Bitbucket은 Arnica의 애플리케이션 보안 도구를 통합합니다.

Bitbucket 사용자는 이제 정적 애플리케이션 보안 테스트 및 소프트웨어 구성 분석을 포함하여 Arnica의 하드코딩된 비밀 완화 및 코드 위험 보안 기능에 액세스할 수 있습니다.

행동 기반 애플리케이션 보안 플랫폼인 Arnica는 수백만 명의 개발자가 사용하는 Atlassian 소유의 소스 코드 관리 솔루션인 Bitbucket에 애플리케이션 보안 기능을 통합한다고 발표했습니다. 이 통합으로 Arnica는 개발자에게 비공개 보안 피드백을 실시간으로 제공하고 Bitbucket 사용자에게는 인라인 풀 요청 코멘트를 제공하는 최초의 파이프라인 없는 보안 솔루션이 되었습니다. 기능에는 하드코드된 비밀 완화 및 코드 위험 보안 검색이 포함됩니다.

애플리케이션 개발은 많은 현대 조직의 핵심 비즈니스 기능이지만 심각한 보안 위험을 초래할 수도 있습니다. Radware의 HI 2023 글로벌 위협 분석 보고서에 따르면, 공격자들이 애플리케이션 계층을 표적으로 삼는 데 초점을 맞추면서 2023년 상반기에 악성 웹 애플리케이션 거래가 작년 같은 기간에 비해 500% 급증했습니다. 기업은 데이터를 보호하고 취약점을 제한하는 올바른 보안 프로토콜을 사용하여 소프트웨어를 개발해야 한다는 압력을 점점 더 받고 있습니다. 예를 들어, 미국 국가 사이버 보안 전략에서는 안전하지 않은 제품에 대해 소프트웨어 제공업체에 책임을 묻습니다.

Arnica는 보도 자료에서 Bitbucket 사용자가 이제 SAST(정적 애플리케이션 보안 테스트), IaC(코드형 인프라) 보안 스캐닝, SCA(소프트웨어 구성 분석) 및 타사 패키지 평판 스캐닝을 사용할 수 있다고 밝혔습니다. 또한 Arnica는 워크플로우 내에서 Bitbucket을 사용하는 개발자에게 권한을 부여하기 위한 우선순위 지정 및 제품 소유권을 제공하여 사용자에게 개발 생태계에 대한 100% 적용 범위, CI/CD 파이프라인 이전의 실시간 위험 감지 및 자동화된 완화 기능을 제공한다고 덧붙였습니다. Arnica의 플랫폼은 Slack 및 Microsoft Teams와 같은 도구와의 ChatOps 통합을 통해 개발자에게 최근 코드 변경 사항에 대한 컨텍스트를 제공합니다.

Arnica의 CEO이자 창립자인 Nir Valtman은 CSO에 "BitBucket 사용자는 푸시 및 커밋 시 실시간 애플리케이션 보안 검색을 구현할 수 있습니다. 이는 개발자가 마찰 없이 빠른 속도로 개발할 수 있다는 것을 의미합니다."라고 말합니다. Arnica는 코드를 푸시할 때 위험을 검색하고 위험이 감지되면 개발자에게 직접적인 피드백을 제공한다고 덧붙였습니다. "애플리케이션 보안 팀은 심각도, 노력, 비즈니스 중요성에 따라 알림과 차단 시기를 결정하게 됩니다."

예를 들어 비밀의 경우 개발자가 커밋에 비밀을 푸시하면 Slack이나 Teams 메시지를 통해 비밀 노출 가능성을 알리고 개발자에게 한 번의 클릭으로 "수정해 주세요" 버튼을 제공합니다. 발트만. "클릭하면 Arnica는 커밋에서 비밀을 제거할 뿐만 아니라 Git 기록에서도 해당 비밀을 제거하는 작업을 자동화합니다. 그렇지 않으면 매우 노동 집약적인 작업입니다."