스칼드 랩(Skald Lab)이 개발자를 위한 새로운 오픈소스 보안 도구 '무닌(Muninn)'을 깃허브 액션(GitHub Action) 형태로 선보였습니다. 무닌은 노르웨이 신화 속 오딘의 기억의 까마귀 이름에서 따왔으며, 이름처럼 모든 취약점을 기억하고 통합된 형식으로 보고합니다. 이 도구는 코드, 종속성, CI/CD 파이프라인, 인프라스트럭처-애즈-코드(IaC) 등 다양한 영역의 보안 취약점을 한 번에 검사할 수 있도록 8가지 최고 수준의 오픈소스 스캐너를 통합했습니다.
무닌은 gitleaks(시크릿), zizmor(CI/CD 오설정), actionlint(깃허브 액션 구문), poutine(공급망 위험), semgrep(SAST), osv-scanner(종속성 CVE), trivy(컨테이너 이미지), checkov(IaC 오설정) 등 널리 사용되는 8가지 스캐너를 단일 워크플로우로 묶어 실행합니다. 특히 여러 스캐너에서 동일한 취약점이 중복으로 발견될 경우, 이를 하나의 결과로 통합하여 개발자가 불필요한 노이즈 없이 핵심 문제에 집중할 수 있도록 돕습니다. 결과는 깃허브 풀 리퀘스트(PR) 댓글, SARIF(Static Analysis Results Interchange Format) 업로드, 또는 구조화된 JSON 형태로 제공되며, 사용자는 `muninn.yml` 파일을 통해 스캔 설정, 심각도 임계값, 예외 처리 등을 유연하게 구성할 수 있습니다.
무닌의 등장은 개발자들이 보안 검사를 더욱 쉽고 효율적으로 워크플로우에 통합할 수 있게 한다는 점에서 의미가 큽니다. 기존에는 여러 스캐너를 개별적으로 설정하고 결과를 취합해야 하는 번거로움이 있었지만, 무닌은 이 과정을 자동화하고 결과를 통일된 형식으로 제공하여 개발팀의 생산성을 높일 수 있습니다. 이는 개발 초기 단계부터 보안을 고려하는 '시프트 레프트(Shift Left)' 전략을 효과적으로 구현하는 데 기여하며, 잠재적인 보안 위협을 조기에 발견하고 해결하는 데 도움을 줄 것입니다. 특히 오픈소스 프로젝트나 소규모 개발팀에게는 비용 효율적인 강력한 보안 솔루션이 될 수 있습니다.