KICS(Infrastructure as Code Secure)는 코드형 인프라(IaC)의 정적 코드 분석을 위한 오픈 소스 솔루션입니다.
KICS는 모든 유형의 공통 IaC 파일을 자동으로 파싱하여 어플리케이션, 데이터 또는 서비스를 공격에 노출시킬 가능성이 있는 안전하지 않은 컨피규레이션을 탐지합니다.
달리 말해 팀 구성원 중 누구라도 IaC 파일을 작성하고, 파일을 배포하기 이전에 안전한지 검사만 간단히 해 주면 됩니다.
IT 거버넌스 정책 내에서 단순히 보안 지침을 설정하고, 엔지니어와 개발자가 IaC 파일을 생성할 때 지침을 준수하기를 바라는 것이 아니라, KICS를 사용하여 IaC 보안을 자동으로 수행할 수 있습니다.
또한 KICS는 오픈 소스이기 때문에 Terraform, CloudFormation, Ansible, Helm 등의 모든 주요 IaC 플랫폼을 지원하고, 다양한 소프트웨어 개발 도구와 통합이 가능합니다. 이러한 속성 덕분에 기존의 워크플로우에 IaC 보안 스캐닝을 아무런 문제없이 추가할 수 있습니다.
이제 개발자가 IaC 보안을 보장하기 위해 개발 속도를 늦출 필요가 없습니다.
KICS는 단순히 개별 IaC 파일을 보호하기 위한 도구가 아닙니다.
더 나아가 전체 API 설계에 잘못된 컨피규레이션이 있는지 평가하고, 사용자가 경로 정의, 인증 스키마 및 전송 암호화의 위험을 식별할 수 있도록 도와줍니다.
따라서 사용자 환경에 맞는 API 보안 표준을 설정하고, 표준을 IaC 스캐닝을 통해 시행할 수 있습니다.
또한 KICS는 어플리케이션 빌드 시점에 자동으로 스캔을 실행하기 때문에 소프트웨어 납품 파이프라인의 지연 없이 API를 체계적으로 검토할 수 있습니다.
API의 장점은 최대한 활용하면서, 어플리케이션을 API 보안 결함에 노출시키지 않으면서 변화하는 니즈에 따라 API가 진화하도록 구성하는 것이 가능합니다.
KICS는 자주 사용되는 IaC 솔루션 및 OpenAPI 3.0 사양의 보안 취약점, 컴플라이언스 이슈, 인프라스트럭쳐 컨피규레이션 오류를 찾아냅니다.
KICS는 오픈 소스이며 앞으로도 그러할 것입니다. 스캐닝 엔진과 보안 쿼리가 모두 명확하고, 소프트웨어 개발 커뮤니티에 공개되어 있습니다.
"KICS는 1500개 이상의 사용자 정의 및 조정 가능한 휴리스틱 규칙 또는 쿼리를 가지고 있으며, 쉽게 편집, 확장, 추가가 가능합니다. 또한 견고하지만 단순한 아키텍처를 통해 새로운 IaC 솔루션 지원이 가능합니다."
KICS는 커뮤니티 프로젝트입니다.
처음부터 오픈 소스 프로젝트로 설계되고 구축되었으며 누구나 자신의 방식대로 기여할 수 있습니다.
수천 명의 보안 전문가 및 소프트웨어 개발자 커뮤니티와 여러분의 전문 지식을 공유함으로써 몇 분 안에 큰 차이를 만들어 낼 수 있습니다.
Solutions
Industry
Solutions For
Services
Partners
Company
Resources
Community
©2023 Checkmarx Ltd. All Rights Reserved. iISO/IEC 27001:2013 Certified
