최근 'Plumber'라는 오픈소스 명령줄 인터페이스(CLI) 도구가 공개되어 CI/CD(지속적 통합/지속적 배포) 파이프라인의 보안 상태를 진단하고 등급을 매기는 새로운 방식을 제시했습니다. 이 도구는 개발자들이 자신의 CI/CD 워크플로우에 숨어있는 잠재적인 보안 위험을 A부터 E까지의 직관적인 점수로 파악할 수 있게 해줍니다.
Plumber는 깃랩 CI(.gitlab-ci.yml)와 깃허브 액션(.github/workflows/*.{yml,yaml}) 설정 파일을 분석하여 위험한 패턴과 보안 허점을 찾아냅니다. 사용자는 'plumber analyze' 명령어를 통해 로컬에서 쉽게 스캔을 시작할 수 있으며, 깃허브 액션이나 깃랩 CI 컴포넌트로 통합하여 지속적으로 보안 검사를 수행할 수도 있습니다. 스캔 결과는 터미널, JSON, SARIF 등 다양한 형식으로 보고되며, 특히 '점수 푸시(score push)' 기능을 활성화하면 프로젝트 README에 A-E 등급의 보안 점수 배지를 자동으로 업데이트하여 공개할 수 있습니다.
이러한 도구의 등장은 소프트웨어 개발 과정에서 보안을 초기 단계부터 고려하는 '시프트 레프트(Shift Left)' 트렌드와 맞닿아 있습니다. CI/CD 파이프라인은 소프트웨어 배포의 핵심 경로이므로, 이곳의 보안 취약점은 전체 시스템에 치명적인 영향을 미칠 수 있습니다. Plumber는 개발팀이 복잡한 보안 지식 없이도 파이프라인의 보안 수준을 직관적으로 이해하고 개선할 수 있는 실용적인 방법을 제공하여, 개발 속도와 보안 강화를 동시에 추구하는 데 기여할 것으로 기대됩니다.