소프트웨어공급망보안 (4) 썸네일형 리스트형 2024 오픈소스 말웨어 현황 보고서 2024년은 오픈소스 말웨어 또는 악성 오픈소스 패키지가 만연한 한해였습니다. 그리고 내년에도 빠른 속도로 퍼져나가면서 소프트웨어 공급망 공격에 엄청난 위험을 가할 것으로 예측되고 있습니다. 코딩 과정에서의 실수로 발생하는 취약점과는 다르게 오픈소스 말웨어는 소프트웨어 공급망을 공격하기 위해 의도적으로 개발된 산물입니다. 소나타입에 따르면 50%의 보호받지 않은 리포지토리가 이미 오픈소스 말웨어를 캐시로 가지고 있는 것으로 추정하고 있습니다. 2024년 소프트웨어 공급망 현황 보고서에 따르면 소나타입은 동년대비 156% 증가된 악성 패키지가 발견되었다고 발표하였습니다. 소나타입은 2019년 첫 보고서를 발간한 이후, 약 778,529개의 오픈소스 말웨어를 발견하였고, 작년 10월 연간 보고서를 발간한 이.. SBOM을 위한 혁신 인사이트 SBOM을 통한 소프트웨어 공급망 보안 및 컴플라이언스를 개선하는 방법 소프트웨어 공급망 보안이 점점 더 중요해지는 현대 IT 환경에서, 소프트웨어 구성 요소 목록(Software Bill of Materials, SBOM)은 기업의 보안과 컴플라이언스를 강화하는 핵심 도구로 부상하고 있습니다. 이 글에서는 SBOM의 정의와 글로벌 트렌드, 그리고 국내 기업이 준비해야 할 사항들을 살펴보겠습니다. SBOM은 소프트웨어 공금방에서 상용 및 오픈소스 코드에 대한 가시성, 투명성, 보안 및 무결성을 개선할 수 있지만, SBOM의 제대로된 활용을 위해서는 소프트웨어 배포 라이프사이클 전체에 통합되어 있어야 합니다. 가트너가 최근 발표한 보고서 ‘SBOM을 위한 혁신 인사이트’에서 2025년 중요한 인프라를 위한.. 오픈소스의 편리함을 즐기고, 위험성을 막기 위해 필요한 것 2021년 12월 9일, 아파치 ‘Log4j 2’라는 오픈소스 유틸리티에서 역사상 최악의 심각한 보안 취약점이 발견되었다. Log4j는 자바 애플리케이션에서 로깅(이벤트 기록)을 구현할 때 사용되는 라이브러리다. 전 세계 자바 애플리케이션에서 광범위하게 이용되고 있었고, 국내도 예외는 아니었다. Log4j 2에 취약점이 있다는 소식이 전해지자 기업들은 당연히 취약점이 없는 버전으로 업데이트하려고 나섰다. 하지만 문제가 있었다. 어느 부분에 Log4j가 사용되었는지 알기가 어려웠다. “소프트웨어도 자재명세서가 필요해”현대의 소프트웨어 개발은 개발자가 한땀한땀 코딩을 하는 것이 아니다. 시중에 존재하는 오픈소스나 컴포넌트를 조합하면서 자신만의 코드를 더하는 방식으로 이뤄진다. 자동차 제조사가 바퀴나 시트까지.. Sonatype, 2년 연속 포레스터 웨이브 SCA 리더로 선정 Sonatype은 포레스터 웨이브에서 2023년에 이어 2년 연속 소프트웨어 구성요소 분석(Software Composition Analysis, SCA) 소프트웨어의 리더, 2024Q4로 선정되었습니다. Sonatype은 현재 제공되는 기능과 전략 카테고리 부문에서 10개의 SCA 벤더 중에서 최고점을 받았습니다. 이번 리더 선정은 Sonatype의 소프트웨어 공급망 보안에 대한 돋보적인 엔드 투 엔드 접근 방식을 인정받은 것으로 큰 의미가 있습니다. Q4 2024 포레스터 웨이브는 Sonatype이 다음의 영역에서 최고점을 받았다고 발표했습니다.악성 패키지 감지소프트웨어 자재 명세서(Software bill of materials, SBOM)생성, 내보내기 및 공유수집 및 분석정책 관리AI 구성요소 .. 이전 1 다음
