글로벌 보안 기업 아쿠아 시큐리티(지사장 이은옥 www.aquasec.com)은 6일 본사 발표를 인용, 자사 오픈 소스 취약점 및 구성 오류 스캐너 ‘트리비(Trivy)’가 온라인 오픈 소스 코드 저장소 ‘깃허브(Github)’에서 취약점 스캐너 부분 누적 8,000개 스타(★)를 최초로 달성했다고 전했다. 

깃허브 스타(★)는 깃허브에서 서비스 호감도를 나타내는 지표다.

‘트리비’(엠블렘, 사진)는 컨테이너 이미지, 파일 시스템 및 깃 저장소(Git Repository)를 위한 포괄적이고 사용하기 쉬운 오픈 소스 취약점 스캐너다.

아쿠아시큐리티 ‘트리비’는 트라시(Tracee), 스타보드(Starboard) 및 쿠브-밴치(Kube-bench)가 포함된 아쿠아 시큐리티의 ‘오픈 소스 클라우드 보안 도구 제품군’의 일부다.

약 2년전 출시된 이후, 트리비는 AWS 마켓플레이스(AWS Marketplace), 알파인(Alpine), 깃랩(GitLab), 하버(Harbour)를 비롯한 오픈 소스 커뮤니티와 클라우드 네이티브 플랫폼 및 SW 제공기업으로부터 꾸준히 인기를 얻고 있다.

트리비는 다른 오픈 소스 스캐너와 달리 다양한 OS 패키지(Alpine, RHEL, CentOS 등)의 취약점 탐지와 언어별 종속성을 모두 지원해 조직의 소프트웨어 개발 파이프라인에 쉽게 통합할 수 있다.

아쿠아 시큐리티는 지난 2021년 7월에 IaC(Infrastructure as Code, 코드로서의 인프라스트럭쳐, 코드형 코드를 통해 인프라를 자동으로 관리하고 프로비저닝함)용 오픈 소스 보안 스캐너 제공 기업인 ‘티에프섹(tfsec)’을 인수한다고 발표한 바 있다.

이번 인수로 ‘티에프섹’이 트리비와 즉시 통합돼, 관리자가 추가적인 업무 부담없이 IaC 보안 스캐닝 기능과 통합 워크플로우을 강화할 수 있게 됐다. 

테페이 푸쿠더(Teppei Fukuda) 아쿠아 시큐리티 오픈 소스 엔지니어는 “트리비는 3년 전에 처음 개발을 시작한 이후 크게 개선됐지만, 개발 동기인 ‘취약점을 쉽게 스캔할 수 있는 도구를 만들자’는 의지는 현재까지도 동일하다”라며 “트리비는 다양한 기능과 단순한 사용자 경험을 제공하고 있어, 시장을 이끌고, 사용량 증가로 이어지고 있다. 트리비는 향후 시장의 변화 트렌드를 주시하고 있으며, 이에 최근 출시된 운영체제인 알마리눅스(AlmaLinux), 록키 리눅스(Rocky Linux)를 비롯한 새로운 OS에 대한 지원과 세부적인 소프트웨어 부품표(Software Bill of Materials) 지원을 비롯한 더욱 강력한 기능을 제공할 수 있도록, 지속적으로 개선하여 사용자 요구사항을 충족시켜 나갈 계획”이라고 밝혔다. 

<김동기 기자>kdk@bikorea.net