POST/Tech (70) 썸네일형 리스트형 Spring4shell (Springshell) 취약점 발견 Java에서 가장 많이 사용되는 프레임워크 중 하나인 Spring Framework, 수 년에 걸친 Spring의 보고서에 따르면 Java 프레임워크의 개발자 인기도는 상위 3위에 올랐으며 커뮤니티에서 Spring을 수용하는 정도는 Log4j 와 비슷합니다. 이는 잠재적으로 영향을 받을 수 있는 배포가 많이 이뤄졌다는 것으로도 해석할 수 있습니다. Spring4shell은 3월 30일 발표된 Spring Framework의 세 가지 취약점 중 하나입니다. 중국의 한 보안 전문가가 올린 Spring Core 프레임워크 취약점 POC 화면이 발단이 되어 여러 POC가 웹 상에 올라왔습니다. 해당 취약점은 "Spring4Shell" 또는 "SpringShell"로 불리며 2022년 03월 31일 Spr.. OSPO의 기능과 책임 및 5단계 성숙 모델 아래는 OpenChain KWG에서 이야기하고 있는 OSPO의 정의입니다. 기업 등의 조직이 오픈소스를 효과적으로 관리하고 사용하기 위해서는 OSPO(Open Source Program Office)를 설립하여 개발자 교육, 컴플라이언스 보장, 커뮤니티 참여 및 구축, 오픈소스 공개, 코드 점검하는 등의 활동이 필요하다고 합니다. OSPOO(pen Source Program Office)는 조직의 오픈소스 운영을 위해 조직의 중앙에 역량을 집중하도록 설계되었습니다. 여기에는 오픈소스의 사용, 배포, 선택, 검사 및 관련 정책 수립 뿐만 아니라 개발자 교육, 컴플라이언스 보장과 조직에 이익이 되는 커뮤니티 참여와 구축을 촉진하는 활동이 포함될 수 있습니다. 모든 산업에 걸쳐 적용할 수 있는 오픈소스 프.. 2022년 클라우드 네이티브 트렌드에 대처하는 방법 2022년, 예상되는 클라우드 네이티브 트렌드는 무엇일까요? Gartner, Inc.의 최신 예측에 따르면 퍼블릭 클라우드에 대한 기업의 의존도는 계속해서 커질 것이라고 합니다. 최근 컨테이너화, 가상화 및 엣지컴퓨팅과 같은 기술이 글로벌 표준 기술로 자리잡아가고 있는데요. 간단히 말해 팬데믹이 클라우드에 대한 CIO의 관심을 높이는데 큰 역할을 했다는 결론을 살펴볼 수 있었습니다. 단일 퍼블릭 클라우드 배포의 시대는 지났습니다. 실제로 Flexera 2021 클라우드 현황 보고서에 따르면 대부분의 기업이 멀티 클라우드 전략을 가지고 있고, 기업의 82%는 퍼블릭 클라우드와 프라이빗 클라우드를 모두 사용하는 하이브리드 접근 방식을 취하며, 기업의 93%는 이미 멀티 클라우드 아키텍처 및 배포로 전환하.. 해커의 침입에 효과적으로 대응하는 방법 네트워크에 침입자가 있을 때, 신속하고 효과적으로 대응해야 함은 당연합니다. IT 업체 크롤(Kroll), 레드 카나리(Red Canary), VM웨어가 400명 이상의 IS 전문가와 100명 이상의 법률 및 규정 준수 담당자를 대상으로 실시한 ‘사고 대응 현황 2021’ 조사 결과에 따르면, 응답자의 55% 이상이 사이버 사고 대응의 자동화 시간을 개선하기를 원한다고 답했습니다. 하지만. 조사 결과는 긍정적이지 않습니다. 조직의 절반 미만(48%)이 정기적인 보안 준비 훈련을 실시하지만 응답자의 90% 이상이 사이버 공격의 근본 원인을 식별하는 조직의 능력에 대해 완전히 확신하지 못하고, 조직의 거의 절반(46%)이 초기 침해 후 1시간 이내에 위협을 억제할 수 없다고 답했습니다. 