Investing in the people shaping open source and securing the future together

Context

오픈소스 메인테이너들은 야간 작업, 보안 보고서 대응, PR 검토 및 머지 업무로 인한 과도한 업무 부하로 소진되고 있다. AI의 발전으로 취약점 발견과 악용 속도가 모두 증가하면서 메인테이너들은 신호-대-잡음 비율이 낮은 자동화된 PR과 보안 보고서 폭증에 직면하고 있다. 개별 조직의 노력만으로는 글로벌 소프트웨어 공급 체인의 보안을 확보할 수 없는 상황이다.

Technical Solution

• GitHub Secure Open Source Fund 프로그램: 38개 국가의 200명 이상 메인테이너를 지원하는 펀딩 및 보안 교육 제공
• 무료 플랫폼 서비스 제공: 280,000명의 메인테이너에게 GitHub Actions, code scanning, Autofix, secret scanning, push protection, dependency alerts 등 보안 기능 무료 제공
• GitHub Copilot Pro 제공: AI 기반 코드 리뷰, 에이전틱 보안 개선 워크플로우, 다중 모델 접근 지원으로 메인테이너의 위험 식별 및 개선 속도 가속화
• Alpha-Omega 협력: Anthropic, AWS, Google, OpenAI와 함께 오픈소스 보안 능력을 프로젝트 워크플로우에 통합할 수 있도록 지원
• GitHub Security Lab: 커뮤니티 교육 및 대규모 위협 방어, 전체 생태계의 빠른 대응을 지원하는 보안 권고사항 발행

Impact

• GitHub Secure Open Source Fund 지원 프로젝트에서 191개의 새로운 CVE 발행됨
• 250개 이상의 새로운 시크릿 누출 방지
• 600개 이상의 누출된 시크릿 감지 및 해결
• Alumni 프로젝트의 월간 다운로드 수십억 건에 영향

Key Takeaway

메인테이너에게 자금과 구체적인 보안 성과 목표를 함께 제공하고, 실습 기반 교육으로 권한을 부여하며, 기존 워크플로우에 자연스럽게 맞는 도구를 제공할 때 가장 효과적인 보안 개선이 달성된다. AI는 메인테이너의 추가 부담이 아닌 작업 트리아주, PR 검토, 취약점 개선을 가속화하는 역할로만 활용되어야 한다.