SCA (8) 썸네일형 리스트형 오픈소스 말웨어로부터 SW 개발 수명주기 보호 현대 소프트웨어 개발은 오픈소스에 크게 의존합니다. 약 90%의 소프트웨어 애플리케이션이 오픈소스 구성요소를 포함하고 있습니다. 이는 개발 과정에 엄청한 효율성을 의미하지만 숨겨진 위험을 내포하고 있습니다. 바로 오픈소스 말웨어입니다. 장비와 말단(엔드포인트)를 목표로 하는 전통적인 말웨어와는 달리 오픈소스 말웨어는 소프트웨어 개발 수명주기에 침투하여 신뢰할 수 있는 워크플로우와 의존성을 활용하여 소프트웨어 공급망의 핵심에 취약점을 심어둡니다. 많은 기업이 말단(엔드포인트)을 보호하는 것이면 충분하다고 생각하지만 이런 도구들은 오픈소스 말웨어를 감지하거나 최소화하기에는 부족함이 많습니다. 이런 말웨어를 발견했을 때에는 이미 심각한 피해가 발생한 이후일 가능성이 매우 높습니다.오픈소스 말웨어의 위협오픈소스.. 오픈소스의 편리함을 즐기고, 위험성을 막기 위해 필요한 것 2021년 12월 9일, 아파치 ‘Log4j 2’라는 오픈소스 유틸리티에서 역사상 최악의 심각한 보안 취약점이 발견되었다. Log4j는 자바 애플리케이션에서 로깅(이벤트 기록)을 구현할 때 사용되는 라이브러리다. 전 세계 자바 애플리케이션에서 광범위하게 이용되고 있었고, 국내도 예외는 아니었다. Log4j 2에 취약점이 있다는 소식이 전해지자 기업들은 당연히 취약점이 없는 버전으로 업데이트하려고 나섰다. 하지만 문제가 있었다. 어느 부분에 Log4j가 사용되었는지 알기가 어려웠다. “소프트웨어도 자재명세서가 필요해”현대의 소프트웨어 개발은 개발자가 한땀한땀 코딩을 하는 것이 아니다. 시중에 존재하는 오픈소스나 컴포넌트를 조합하면서 자신만의 코드를 더하는 방식으로 이뤄진다. 자동차 제조사가 바퀴나 시트까지.. [인터뷰] 소나타입 “EU CRA, SW 공급망 보안 새 기준...한국기업도 대비해야” [디지털데일리 이안나기자] “이제 소프트웨어(SW) 공급망 보안은 선택이 아닌 필수입니다. EU 사이버복원력법(CRA)이 가져올 변화는 일반데이터보호법(GDPR)에 버금갈 것입니다.” 소나타입 이카 투루넨(Ilkka Turunen) 필드 CTO는 최근 와 서면 인터뷰에서 이같이 밝혔다. 소프트웨어 및 시스템 엔지니어링 분야 전문가인 투루넨 CTO는 다수 상업용 프로젝트에서 아키텍트로 활동하며, 전 세계 기업 소프트웨어 공급망 개선을 지원해왔다. 최근 SW 공급망 보안이 국가 안보 핵심 이슈로 떠오르고 있다. 오픈소스 활용이 일반화되면서 취약점 사고가 잇따르자 각국이 규제를 도입하기 시작한 것. 유럽연합(EU)은 사이버복원력법(CRA)을 통해 모든 소프트웨어에 CE 인증을 의무화할 예정이고, 미국은 행정명.. Sonatype, 2년 연속 포레스터 웨이브 SCA 리더로 선정 Sonatype은 포레스터 웨이브에서 2023년에 이어 2년 연속 소프트웨어 구성요소 분석(Software Composition Analysis, SCA) 소프트웨어의 리더, 2024Q4로 선정되었습니다. Sonatype은 현재 제공되는 기능과 전략 카테고리 부문에서 10개의 SCA 벤더 중에서 최고점을 받았습니다. 