Sonatype에서 발행한 2021년 소프트웨어 공급망 현황 보고서를 요약해서 소개하려고 합니다.
지난 1년간 Java (Maven Central), JavaScript(npmjs), Python (PyPI), 및 .Net (nuget) 에코시스템에서10만여 개의 어플리케이션, 그리고 4백만개의 컴포넌트를 연구분석한 결과가 발표되었습니다. (Sonatype은 전세계적으로 10만여개의 오픈소스 저장소를 관리하고 있기 때문에 가능한 일입니다)
1년사이에 상위 4개의 오픈소스 에코시스템을 통해 공급되는 컴포넌트는 37,451,682개로 20% 증가했고 2.2조회 다운로드를 기록하여 수요는 73% 증가했다고 하네요
오픈소스 공급망 공력은 650% 증가했는데 수많은 오픈소스 프로젝트들이 있지만 이중 상위 6%만 활용되고 있다고 합니다.
그런데 29%의 인기있는 프로젝트에서 보안취약점이 나온 반면 그 외 비인기 프로젝트에서는 6.5%만 나왔다고 하니 인기 있는 프로젝트일수록 취약성이 노출될 가능성이 많다고 볼 수 있겠습니다.
많이 사용되는 오픈소스 프로젝트가 오히려 보안취약점을 많이 가지고 있으니 현명하게 최적의 오픈소스를 선택하는 프로세스를 자동화하는 방안이 표준화될 필요가 있을 것 같습니다.
평균 업데이트 시간(MTTU)이 빠른 프로젝트는 취약점을 가질 확률이 1.8배 적었고 많이 사용되는 오픈소스 프로젝트는 그렇지 않은 경우보다 2.8배 취약점이 많았기 때문에 인기도로 보안을 평가할 수는 없다고 하겠습니다.
오픈소스 의존성관리는 개발팀마다 많은 차이점이 있는데 소프트웨어 의존성을 업데이트할 때 최적의 선택을 하지 못하는 경우가 69%나 되었다고 합니다. 새로운 버전이 일반적으로 낫지만 항상 최상의 선택은 아니기 때문이죠
통상 25%의 컴포넌트만 관리하고 그 외에는 관리되지 않아서 보안 위험에 노출되어 있다고 합니다. 자동화를 통해 최적의 업그레이드를 진행한다면 한 해 $192,000를 절감할 수 있다고 합니다. 예를 들어 20개의 개발팀이 있는 중견기업이 일년에 160 Man Days를 절감할 수 있다는 것이죠
대부분 결함이 있는 컴포넌트를 잘 관리한다고 생각하지만 실제로는 최적의 의사결정을 도와주는 가이드가 없다 보니 최적의 선택을 하지 못하는 경우가 많다고 합니다.
2021년 소프트웨어 공급망 현황 보고서 전문은 original link에서 확인하실 수 있습니다.