취약점 (8) 썸네일형 리스트형 오픈소스의 편리함을 즐기고, 위험성을 막기 위해 필요한 것 2021년 12월 9일, 아파치 ‘Log4j 2’라는 오픈소스 유틸리티에서 역사상 최악의 심각한 보안 취약점이 발견되었다. Log4j는 자바 애플리케이션에서 로깅(이벤트 기록)을 구현할 때 사용되는 라이브러리다. 전 세계 자바 애플리케이션에서 광범위하게 이용되고 있었고, 국내도 예외는 아니었다. Log4j 2에 취약점이 있다는 소식이 전해지자 기업들은 당연히 취약점이 없는 버전으로 업데이트하려고 나섰다. 하지만 문제가 있었다. 어느 부분에 Log4j가 사용되었는지 알기가 어려웠다. “소프트웨어도 자재명세서가 필요해”현대의 소프트웨어 개발은 개발자가 한땀한땀 코딩을 하는 것이 아니다. 시중에 존재하는 오픈소스나 컴포넌트를 조합하면서 자신만의 코드를 더하는 방식으로 이뤄진다. 자동차 제조사가 바퀴나 시트까지.. [인터뷰] 소나타입 “EU CRA, SW 공급망 보안 새 기준...한국기업도 대비해야” [디지털데일리 이안나기자] “이제 소프트웨어(SW) 공급망 보안은 선택이 아닌 필수입니다. EU 사이버복원력법(CRA)이 가져올 변화는 일반데이터보호법(GDPR)에 버금갈 것입니다.” 소나타입 이카 투루넨(Ilkka Turunen) 필드 CTO는 최근 와 서면 인터뷰에서 이같이 밝혔다. 소프트웨어 및 시스템 엔지니어링 분야 전문가인 투루넨 CTO는 다수 상업용 프로젝트에서 아키텍트로 활동하며, 전 세계 기업 소프트웨어 공급망 개선을 지원해왔다. 최근 SW 공급망 보안이 국가 안보 핵심 이슈로 떠오르고 있다. 오픈소스 활용이 일반화되면서 취약점 사고가 잇따르자 각국이 규제를 도입하기 시작한 것. 유럽연합(EU)은 사이버복원력법(CRA)을 통해 모든 소프트웨어에 CE 인증을 의무화할 예정이고, 미국은 행정명.. Sonatype, 2년 연속 포레스터 웨이브 SCA 리더로 선정 Sonatype은 포레스터 웨이브에서 2023년에 이어 2년 연속 소프트웨어 구성요소 분석(Software Composition Analysis, SCA) 소프트웨어의 리더, 2024Q4로 선정되었습니다. Sonatype은 현재 제공되는 기능과 전략 카테고리 부문에서 10개의 SCA 벤더 중에서 최고점을 받았습니다. 이번 리더 선정은 Sonatype의 소프트웨어 공급망 보안에 대한 돋보적인 엔드 투 엔드 접근 방식을 인정받은 것으로 큰 의미가 있습니다. Q4 2024 포레스터 웨이브는 Sonatype이 다음의 영역에서 최고점을 받았다고 발표했습니다.악성 패키지 감지소프트웨어 자재 명세서(Software bill of materials, SBOM)생성, 내보내기 및 공유수집 및 분석정책 관리AI 구성요소 .. 오픈소스의 규모: 성장, 도전과제 그리고 인사이트 2024년 오픈소스 소프트웨어의 도입과 성장세는 기록적으로 성장하여 연말까지 약 6.6조건 이상의 다운로드가 예상되고 있습니다. 소프트웨어 개발의 모든 영역에 오픈소스의 광범위한 영향력이 미치고 있습니다. 그러나 이런 빠른 성장세는 예상치 못한 도전과제들을 야기합니다. 최근 발행한 Sonatype의 2024 소프트웨어 공급망 상태 보고서에서 오픈소스의 규모와 주변 생태계의 주목할만한 성장을 깊게 살펴보았으며 악의적은 공격자들의 증가하는 위협도 소개를 하였습니다. 보고서의 주요 인사이트를 살펴봄으로써 오픈소스 도입의 규모와 보안에 대한 도전과제에 대해 살펴보겠습니다. 