지난 NES 2023 차세대 기업보안 세미나에서 많은 분들이 OSC의 [오픈소스 소프트웨어 개발 공급망 보안 및 거버넌스 필수 전략] 발표에 관심을 가져주셨습니다. 이후, 버추얼 컨퍼런스에서도 역시 다양한 질문을 남겨주셨는데, 오늘은 Sonatype Platform에 대한 궁금증을 풀어드리겠습니다!
그 전에, 아래 링크를 참고해주세요!
1️⃣ NES 2023 차세대 기업보안 세미나 다시보기
2️⃣ Sonatype Platform의 새로운 이름과 기능
3️⃣ 101,000개의 악성 패키지를 발견하고 차단한 Sonatype의 기술 배경
NES 2023 버추얼 컨퍼런스 진행 중, 남겨주신 질문 내용에 대한 답변입니다.
(중복된 질문은 제외되었으며 상세한 안내가 필요한 경우 별도의 안내 및 데모를 통해 답변 드렸습니다. )
Q . 발표 내용 중, dependency map은 어디서 확인할 수 있나요?
A . 다음 사이트에서 확인하실 수 있습니다. http://npm.anvaka.com/
Q . Sonatype Nexus를 사용해봤는데, 설정도 쉽고 성능이 뛰어났습니다. 해당 제품을 이용했을 때 외부 repository를 연결하여 소스를 가져올 때 SBOM 솔루션을 통해 그 정보까지도 얻어올 수 있나요?
A . 네, Sonatype Lifecycle (구. Nexus Lifecycle)을 사용하시면 SBOM을 확인하실 수 있습니다.
Q . 신규 오픈소스를 활용하여 개발 시, 보안 취약점에 대한 검증과 자동 검출 툴 지원이 가능한가요? 신규 오픈 소스 코드의 경우 보안 검증 단계는 어떻게 되나요?
A . Repository Firewall (구. Nexus Firewall)에서 최초 유입시 취약점이나 멀웨어 등을 검증하고 격리시킬 수 있으며, Sonatype Lifecycle은 빌드 단계 검증과 배포 이후 지속적인 모니터링을 통해 추가 검증을 수행합니다.
Q . Typosquatting과 Dependency Confusion은 모두 사용자의 실수를 공격하는 기법인데 Sonatype을 활용하면 이러한 실수로 인한 위험성을 줄일 수 있나요?
A . 네, 가능합니다.
Q . Sonatype는 규모가 큰 기업은 효과가 좋겠지만, 소규모 기업에서의 효율성은 어떨지 궁금합니다. 최소 사용자 수도 있을 듯 한데, 조정 가능한지 궁금합니다.
A . Sonatype의 오픈소스 거버넌스 자동화는 기업규모에 상관없이 오픈소스를 사용하는 환경에서는 모두 필요합니다. 최소 사용자 수는 25~35명입니다. (Nexus Repository Pro는 35명, Repository Firewall, Lifecycle은 25명)
Q . SBOM이 있다고 해도, 각 기업의 기준이나 필요에 따라 그 형태가 다르고 granularity 역시 다를 듯 한데, 이를 어떻게 intelligence의 형태로 일관성있게 수집할 수 있나요?
A . Sonatype은 Transitive Dependency까지 모두 관리합니다. 즉, Granularity 차원에서는 각 기업별로 다르지 않습니다. 다만 적용하는 보안 Policy는 유연하게 적용할 수 있고 각 기업별로 다를 수 있습니다.
Q . 잘 사용되지 않는 모듈이나 업데이트가 되고 있지 않은 코드까지 모두 앞단의 Firewall에서 탐지가 가능한가요?
A . Repository에 저장된 오픈소스 라이브러리는 주기적으로 보안검사를 수행합니다. 다만 격리하는 기능은 신규로 유입되는 오픈소스에 대해서만 가능합니다.
