록 지원한다. 이를 통해 개발자들은 보안 문제를 사전에 발견하고 코드 작성 과정에서 직접 수정할 수 있다. 특히 오픈소스 종속성과 관련된 보안 취약점 탐지를 위한 ‘소프트웨어 구성 분석(SCA)’ 기능이 추가돼, 일반적인 보안 취약점과 노출(CVE) 관리가 가능해졌다. 또한 오픈소스 라이선스 준수 여부를 점검하고, 소프트웨어 자재 명세서(SBOM)를 생성해 코드 추적성과 가시성을 더욱 강화했다.

이번 솔루션은 정적 애플리케이션 보안 테스트(SAST)를 포함하며, 기존 보안 도구들이 놓칠 수 있는 오픈소스 코드와의 상호작용에서 발생할 수 있는 숨겨진 취약점을 탐지하는 것이 특징이다. 기존 소나큐브의 핵심 보안 기능들도 유지된다. 이는 퍼스트파티 코드의 SAST 분석, 코드 내 보안 취약점을 탐지하는 테인트 분석, 하드코딩된 자격 증명 누출을 방지하는 비밀 검출 기능 등을 포함한다. 추가적으로 인프라 코드 스캐닝, 보안 보고서 생성 기능을 갖추어 주요 산업 표준(OWASP 톱10, PCI DSS, CWE 톱25) 준수 여부도 점검할 수 있다.

소나소스의 타리크 샤우카트 최고경영자(CEO)는 “우리는 코드 품질 부문에서 시장을 선도해 온 철학을 그대로 보안 분야에도 적용하고 있다”면서 “이번 고급 보안 기능이 개발자들에게 통합적인 코드 품질 및 보안 솔루션을 제공함으로써 보다 우수한 소프트웨어를 빠르게 개발할 수 있도록 도울 것”이라고 말했다.

이번 업데이트에는 지난해 12월 소나소스가 인수한 오픈소스 보안업체 타이드리프트(Tidelift)의 기술이 통합됐다. 이를 통해 소나소스는 오픈소스 유지보수자들과 협력하며 코드 보안성과 품질을 사전 예방적으로 개선하는 전략을 더욱 강화할 계획이다.