오픈소스보안 (5) 썸네일형 리스트형 2024 오픈소스 말웨어 현황 보고서 2024년은 오픈소스 말웨어 또는 악성 오픈소스 패키지가 만연한 한해였습니다. 그리고 내년에도 빠른 속도로 퍼져나가면서 소프트웨어 공급망 공격에 엄청난 위험을 가할 것으로 예측되고 있습니다. 코딩 과정에서의 실수로 발생하는 취약점과는 다르게 오픈소스 말웨어는 소프트웨어 공급망을 공격하기 위해 의도적으로 개발된 산물입니다. 소나타입에 따르면 50%의 보호받지 않은 리포지토리가 이미 오픈소스 말웨어를 캐시로 가지고 있는 것으로 추정하고 있습니다. 2024년 소프트웨어 공급망 현황 보고서에 따르면 소나타입은 동년대비 156% 증가된 악성 패키지가 발견되었다고 발표하였습니다. 소나타입은 2019년 첫 보고서를 발간한 이후, 약 778,529개의 오픈소스 말웨어를 발견하였고, 작년 10월 연간 보고서를 발간한 이.. Sonatype, 2년 연속 포레스터 웨이브 SCA 리더로 선정 Sonatype은 포레스터 웨이브에서 2023년에 이어 2년 연속 소프트웨어 구성요소 분석(Software Composition Analysis, SCA) 소프트웨어의 리더, 2024Q4로 선정되었습니다. Sonatype은 현재 제공되는 기능과 전략 카테고리 부문에서 10개의 SCA 벤더 중에서 최고점을 받았습니다. 이번 리더 선정은 Sonatype의 소프트웨어 공급망 보안에 대한 돋보적인 엔드 투 엔드 접근 방식을 인정받은 것으로 큰 의미가 있습니다. Q4 2024 포레스터 웨이브는 Sonatype이 다음의 영역에서 최고점을 받았다고 발표했습니다.악성 패키지 감지소프트웨어 자재 명세서(Software bill of materials, SBOM)생성, 내보내기 및 공유수집 및 분석정책 관리AI 구성요소 .. “SW 공급망 보호, 리포지토리 방화벽부터 시작” OSC가 공급하는 소나타입, ‘리포지토리 방화벽’으로 악성 패키지 유입 차단SBOM 매니저·라이프사이클 관리 솔루션으로 안전한 SW 배포·운영 지원OSC, 국내 기업 클라우드 네이티브 전환 돕는 전문성 제공 [데이터넷] 악명높은 공격그룹이 최근 오픈소스 생태계를 이용해 전 세계를 대상으로 소프트웨어 공급망 공격을 벌이고 있다. 다이아몬드 슬릿, 문스톤 슬릿, 제이드 슬릿 등으로 분류되는 북한 공격자는 공개 NPM 레지스트리에 악성 NPM 패키지를 게시하고 개발자들이 이를 내려받도록 해 멀웨어를 배포한다. 최근에는 이라크 기반 공격자들이 PyPI에 악성 파이썬 패키지를 업로드한 것이 발견됐는데, 이 패키지에는 텔레그램 채팅 봇으로 사용자 데이터를 유출하는 기능이 포함돼 있었다.전 세계 오픈소스 공급망을 통.. 슬기로운 SBOM 사용법 SBOM (Software Bill of Materials), 소프트웨어 자재명세서에 대해 들어보셨나요? 최근 국가정보원과 과기정통부에서 소프트웨어 공급망 보안 가이드라인을 발표하면서 국내에서도 변화하는 환경에 맞춰 미리 준비를 해야할 필요가 커지고 있습니다. 그동안 몇차례 SBOM에 대해 포스팅을 했었지만, 오늘은 SBOM 생성 후 관리나 관리방안에 대해 이야기해 보려고 합니다.SBOM은 무엇이며 왜 중요한가?SBOM은 Software Bill of Materials의 약자로 소프트웨어 구성요소를 나타내는데, 흔히 제품의 성분표기와 유사하다고 이해하면 됩니다. 식품에서 성분 표시를 확인하여 알러지가 있는 사람은 해당 식품을 피하는 등 정보 기반의 의사결정이 가능해집니다. SBOM는 소프트웨어를 구성하.. 가장 앞선 공급망 보안 - Sonatype Firewall (NES2023 차세대 기업 보안 세미나) 지난 4월 19일! 양재동 엘타워 그레이스홀에서 NES2023 차세대 기업보안 세미나가 개최되었답니다. OSC코리아의 이제응 대표님은 '오픈소스 소프트웨어 개발 공급망 보안 및 거버넌스 필수전략'이라는 주제로 발표를 하셨습니다. NES2023 세미나에 참석하지 못하신 분들은 추후 버추얼 컨퍼런스에서 이제응 대표님의 발표를 다시 보실 수 있습니다. 관련 내용이 확정되면 OSC 뉴스레터를 구독하시는 분들에 한해 상세한 안내드리겠습니다. 우선 NES 2023의 OSC코리아 부스를 살짝 살펴보시죠! OSC코리아는 이번 NES 2023 차세대 기업보안 세미나에 Sonatype이라는 제품으로 참여했습니다. Sonatype의 다양한 Nexus 플랫폼 중에서도 Firewall을 중점적으로 소개드렸는데요, Firewal.. 이전 1 다음