Q . 오픈 소스 코드를 사용한 뒤 새로운 위험이 발생했을 때 업그레이드 지원과 대체 코드 관련한 지원도 가능한가요?
A . Sonatype Lifecycle은 지속적으로 배포된 오픈소스까지 모니터링하며 업그레이드에 대한 개발자 가이드를 제공합니다.
Q . unknown의 경우도 known unknown, unknown unknown이 달라야 하지 않을까요?
A . 네 Known Unknown은 Sonatype에서 식별할 수 있고 정책에 따라 격리조치 할 수 있습니다. Unknown Unknown은 Sonatype의 보안팀의 분석이 끝날 때까지 (통상 1~2시간에서 3~4시간 소요) 일단 격리하고 판정에 따라 격리 또는 릴리즈 됩니다.
Q . 사용자가 package를 설치하려고 할 때 실수로 package 이름을 잘못 입력하면 Sonatype이 그 이후의 진행을 막을 수 있는지 그리고 막을 수 있다면 어떤 과정으로 막게 되는지 궁금합니다.
A . Typosquatting 공격을 말씀해주시는 것 같습니다. 신규 유입되는 Package는 Repository Firewall에서 전수 검사 하게 되고 멀웨어나 악성코드 등이 Typo 실수로 유입된다면 차단할 수 있습니다.
Q . Firewall에선 fingerprint 방식으로 탐지를 수행하나요?
A . 오픈소스 식별을 위해서 Advanced Binary Fingerprint라는 기법을 사용합니다. Manifest에 선언된 내용 외에 바이너리 자체에 대해 Fingerprint를 만들어 식별하게 됩니다.
Q . Nexus Firewall의 핵심이 IQ Server라고 알고 있는데, IQ Server의 업데이트는 실시간으로 가능한지, 주기가 있는지 궁금합니다.
A . 네 실시간입니다. (실제로는 IQ Server가 참조하는 Nexus Intelligence (Sonatype Data Service)가 실시간으로 업데이트 되고 있습니다.)
Q . 링크를 타고 들어가 문제되는 부분을 수정 후 다시 import할 수도 있나요?
A . 네, 가능합니다.
Q . 차단된 트래픽과 세부적인 정보 등을 보다 시각적으로 이해하기 쉽게 표현이 가능한가요? 아니면별도 외부 툴이 필요한가요?
A . 네 자체적으로 차단(격리)된 오픈소스와 그 세부 내역을 제공합니다.
Q . SBOM의 성능이 타 제품에 비해 우수하다고 하셨는데, SBOM의 평가에서 성능과 속도에 대한 것도 평가항목에 들어가 있는것인지 궁금합니다.
A . 성능/속도 보다는 SBOM의 정확도가 우수하다는 표현입니다. 정확도가 높아야 오픈소스 거버넌스를 자동화 할 수 있습니다.
Q . 발표 내용을 보니 Firewall은 통과하였으나 Lifecycle 에서는 block된 컴포턴트가 있을 수 있다는 것으로 이해됩니다. 그런데, 추후에 발견된 취약성이 아니라면 이건 Firewall에서 탐지하고 차단해야 하는 것 아닌가요?
A . 네 추후에 발견되는 취약성 탐지를 위해 Repository Firewall과 Lifecycle을 모두 사용합니다. 또한 멀웨어 등은 다운로드 자체만으로도 자동 실행되어 문제가 되기 때문에 Repository Firewall에서 원천 차단하는 것이 필요합니다. 아울러 Repository Firewall은 어플리케이션 단위가 아닌 컴포넌트 단위로 동작하기 때문에 어플리케이션별 SBOM이나 배포된 어플리케이션에 대한 지속적인 모니터링을 위해 Lifecycle이 사용됩니다.
추가로 Sonatype Platform에 대해서 궁금한 점이 있으신 경우 언제든지 OSC코리아로 문의주세요!
E : sales@osckorea.com
T : 02-539-3690
