The Forrester Wave™는 세계적인 연구 기관으로, 지난 6월 12일에 소프트웨어 구성 분석(SCA) 제공업체에 대한 32개 기준 평가에서 가장 중요한 것을 식별하고 조사, 분석 및 점수를 매긴 결과 리포트를 발표했습니다. 조사 결과 SCA 리더는 Sonatype, Synopsys, Snyk으로 나타났습니다.
SCA (소프트웨어 구성 분석)란?
SCA (소프트웨어 구성 분석)는 특정 소프트웨어 및 소프트웨어 공급망 전체에 포함되어 있는 오픈소스 구성 요소, 종속성 및 라이선스 요구 사항에 대해 정확하고 심층적으로 검토하는 도구로, 알려진 취약성을 포함해 일반적으로 바이너리 형식의 오픈소스 소프트웨어 종속성의 사용을 감지합니다.
이 SCA 도구는 코드베이스를 스캔해 사용된 모든 종속성 목록을 생성합니다. 이를 National Vulnerability Database와 같이 알려진 취약점 리스트와 비교하고 발견된 패키지에 대한 문제를 제기하면서 업그레이드 등 권장 사항을 제공합니다.
(1) 오픈 소스 구성 요소가 가진 위험
요즘은 오픈소스 구성 요소에 의존해 빠르게 소프트웨어를 만듭니다. Sonatype State of the Software Supply Chain 보고서에 따르면 애플리케이션 코드의 90%가 오픈소스 소프트웨어이며, 개발팀은 평균 135개의 소프트웨어 구성 요소를 사용한다고 합니다. 이러한 구성 요소를 종속성이라고 하며 각 종속성은 보안 취약성, 라이센스 문제 또는 품질 문제의 형태로 잠재적인 위험을 초래합니다. 오픈소스 소프트웨어로 인한 위험은 SCA (Software Composition Analysis)를 통해 관리하고 예방할 수 있습니다.
(2) SCA (소프트웨어 구성 분석) 도구의 이점
자동화된 SCA 도구를 사용하면 팀은 고품질 코드를 더 빨리 제공하고 위험 관리에 사전 예방적으로 접근할 수 있습니다. SDLC 전반에 걸쳐 위험을 식별함으로써 Shift Left하는 데에 도움이 될 수 있습니다.
개발자는 소프트웨어 구성 분석 도구의 정보를 사용해 개발 프로세스 초기에 더 안전한 구성 요소를 선택하면서 코드를 만들 수 있습니다. 덕분에 보안 검토 중, 재작업을 방지하여 개발 시간을 단축할 수 있다는 이점도 있습니다.
WAVE REPORT
The Forrester Wave™: Software Composition Analysis, Q2 2023
이렇듯, 오픈소스 소프트웨어 구성요소가 가진 위험이 명확하게 두드러지는 가운데 SCA 도구를 사용하고자 한다면 다음과 같은 SCA 벤더를 찾아야 합니다.
(1) 취약성 수정 및 최신 상태의 라이브러리 유지 지원
: 차별화된 기능을 갖고 있는 SCA 도구는 취약성의 심각도와 악용 가능성, 성숙도, 도달 가능성과 같이 여러 차원을 고려해 개발자가 결과의 우선순위를 지정할 수 있도록 합니다. 수정 지침의 경우 라이브러리 비교, 자동 취약성 수정과 같은 여러 대안의 형태로 제공됩니다.
(2) 라이선스 위험 관리
: 오픈소스 소프트웨어를 사용할 때 조직은 코드의 사용, 수정 및 배포에 대한 라이선스 의무 및 제한 사항을 면밀히 검토해보아야 합니다. SCA 도구는 선언, 관찰, 내장 및 유효 라이선스를 식별하는 기능에 따라 차별화됩니다.
(3) 소프트웨어 공급망 강화
: SCA 도구는 악성 패키지 탐지를 차별화하고 리포지토리와 통합하여 종속성 혼란, 타이포스쿼팅 및 기타 소프트웨어 공급망 공격을 방지합니다. 수준 높은 SCA 도구는 라이브러리 제안 및 사전 취약성 수정 중 활동, 출처 등을 고려합니다. 기본적으로 SCA 도구는 SBOM을 생성하지만 완전한 투명성을 확인하기 위해 타사 SBOM을 수집하고 분석할 수 있는 도구는 소수에 불과합니다. 파이프라인의 보안은 잘못된 구성과 취약한 종속성에 노출되어 조직을 공격 위험에 노출시킵니다. 수준 높은 SCA 공급 업체는 이러한 도구를 분석하고 보호하는 기능을 추가하고 있습니다.
평가 요약
Forrester Wave™는 리더, 성과자, 경쟁자 및 도전자로 업체를 평가했습니다. 전체 벤더 환경을 나타내지는 않습니다.
Current offering (그래픽의 세로 축), Strategy (그래픽의 가로 축), Market presence (마커 표시)까지 3가지 영역에서 가장 높은 점수를 받은 Sonatype가 SCA 부문 리더로 선정되었습니다.
SCA 부문 리더, Sonatype
Sonatype 제품은 라이프 사이클 전반에 걸쳐 오픈소스 라이브러리를 관리하고 보호합니다. Sonatype Nexus Repository는 바이너리를 관리하고, Sonatype Lifecycle은 순수 SCA 제품군이며, Sonatype Repository Firewall은 악의적인 패키지를 차단합니다. Sonatype의 차별화된 혁신 전략에는 보안, 개발자, 운영 및 법률 관계자가 포함되며 차세대 공급망 공격을 방지한다는 점. 향상된 우선순위 지정 및 문제 해결 기능을 통해 개발자 환경을 개선한다는 점. 또, ML/AI를 적용하여 탐지 속도를 높이고 문제 해결 시간을 단축하며 새로운 유형의 공격을 예측한다는 점이 평가에서 높은 점수를 받을 수 있었습니다.
Sonatype은 Chrome 브라우저 플러그인, IDE(통합 개발 환경), 풀 리퀘스트, 빌드, CI/CD(지속적인 통합 및 전달) 파이프라인을 포함하여 여러 수명 주기 지점에서 보안, 라이선스 및 운영 위험을 표시합니다. 고객과 Sonatype의 끈끈한 관계는 Sonatype이 시장에서 우위를 선점하는 데에 한몫합니다.한 고객은 “Sonatype은 내가 함께한 최고의 벤더 중 하나입니다.”라고 말했습니다. Sonatype은 다양한 소프트웨어 공급망을 보유하고 있고 보안, 라이선스 및 운영 리스트가 발생하지 않는다는 보장을 원하며 리소스를 보유하고 있는 조직에 가장 적합합니다.
Sonatype에 대한 소개는 여기에서 살펴볼 수 있으며, 웨비나 영상을 통해 제품 소개 및 Demo를 확인하실 수 있습니다.
참고
The Forrester Wave™: Software Composition Analysis, Q2 2023
Sonatype - What is Software Composition Analysis?
Sonatype - SCA and SAST: What Do They Do and How Can They Help Developers Like You?
