Sonatype (22) 썸네일형 리스트형 업데이트 된 Sonatype Platform : 새로운 기능, 새로운 이름 Sonatype이 업데이트되었습니다. 업데이트된 새로운 기능은 조직에 다음과 같은 이점을 제공합니다. 사용자 지정을 위한 유연성 향상으로 개발자 생산성 향상 소프트웨어 공급망을 보호하기 위한 보안 컨텍스트 및 인텔리전스 향상 DevSecOps 요구사항을 충족하기 위한 관리 제어 강화 결과적으로, 개발 조직은 소프트웨어를 개발하며 시장에 적합한 제품과 서비스를 만드는 데에 더욱 집중할 수 있게 되었습니다. 전문 지식을 기반으로 한 새로운 기능 1. 플랫폼 고가용성(HA) : Sonatype Lifecycle 및 Sonatype Nexus Repository를 통해 향상된 확장성으로 미션 크리티컬 소프트웨어를 관리합니다. 2. 향상된 사용자 환경 : Sonatype Repository Firewall에서 간.. [비개발자의 눈] #4 - Security study : 의존성 혼동(Dependency Confusion) 의존성 혼동이란 수백 개에 달하는 악성 오픈소스 패키지를 크게 세 가지 유형으로 나누면 의존성 혼동(Dependency Confusion), 타이포스쿼팅(Typosquatting), 체인잭킹(Chainjacking)으로 구분됩니다. 이 중, 의존성 혼동(Dependency Confusion) 공격은 정상적인 소프트웨어와 동일한 이름을 갖고 있는 새로운 버전의 악의적인 소프트웨어를 이용한 수법입니다. 소프트웨어 개발 도구가 공개 및 비공개 저장소에서 서드파티 패키지를 끌어오는 기본 방식에서 새롭게 발견된 논리적 결함인데, 공격자들이 이 단순하면서도 자동화된 성질을 이용하는 것입니다. 실제 기업이 사용하는 사용 애플리케이션에서 전체 코드 중 76%가 오픈소스 소프트웨어이고, 전체 96%의 코드베이스가 오픈소.. 가장 앞선 공급망 보안 - Sonatype Firewall (NES2023 차세대 기업 보안 세미나) 지난 4월 19일! 양재동 엘타워 그레이스홀에서 NES2023 차세대 기업보안 세미나가 개최되었답니다. OSC코리아의 이제응 대표님은 '오픈소스 소프트웨어 개발 공급망 보안 및 거버넌스 필수전략'이라는 주제로 발표를 하셨습니다. NES2023 세미나에 참석하지 못하신 분들은 추후 버추얼 컨퍼런스에서 이제응 대표님의 발표를 다시 보실 수 있습니다. 관련 내용이 확정되면 OSC 뉴스레터를 구독하시는 분들에 한해 상세한 안내드리겠습니다. 우선 NES 2023의 OSC코리아 부스를 살짝 살펴보시죠! OSC코리아는 이번 NES 2023 차세대 기업보안 세미나에 Sonatype이라는 제품으로 참여했습니다. Sonatype의 다양한 Nexus 플랫폼 중에서도 Firewall을 중점적으로 소개드렸는데요, Firewal.. [NES2023] 매일 2.1만개 새 오픈소스 나오는데…OSC, “소나타입으로 취약점 철벽방어” 원문보기 현재 우리가 사용하는 애플리케이션(앱)의 90% 이상은 오픈소스 소프트웨어로 이뤄져 있다. 매일 2만1000개 이상의 신규 오픈소스 버전이 매일 공급망에 배포되면서 기업의 보안위협도 기하급수적으로 높아지고 있다. 이러한 가운데 96% 이상의 오픈소스 취약점 유입단계에서부터 예방할 수 있는 방안이 제시돼 주목된다. 19일 이제응 OSC코리아 대표는 양재동 엘타워에서 열린 ‘사라진 경계, ‘한국형 제로 트러스트’ 중심의 보안 혁신전략’을 주제로 한 차세대 기업보안 세미나 [NES 2023]에서 ‘오픈소스 소프트웨어 개발 공급망 보안 및 거버넌스 필수전략’이라는 주제 발표를 통해 현재 자사가 공급 중인 ‘소나타입’의 넥서스 플랫폼을 소개했다. 