[메이저 놀이터 공급망 보안③] 체계적인 ‘보안 개발’ 프로세스 필수
2023.07.14
©데이터넷/김선애 기자
소프트웨어 공급망 위협을 높이는 중요한 요인 중 하나가 오픈소스다. 현재 사용되는 소프트웨어의 90% 이상이 오픈소스 코드로 이뤄진다. 대부분의 소프트웨어 개발은 오픈소스 라이브러리에서 필요한 파일을 가져와서 조립하는 방식으로 진행된다. 오픈소스 코드를 그대로 가져오기도 하지만, 일부만 쪼개서 가져오기도 한다.
운영중인 소프트웨어에 어떤 취약점이 있는지 파악하는 것이 점점 더 어려워지고 있다. 레드햇 ‘2023 쿠버네티스 보안 현황’에서는 소프트웨어 공급망 보안이 우려되는 이유로 35%가 소프트웨어 취약점, 32%가 오픈소스 사용을 들었다. 팔로알토 네트웍스 조사에서는 운영환경 코드베이스의 63%에 위험도가 높거나 치명적(CVSS 7.0 이상)으로 분류된 패치되지 않은 취약점이 발견됐다.
오픈소스로 인한 문제 해결을 위해 2016년 퀄컴, 지멘스, 윈드리버, ARM, 어도비 등이 주축이 된 오픈체인(OpenChain) 프로젝트가 리눅스파운데이션에 설립됐다. 우리나라 금융결제원, LG전자, SK텔레콤, 삼성전자, ETRI 등 여러 기관·기업들도 참여하고 있다. 오픈체인은 소프트웨어 공급망 내 구성원이 오픈소스 컴플라이언스 준수에 참여하기 위해 결성됐으며, 오픈소스 관리 국제 표준인 ISO/IEC5230(라이선스 컴플라이언스), ISO/IEC DIS 18974(보안 어슈어런스)를 채택했다.
오픈체인에 참여하면서 자체 오픈소스 관리 프로세스를 체계화 한 사례로 LG전자가 유명하다. LG전자는 오픈소스 컴플라이언스도구 ‘포스라이트(FOSSLight)’를 개발해 사용하고 있으며, 외부 협력을 위해 사외에 공개했다.
(후략)
[원본기사 :https://www.datanet.co.kr/news/articleView.html?idxno=185288]
| 번호 | 제목 | 조회수 | 작성 |
|---|---|---|---|
| 10681 | 美 바이든 대통령, 오픈AI‧구글‧메타‧앤트로픽 등 AI 기업 7개社 백악관 불러 무슨 약속 받았나? | 2163 | 2023-07-24 |
| 10680 | 메타 대표 “생성 AI, 대기업의 통제 받아서는 안 돼” | 2427 | 2023-07-24 |
| 10679 | 클라이온, 오픈소스 쿠버네티스 실행기 '클라이플로우' 공개 | 2256 | 2023-07-21 |
| 10678 | 업스테이지, 오픈소스 LLM 세계 2위 차지 | 2355 | 2023-07-21 |
| 10677 | 메타, 언어모델 '라마 2' 오픈소스로 메이저 | 2496 | 2023-07-21 |
| 10676 | [주간 OSS 동향리포트] 2023년 공급망보안 워크숍, 공급망보안 관련 최신 기술과 과제, 정책 동향 논의 | 2649 | 2023-07-18 |
| 10675 | [메이저 놀이터 공급망 보안③] 체계적인 ‘보안 개발’ 프로세스 필수 | 2292 | 2023-07-17 |
| 10674 | 최근 가장 뜨거운 보안 이슈, ‘공급망보안’의 모든 것을 논하다 | 2060 | 2023-07-17 |
| 10673 | 알마리눅스, RHEL 호환 배포판 전략 포기....애플리케이션 호환성 구현 주력 | 2468 | 2023-07-17 |
| 10672 | OPA, ‘오픈클라우드플랫폼(K-PaaS) 서밋 2023’ 개최 | 2145 | 2023-07-17 |
0개 댓글