'더 나은 오픈소스 보안을 위한 가이드' OWASP 상위 10대 OSS 위험 톺아보기
2024.04.12
ⓒCIO Korea /Chris Hughes|CSO
OWASP 상위 10대 오픈소스 소프트웨어(OSS) 위험 목록은 보안 실무자가 CVE 카탈로그 같은 후행 지표를 극복하고 OSS 구성 요소를 안전하게 사용할 수 있도록 지침을 제공한다.
최근 OSS의 보안 및 사용 방식을 비판적으로 검토해야 한다는 요구가 늘고 있다.XZ 유틸(XZ Utils)사건처럼 오픈소스 소프트웨어의 여러 취약점과 위험이 노출됐기 때문이다.
지난 3월 XZ 파일의 압축 및 압축 해제를 위해 널리 사용되던 OSS인 XZ 유틸에 백도어 악성코드가 발견됐다. 만약 제때 발견되지 않았다면 지금까지 가장 심각한 소프트웨어 공급망 침해 사고 중 하나가 됐을 수 있다. 비록로그4j(Log4j)만큼 광범위하게 악용되진 않았지만, 현대 디지털 생태계가 매우 취약하며 OSS를 소비하고 보호하는 방식을 개선해야 한다는 경각심을 일깨우는 계기가 됐다.
이런 사고에 대응해OWASP(Open Web Application Security Project)의OSS 10대 위험등 사이버 보안 실무자를 위한 추가 리소스 및 지침도 발전하고 있다. 이는 OSS를 안전하게 관리하고 사용하는 방식을 개선하는 데 도움을 준다.
OWASP 목록은 원래 소프트웨어 공급망 및 애플리케이션 보안 기업인 엔도르랩(Endor Labs)이 OSS, CI/CD 파이프라인 및 취약점 관리의 안전한 사용에 중점을 두고 제작했다. 팔로알토, 하시코프, 씨티은행 등 업계 유명 기업들이 프로젝트를 지원했다.
(후략)
| 번호 | 제목 | 조회수 | 작성 |
|---|---|---|---|
| 10930 | 고려대 이희조-우승훈 교수팀, 오픈소스 의존성 분석 기술 CNEPS로 공급망 보안 강화 | 1649 | 2024-04-24 |
| 10929 | [주간 OSS 동향리포트] 메타, AI의 ‘주변 환경 이해'를 돕는 오픈소스 데이터셋 출시 | 2353 | 2024-04-22 |
| 10928 | 메타, 차세대 대규모 언어모델 ‘라마3’ 오픈소스 메이저 놀이터 순위트 | 1653 | 2024-04-22 |
| 10927 | [인터뷰] 라이선스·보안 위협↑…에스코어가 ‘오픈소스 컨설팅’ 강조하는 이유 | 1675 | 2024-04-22 |
| 10926 | “당하는 줄도 모르고 당한다”…SW 공급망 해킹 늘자 팔 걷은 정부 | 1339 | 2024-04-22 |
| 10925 | 수세코리아 “오픈소스 전문성 살려 기업별 맞춤 해결책 제시할 것” | 1391 | 2024-04-19 |
| 10924 | 리눅스재단, 기업용 AI 플랫폼 ‘OPEA’ 출격…오픈소스 진영 뭉친다 | 1474 | 2024-04-18 |
| 10923 | [주간 OSS 동향리포트] IBK기업은행, 오픈소스 보안 취약점 점검 체계 도입 | 2878 | 2024-04-17 |
| 10922 | "누구나 쉽게 쓰는 '생성형 AI'…정책에도 이용할 단계 왔다" | 1806 | 2024-04-16 |
| 10921 | '더 나은 오픈소스 보안을 위한 가이드' OWASP 상위 10대 OSS 위험 톺아보기 | 1650 | 2024-04-15 |
0개 댓글