즉, 위협 탐지 .. Gremlin Update 2022.01.24 Gremlin Update 원문보기 Status Check는 시나리오 이전, 진행 중, 이후에 시스템 상태를 확인합니다. 시스템이 비정상적이거나 응답하지 않는 경우 시나리오를 자동으로 중지할 수 있죠 End-Point는 Datadog , New Relic , PagerDuty 또는 선호하는 모니터링 도구 와 같은 타사 도구에서 가져올 수 있습니다. 인증여부에 관계없이 서비스 상태에 공개적으로 액세스 할 수 있는 End-Point일 수도 있습니다. 그렇다면 비공개로 호스팅되거나 시스템을 노출하지 못하도록 하는 엄격한 네트워크 보안 정책이 있는 경우는 어떻게 상태를 체크할 수 있을까요? 보안상의 이유로 End-Point를 외부에 노출하기 어려운 경우에는 Integrati.. Apache Log4j 심각한 보안 취약성 발견 최근 Apache Log4j 보안 업데이트와 관련해 해킹 공격에 악용되는 취약점을 보완해 업데이트한 2.15.0 버전에 치명적 취약점이 내포되어 있다는 보고가 있었습니다. 사용자들 사이에서 최악이라고 불릴 정도로 취약점의 심각도가 높아 꽤 화제가 되었죠! 이에, 2.15.0 버전으로 업데이트한 기업은 상황에 따라 2.16.0으로 재 업데이트 할 필요가 있음이 권고되었고 즉시 업데이트가 어려운 상황일 경우 대응 방법도 고지되었는데요, 긴급 보안 공지가 여러차례 고지되며 최근 몇 년간 인터넷 보안 이슈 중, 가장 높은 심각성의 사건이라고 알려져 약 일주일간 많은 혼란을 야기했던 Apache Log4j의 보안 이슈에 대해 자세하게 알아보겠습니다. 1. Apache Log4j log4j는 무료로 제공.. 위협 인텔리전스 피드와 DPI를 사용한 Kubernetes 워크로드에 대한 실시간 위협 대응 2021.12.20 위협 인텔리전스 피드와 DPI를 사용한 Kubernetes 워크로드에 대한 실시간 위협 대응 원문보기 Kubernetes의 클라우드 네이티브 애플리케이션에서는 실시간 침입 탐지 및 지속적으로 업그레이드 되는 위협을 사전에 차단하는 것이 어렵습니다. 포드의 일시적인 특성으로 인해 소스 또는 대상 앤드포인트를 결정하고 충격 (blast radius)을 제한하기 어렵습니다. 방화벽은 일반적으로 경계에서 공격을 차단하는 데 사용되었지만 그 경계가 침해되면 클러스터 내에서 보호할 수 없습니다. 이제는 컨테이너, Kubernetes 및 클라우드에 대한 침입 감지 및 방지에 대한 전문적인 접근 방식이 필요합니다. 위협 인텔리전스 피드 (Threat intelligence feed)는 알려진.. DevOps팀에서 최고의 성과를 만드는 방법 2021.12.20 DevOps팀에서 최고의 성과를 만드는 방법 원문보기 귀사에는 DevOps 팀이 있나요? 그렇다면, 그 팀은 높은 성과를 내는 상위 그룹인가요? 저성과그룹인가요? Google의 DevOps 연구 및 평가 팀인 DORA의 State of DevOps 2021 보고서에서가장 높은 성과를 내는 "상위 그룹"과가장 낮은 성과를 내는 "하위" 그룹을 비교하고 각각의 DevOps 수명 주기가 얼마나 되는지 확인할 수 있었습니다. 먼저, 상위 그룹과 하위 그룹의 차이를 살펴보겠습니다. 이는 곧, 하위 그룹이 상위 그룹이 되기 위한 목표라고도 말할 수있습니다. 첫 번째는 "더 자주 배포하는 것" 입니다. 설문조사에 따르면 상위 그룹은 하위 그룹보다 973배 더 자주 코드를 배포한다고 합니다... 이전 1 ··· 5 6 7 8 9 다음