Sonatype Lifecycle을 통한 오픈 소스 모니터링
우리는 Sonatype Lifecycle을 활용하여 항상 최신 상태를 유지하고 있습니다. Sonatype Lifecycle은 우리가 놓치고 있는 것이 없다는 확신을 줍니다.
— JAMIL FARSHCHI, EQUIFAX CISO
2017년 3월, 미국의 거의 모든 사람에 대한 재무 건전성을 평가하는 신용정보업체 가운데 하나인 에퀴팩스(Equifax)가 수억 명의 개인 식별 데이터를 도난당했습니다. 이 사고 이후 브라이슨 코흘러(bryson koehler,CTO)와 자밀 파르시(Jamil Farshchi,CISO)는 에퀴팩스(Equifax)의 기술 및 보안 인프라를 재구축하는 임무를 맡았습니다. 이들이 제일 먼저 한 일은 전 세계 8,500명의 기술 전문가로 구성된 팀을 면밀히 살펴보는 것이었습니다. 기술 솔루션이 성공하기 위해서는 회사 문화가 먼저 변화해야 한다고 생각했기 때문입니다. 전문가 팀을 살펴본 결과 팀의 20%가 기술 배경을 가지고 있고, 80%는 규정 준수 및 관리에 집중하고 있다는 사실을 알았습니다. 에퀴팩스(Equifax)의 CTO와 CISO는 기술 전문가 79%로 구성된 팀을 새롭게 만들었고 보안팀이 CEO에게 직접 보고하도록 보고 라인을 변경했습니다.
금융 보안 자동화를 위한 총체적 접근 방식
Sonatype Lifecycle 및 Sonatype Nexus Repository를 사용하여 오픈 소스 파이프라인에서 CI/CD 지원
2018년, 보안 혁신을 위한 준비를 하고 있는 당시에는 오픈소스 라이브러리 및 프레임워크를 관리하는 관행은 아직 조직에 안착되지 않은 상태였고, 성숙도도 매우 낮았습니다. 에퀴팩스(Equifax)는 새로운 문화와 함께 완전하고 총체적인 접근 방식을 취해야 했습니다. Sonatype Lifecycle 및 Sonatype Nexus Repository를 포함한 Sonatype Platform은 그 솔루션 중 하나였습니다. 코흘러는 “지금 Sonatype 플랫폼을 사용하는 것은 선택 사항이 아니며 전체 CI/CD 사고 및 파이프라인의 일부입니다.’라고 말했습니다.
코흘러는 Sonatype Platform을 사용해 생산 환경을 관리하고 모니터링하는 데 도움이 되는 방법에 대해 이야기했습니다. “인프라 스트럭처를 코드로 전환하고 클라우드 개발의 올바른 규율을 준수하면 아티팩트 저장소가 프로덕션 저장소가 됩니다. 실제로 '배포 및 제거' 모델을 따르고 있다면 운영 환경에서 무엇이 실행되고 있는지 완전히 파악할 수 있어야 합니다.” 에퀴팩스(Equifax)는 Sonatype Lifecycle을 사용하여 프로덕션 환경에 배포되는 것에 대해 생성된 Software Bill of Materials(SBOM)의 작성을 포함하여 프로덕션 내에서 오픈 소스 구성요소를 실시간으로 모니터링합니다.
“클라우드 환경으로 전환함에 따라 운영 환경이 어떤 상태인지 알고 싶다면 인프라 스택, 라이브러리 스택, 애플리케이션 스택에서 저장소를 살펴보고 특정 시점에 운영 환경에 구축되는 것이 무엇인지 정확히 파악할 수 있어야 합니다.”
“Sonatype Platform을 사용하여 오픈소스 사용을 모니터링 하는 것은 우리에게 매우 중요합니다. 우리는 패치 적용을 취약성에 대응해 수행하는 것으로 보지 않고 능동적으로 해야 한다고 생각합니다.” 오픈 소스 커뮤니티에서 라이브러리 및 구성 요소가 업데이트되면 Sonatype Lifecycle은 프로덕션 내의 구성 요소를 모니터링하고 새 버전을 사용할 수 있을 때 Equifax 팀에 알립니다. 이러한 능동적 접근 방식을 통해 팀은 자동화된 검색 및 알림 프로세스를 통해 생산 품질을 높게 유지할 수 있습니다.
팀은 위험, 패치에 포함된 내용, 현재 환경에 미칠 수 있는 영향을 평가해야 합니다. 코흘러는 “알려진 문제가 있고 오픈 소스 커뮤니티의 누군가가 문제를 해결했다면 우리는 문제를 해결해야 합니다. 제대로 파악하지 않으면 정말 중요한 것을 놓치게 될 것입니다. 우리는 Sonatype Lifecycle을 활용하여 항상 최신 상태를 유지하고 있습니다. Sonatype Lifecycle은 우리가 놓치고 있는 것이 없다는 확신을 줍니다.”라고 말했습니다.
DevSecOps 문화 혁신을 통한 미래 준비
코흘러는 "우리는 데이터를 옮기는 것이 아니라 기존 데이터를 재분석하고 있습니다. 이를 통해 우리는 처음부터 모든 규칙, 보안 또는 규제를 적용할 수 있습니다. 프로덕션 파이프라인 내에서 Sonatype Platform을 통한 보안 자동화 없이는 이러한 전환이 불가능합니다."라고 설명합니다.
리포지토리에서부터 개발 파이프라인까지 오픈소스 관리를 자동화하는 Sonatype Platform,
더 궁금한 점이 있다면 바로 아래의 Sonatype 소개자료 다운로드 링크를 클릭하세요!
Sonatpe 소개자료 다운로드
원문 : https://www.sonatype.com/customer-success/equifax-success-in-security-transformation
