Sonatype (22) 썸네일형 리스트형 Apache Log4j 심각한 보안 취약성 발견 최근 Apache Log4j 보안 업데이트와 관련해 해킹 공격에 악용되는 취약점을 보완해 업데이트한 2.15.0 버전에 치명적 취약점이 내포되어 있다는 보고가 있었습니다. 사용자들 사이에서 최악이라고 불릴 정도로 취약점의 심각도가 높아 꽤 화제가 되었죠! 이에, 2.15.0 버전으로 업데이트한 기업은 상황에 따라 2.16.0으로 재 업데이트 할 필요가 있음이 권고되었고 즉시 업데이트가 어려운 상황일 경우 대응 방법도 고지되었는데요, 긴급 보안 공지가 여러차례 고지되며 최근 몇 년간 인터넷 보안 이슈 중, 가장 높은 심각성의 사건이라고 알려져 약 일주일간 많은 혼란을 야기했던 Apache Log4j의 보안 이슈에 대해 자세하게 알아보겠습니다. 1. Apache Log4j log4j는 무료로 제공.. 수백만 사용자를 가진 인기 Project, NPM이 공급망 공격으로 해킹당하다 2021.10.25 Popular npm Project Used by Millions Hijacked in Supply-Chain Attack 원문보기 지난주, 소나타입은 npm 에서3개의 악성 npm 크립토마이닝 (암호화폐 채굴) 패키지 (klow와 klown, okhsa)를 발견했다고 보고했습니다. 이런 패키지들은 10월12일부터 15일까지 npm 레지스트리를 침해하고 모네로 채굴자를 윈도우즈, macOS와 리눅스 머신에 설치했습니다. 특이하게도 이 패키지 중 최소 1개는 “ua-parser-js”라 불리는 많이 사용되는 검증된 라이브러리를 모방하고 있었습니다. 금요일이 되자, 실제 “ua-parser-js”의 관리자는0.7.29, 0.8.0, 1.0.0 의 패키지가 크립토마이너 (암호.. 2021년 소프트웨어 공급망 현황 보고서 : 오픈 소스 보안 및 종속성 관리가 중심 2021. 09. 15 2021 State of the Software Supply Chain: Open Source Security and Dependency Management Take Center Stage 원문보기 Sonatype에서 발행한 2021년 소프트웨어 공급망 현황 보고서를 요약해서 소개하려고 합니다. 지난 1년간 Java (Maven Central), JavaScript(npmjs), Python (PyPI), 및 .Net (nuget) 에코시스템에서10만여 개의 어플리케이션, 그리고 4백만개의 컴포넌트를 연구분석한 결과가 발표되었습니다. (Sonatype은 전세계적으로 10만여개의 오픈소스 저장소를 관리하고 있기 때문에 가능한 일입니다) 1년사이에 상위 4개의 오픈소스 에코시스.. Cloudflare의 CDN 전체, 수백만개의 웹사이트가 npm 패키지 하나로 다운되는 사태 발생 This npm Package Could Have Brought Down Cloudflare’s Entire CDN and Millions of Websites 원문보기 클라우드플래어(Cloudflare)는 자사의 오픈소스 컨텐츠 전송 네트워크인 CDNJS에 대하여 심각한 취약성에 대한 패치작업을 하였습니다. 이 이슈는 광범위한 범위의 공급망에 보안, 무결성및 가용성을 위협하였습니다. 인터넷의 약 12.7%를 차지하는 수 백만개의 웹사이트가 CDNJS 서비스를 사용해서 많이 사용되는 자바스크립트와 CSS 라이브러리를 전송하고 있습니다. 오늘 작성한 보고서에서 보듯이, 보안 연구원 RyotaK는 임의로 생성한 npm 패키지를 Path Traversal 또는 “짚 슬립(ZipSlip)” 악용을 통해 클라우드.. 카세야 랜섬웨어: 소프트웨어 공급망에 대한 공격인가? 원문보기 7월4일주가 지나고, 우리 산업계는 또 한번 대규모의 주목할만한 랜섬웨어 공격을 곱씹어 보고 있습니다. 이번에는 카세야(Kaseya)의 네트워크 모니터링과 원격 관리 소프트웨어의 취약점입니다. 이 소식은 7월2일 금요일 오후에 처음 알려졌고, 주말을 지나면서 주요 언론매체와 해커 뉴스 사이트에 빠르게 퍼졌습니다. 대부분의 미국인들이 연휴에서 복귀하면서 실제로 어떤 일이 일어난 것인지 점점 더 많은 정보가 모이기 시작했습니다. 카세야 공격이 정말로 “소프트웨어 공급망" 공격으로 정의할 수 있는가를 놓고 아주 흥미로우면서 미묘한 논쟁이 시작되기도 했습니다. 참조: 카세야의 고객 기반은 개별 기업과 매니지드 서비스 제공업체 (Managed Service Provider (MSP) 입니다. 이런 M.. 오에스씨코리아, 美 소나타입과 '전략적 파트너' 계약…리스크 관리 자동화 혁신 기대 2021년 7월 26일 이티뉴스 원문보기 오에스씨코리아(대표 이제응, 이하 오에스씨)는 소프트웨어(SW)공급망 관리 분야 선두기업 소나타입과 전략적 파트너십을 맺고 클라우드 기반의 SW공급망 자동화 플랫폼 '넥서스'를 국내에 공급한다고 26일 밝혔다. '넥서스' 플랫폼은 SW개발 라이프사이클 전체 단계에서 오픈소스 거버넌스와 리스크관리 자동화를 지원한다. 넥서스 인텔리전스와 함께 오픈소스 리스크를 파악하고 개선방법을 제안하며 개발자가 더 빠르게 혁신할 수 있도록 돕는다. 이제응 대표는 “기업들은 디지털트랜스포메이션 가속화에 따른 비즈니스 부담감을 해소하기 위해 빠른 SW 개발이 요구되지만 빠른 개발 속도만큼 안정성도 중요하다”며 “소나타입은 애플리케이션 기술 스택에 대한 빠른 인사이트를 제공, 데브옵스팀.. 이전 1 2 3 다음
