'더 나은 오픈소스 보안을 위한 가이드' OWASP 상위 10대 OSS 위험 톺아보기
2024.04.12
ⓒCIO Korea /Chris Hughes|CSO
OWASP 상위 10대 오픈소스 소프트웨어(OSS) 위험 목록은 보안 실무자가 CVE 카탈로그 같은 후행 지표를 극복하고 OSS 구성 요소를 안전하게 사용할 수 있도록 지침을 제공한다.
최근 OSS의 보안 및 사용 방식을 비판적으로 검토해야 한다는 요구가 늘고 있다.XZ 유틸(XZ Utils)사건처럼 오픈소스 소프트웨어의 여러 취약점과 위험이 노출됐기 때문이다.
지난 3월 XZ 파일의 압축 및 압축 해제를 위해 널리 사용되던 OSS인 XZ 유틸에 백도어 악성코드가 발견됐다. 만약 제때 발견되지 않았다면 지금까지 가장 심각한 소프트웨어 공급망 침해 사고 중 하나가 됐을 수 있다. 비록로그4j(Log4j)만큼 광범위하게 악용되진 않았지만, 현대 디지털 생태계가 매우 취약하며 OSS를 소비하고 보호하는 방식을 개선해야 한다는 경각심을 일깨우는 계기가 됐다.
이런 사고에 대응해OWASP(Open Web Application Security Project)의OSS 10대 위험등 사이버 보안 실무자를 위한 추가 리소스 및 지침도 발전하고 있다. 이는 OSS를 안전하게 관리하고 사용하는 방식을 개선하는 데 도움을 준다.
OWASP 목록은 원래 소프트웨어 공급망 및 애플리케이션 보안 기업인 엔도르랩(Endor Labs)이 OSS, CI/CD 파이프라인 및 취약점 관리의 안전한 사용에 중점을 두고 제작했다. 팔로알토, 하시코프, 씨티은행 등 업계 유명 기업들이 프로젝트를 지원했다.
(후략)
| 번호 | 제목 | 조회수 | 작성 |
|---|---|---|---|
| 10921 | '더 나은 오픈소스 보안을 위한 가이드' OWASP 상위 10대 OSS 위험 톺아보기 | 1552 | 2024-04-15 |
| 10920 | 메타, AI의 ‘현실 이해' 돕는 오픈 소스 데이터셋 출시 | 1397 | 2024-04-15 |
| 10919 | 카카오, 글로벌 오픈 소스 커뮤니티 ‘AI 얼라이언스’ 가입 | 1493 | 2024-04-15 |
| 10918 | 오케스트로, 오픈인프라 재단 플래티넘 멤버로 승급 | 1482 | 2024-04-12 |
| 10917 | [주간 OSS 동향리포트] EU ‘사이버복원법’에 글로벌 '오픈소스 재단' 7곳 논의 | 2668 | 2024-04-12 |
| 10916 | 구글, 생성형AI 개발 도구 3종 메이저 사이트 순위...개발 생태계 지원 | 1575 | 2024-04-11 |
| 10915 | 獨 슐레스비히홀슈타인주 “OS 등 오픈소스로 바꾼다” | 1391 | 2024-04-09 |
| 10914 | 핀란드 사일로, 북유럽 언어 위한 오픈 소스 LLM '바이킹' 출시 | 1386 | 2024-04-09 |
| 10913 | 그레텔, 100개 전문 분야의 세계 최대 오픈 소스 '텍스트-SQL' 데이터셋 출시 | 1459 | 2024-04-09 |
| 10912 | IBK기업은행, 오픈소스 보안 취약점 점검 체계 도입…금융권 오픈소스 대책 | 1327 | 2024-04-09 |
0개 댓글