이번 리더 선정은 Sonatype의 소프트웨어 공급망 보안에 대한 돋보적인 엔드 투 엔드 접근 방식을 인정받은 것으로 큰 의미가 있습니다. Q4 2024 포레스터 웨이브는 Sonatype이 다음의 영역에서 최고점을 받았다고 발표했습니다.악성 패키지 감지소프트웨어 자재 명세서(Software bill of materials, SBOM)생성, 내보내기 및 공유수집 및 분석정책 관리AI 구성요소 .. 슬기로운 SBOM 사용법 SBOM (Software Bill of Materials), 소프트웨어 자재명세서에 대해 들어보셨나요? 최근 국가정보원과 과기정통부에서 소프트웨어 공급망 보안 가이드라인을 발표하면서 국내에서도 변화하는 환경에 맞춰 미리 준비를 해야할 필요가 커지고 있습니다. 그동안 몇차례 SBOM에 대해 포스팅을 했었지만, 오늘은 SBOM 생성 후 관리나 관리방안에 대해 이야기해 보려고 합니다.SBOM은 무엇이며 왜 중요한가?SBOM은 Software Bill of Materials의 약자로 소프트웨어 구성요소를 나타내는데, 흔히 제품의 성분표기와 유사하다고 이해하면 됩니다. 식품에서 성분 표시를 확인하여 알러지가 있는 사람은 해당 식품을 피하는 등 정보 기반의 의사결정이 가능해집니다. SBOM는 소프트웨어를 구성하.. 소프트웨어 구성 분석(SCA)와 소프트웨어 자재명세서(SBOM) 빠르게 변하는 소프트웨어 공급망 공격으로 인해 애플리케이션 보안과 무결성에 대한 우선순위가 높아지는 것은 어쩌면 너무 당연한 일입니다. 오픈소스 컴포넌트에 대한 의존도가 높아지면 보안 취약성과 컴플라이언스를 관리하는 복잡성도 높아집니다. 이런 복잡성과 사이버 위협으로부터 대응하기 위해 소프트웨어 구성 분석(SCA)과 소프트웨어 자재명세서(SBOM)에 대한 요구사항이 늘어나고 있습니다.SCA, 첫 단추가 중요SCA는 오픈소스 소프트웨어 구성요소의 보안 취약성을 파악하고 관리하기 위해 설계된 적극적인 접근방식입니다. SCA 툴을 이용해서 소프트웨어의 구성을 분석하고 잠재적 보안 위험, 라이선스 이슈 및 품질에 대한 진단을 소프트웨어 개발 수명주기의 아주 초기 단계부터 할 수 있습니다. 관련 조직은 보안 위협.. Sonatype, 포레스터 웨이브 SCA 분야 리더 선정 기념! 상담 신청 고객 대상 EVENT! Sonatype, The Forrester Wave™ 2023, 2분기 SCA 부문 리더 선정 The Forrester Wave™는 세계적인 연구 기관으로, 지난 6월 12일에 소프트웨어 구성 분석(SCA) 제공업체에 대한 32개 기준 평가에서 가장 중요한 것을 식별하고 조사, 분석 및 점수를 매긴 결과 리포트를 발표했습니다. 조사 결과 SCA 리더는 Sonatype, Synopsys, Snyk으로 나타났습니다. SCA (소프트웨어 구성 분석)란? SCA (소프트웨어 구성 분석)는 특정 소프트웨어 및 소프트웨어 공급망 전체에 포함되어 있는 오픈소스 구성 요소, 종속성 및 라이선스 요구 사항에 대해 정확하고 심층적으로 검토하는 도구로, 알려진 취약성을 포함해 일반적으로 바이너리 형식의 오픈소스 소프트웨어 종속성의 사용을 감지합니다. 이 SCA 도구는 코드베이스를 스캔해 사용된 모든 종속성 목록을 생.. 이전 1 다음