생태계 전반의 폭발적인 성장보고서의 내용 중 주목할 만한 내용은 다양한 생태계에서의 오픈소스 다운로드의 괄목할만한 성장세입니다.npm은 자바.. 10년의 소프트웨어 공급망 역사: 오픈소스의 성장, 리스크 그리고 미래 지난 10년간 Sonatype에서는 소프트웨어 공급망 현황 보고서를 매년 발간해왔습니다. 이 보고서를 통해 소프트웨어 개발에 있어서 오픈소스 소비의 변화를 관찰해 왔습니다. 10년의 진화시간을 거슬러 10년 전 오픈소스 소비형태를 처음 추적하기 시작했을 당시의 환경은 지금과 매우 달랐습니다. 소프트웨어 개발에서 클라우드 네이티브 아키텍처는 막 시작되는 단계였고, 보안은 로컬에 더 집중되는 형태를 보였습니다. 오늘날 오픈소스 소비를 살펴보겠습니다. 오픈소스는 현대화된 애플리케이션의 코드의 약 90% 차지하고 있고 글로벌 오픈소스 소비는 급증해서 약 6.7조 다운로드로 추정되고 있습니다. AI, 클라우드 컴퓨팅, 데브옵스의 증가로 npm, PyPI의 사용이 폭발적으로 늘어났습니다. 이런 놀라운 성장의 어두운.. 소나타입, 공개되지 않았던 450만건 오픈소스 취약점 발표 디지털데일리 발행일 2024-06-25 14:01:39[디지털데일리 김보민기자] 소나타입이 자체 취약점 탐지 기술로 기존에 발견하기 어려운 위험 요소를 식별했다.오픈소스 거버넌스 자동화 솔루션 기업 소나타입은 자사 플랫폼에 신규 '음영화된 취약점 탐지' 기능을 도입해 450만건 오픈소스 취약점을 탐지했다고 25일 밝혔다. 이번 탐지 기능은 소나타입이 개발한 새로운 알고리즘을 기반으로, 기존에 식별하기 어려웠던 '음영화된' 오픈소스 파일 내 취약점을 확인하도록 돕는다. 음영화는 원본 코드를 다시 패키징 하는 기법으로, 프로젝트 내에서 취약점이 포함된 코드가 재배치될 경우 기존 탐지 방식으로 식별을 어렵게 만드는 기법이다. 소나타입은 이번 신기능으로 소프트웨어 공급망 내 잠재된 위험 요소를 새로 발견할 수 .. 파이선 리포지토리 PyPI 악성패키지 유포 최근 Sonatype의 보안시스템에서 Python Public Repository인 PyPI에서 “pytoileur”이라는 악성패키지를 탐지하였습니다. 해당 패키지는 악성코드를 은닉하여 윈도우 사용자의 정보를 탈취하는 기능을 가지고 있습니다. Sonatype 보안팀에 의하여 sonatype-2024-1783으로 트래킹되고 있는 이 패키지는 약 260여 회 이상 다운로드 된 것으로 조사되었고, PyPI 관리자에게 패키지 삭제를 요청하였습니다. 패키지 버전 1.0.1과 1.0.2에 대한 분석이 이뤄졌고, 두 버전의 기능은 동일합니다. pytoileur는 동일 패키지를 Stack Overflow 를 비롯한 온라인 커뮤니티로도 유포하고 있기 때문에 각별한 주의가 필요합니다. 참고로 악성코드를 은닉한 방식은 “.. SBOM 톺아보기 - SBOM의 구성요소, 표준 및 포맷 소프트웨어 자재명세서(Software bill of materials)는 단순한 리스트가 아니라 소프트웨어에 포함되어 있는 컴포넌트와 의존성을 보여주는 명세서입니다. SBOM은 기록을 위한 역할도 있지만 소프트웨어 공급망의 보안과 관리를 위한 첫 단추입니다. SBOM의 역할에 대해 살펴보고 사이버보안을 강화하는데 어떤 도움을 주는지 확인해 보겠습니다.SBOM 정의소프트웨어 자재명세서란 이름에서 알수 있듯이, SBOM은 소프트웨어의 구성 컴포넌트에 관한 정보를 목록화하여 제공하는 것입니다. 이 상세 목록에는 오픈소스, 써드파티, 독점 요소(Proprietary elements), 라이센스 문서화, 버전, 패치 현황을 포함합니다. SBOM의 핵심은 다운스트림에 대한 소프트웨어 공급망 전반에 투명성을 제고하고.. 이전 1 다음