소나타입은 미국 소프트웨어 공급망 관리 분야 선두기업이다... 보안 소프트웨어 공급망 솔루션을 구현할 때 저지르는 10가지 실수 2022.08.22 The Top 10 Mistakes when Implementing a Secure Software Supply Chain Solution 원문보기 그 어느 때보다 보편화된 오픈 소스 코드 사용. 문제는 오픈소스 패키지의 양이 증가함에 따라 안전하지 않은 구성 요소가 전 세계의 소프트웨어 공급망에 점점 더 많이 사용되고 있다는 점입니다. 오픈소스 구성 요소가 악용될 수 있는 방법은 다양하고, 이는 중대한 보안 침해로 이어질 수 있습니다. Sonatype Nexus Lifecycle을 사용하면 소프트웨어 개발 수명 주기를 보호할 수 있다는 장점이 있음을 많은 이들이 알고 있지만, 이 솔루션을 구현할 때 저지르는 일반적인 실수에 대해서도 인지하고 있는 것이 중요합니다. 다음은 Sona.. 아시아에서 가장 많이 다운로드 된 취약한 OSS 구성요소 5개 Sonatype의 소프트웨어 공급망 현황 보고서에 따르면 지난 2년 동안 오픈 소스 구성 요소 릴리스 공급은 75% 증가했고, 다운로드 요청은 전년 대비 68% 증가했습니다. 하지만 오픈소스 관련 침해 사고는 2014년 이후 71% 증가한 것으로 확인됐습니다. 오픈소스의 인기가 증가하면서 취약한 구성 요소도 함께 증가하고 있는 것입니다. 오픈소스를 사용 및 배포할 경우에는 완전하고 정확한 인텔리전스가 중요합니다. 부정확하거나 불완전한 데이터는 조직에 취약점과 라이선스 및 기타 품질 문제를 가져다줄 수 있습니다. 본문에서는 아시아에서 가장 취약한 구성요소 상위 5가지와 위험을 완화할 수 있는 방법에 대해 알아봅니다. 5위 Bouncycastle 1. 취약점이름 : CVE-2018-5382 2.. 여러분의 소프트웨어 공급망은 안전합니까? Nexus Firewall을 통한 방어전략(New Frontier) 지난해 말, Log4j에서 발견된 취약점은 보안 업계는 물론, 애플리케이션을 사용하는 거의 모든 기업에게 지대한 영향을 미쳤습니다. 사이버 위협 환경은 갈수록 복잡해지는 한편, 해커의 공격은 더욱 더 정교해지고 피싱과 악성코드 공격도 증가하고 있습니다. 예전의 해커들은 공개된 취약점을 기다렸다가 악용했지만 이제는 취약점을 미리 만들어 리포지토리에 배포하고 있습니다. 이 중 가장 대표적인 것이 바로 npm 리포지토리 사례입니다. '우리 회사는 털어도 가져갈 것이 없다','알려져 있지 않아 모를 것이다' 라고 생각하는 중소기업도 있지만, 사실 해커들의 주된 표적은 대기업보다는 오히려 중소기업입니다. 기업은 이렇게 고도화되는 공급망 공격에 어떻게 대항할 수 있을까요? 단순히 리포지토리의 취약점을 확인하는 것으.. 해커의 침입에 효과적으로 대응하는 방법 네트워크에 침입자가 있을 때, 신속하고 효과적으로 대응해야 함은 당연합니다. IT 업체 크롤(Kroll), 레드 카나리(Red Canary), VM웨어가 400명 이상의 IS 전문가와 100명 이상의 법률 및 규정 준수 담당자를 대상으로 실시한 ‘사고 대응 현황 2021’ 조사 결과에 따르면, 응답자의 55% 이상이 사이버 사고 대응의 자동화 시간을 개선하기를 원한다고 답했습니다. 하지만. 조사 결과는 긍정적이지 않습니다. 조직의 절반 미만(48%)이 정기적인 보안 준비 훈련을 실시하지만 응답자의 90% 이상이 사이버 공격의 근본 원인을 식별하는 조직의 능력에 대해 완전히 확신하지 못하고, 조직의 거의 절반(46%)이 초기 침해 후 1시간 이내에 위협을 억제할 수 없다고 답했습니다. 즉, 위협 탐지 .. 이전 1 2 3 다음
