블랙 덕 소프트웨어(Black Duck Software)가 기업과 오픈소스의 안전한 도입과 활용에 대해 5가지 팁을 남녀관계에 비유해 제안했다. (모든 이미지 출처:Shutterstock) ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
나에게 맞는 상대 고르기
완벽하게 맞는 오픈소스를 찾아라. 협업과 크라우드 소싱(Crowd sourcing)을 커뮤니티 기반의 취약성 보고와 조합한다(NVD(National Vulnerability Database)+상용 오픈소스 데이터베이스=완벽한 오픈소스 맞춤).
OpenHub.net 과 지트허브(GitHub) 등을 활용해 관심이 있는 프로젝트의 이력과 활동 및 그 이면의 개발자에 관한 정보를 얻고 비교해 보자.
프로젝트와 딱 맞는 오픈소스를 찾기 위해서는 커뮤니티 활동을 통합 안정성, 사용자 참여를 통한 탄탄한 개발, 조직의 위험 허용범위에 맞는 이력 등을 조합해야 한다.
데이트
최신의 안전한 오픈소스만 앱에 통합될 수 있게 한다 (결함없는 깨끗한 오픈소스는 안전한 성관계와도 일맥 상통한다).
주기적인 점검을 통해 건전한 오픈소스를 안전하게 유지할 수 있다. 코드 스캔 툴과 이에 수반되는 정책 및 프로세스를 활용해 오래되고 취약한 소프트웨어 구성요소를 없애고 소프트웨어 카탈로그에 산재해 있는 혼란스럽고 자원 소모적인 버전을 정리할 수 있다.
신혼여행 단계
깨끗하게 정리하라! 툴과 코드의 질을 높이기 위한 모범사례를 구축해 코드의 안전성을 확보한다. 전체 보안 취약성의 절반이 바로 이 코드 품질 문제에 해당된다.
엄격한 팀 기반의 코드 검토(내부 코드) 및 (OSS 의) 조기 커뮤니티 공개를 통해 커버리티(Coverity), 포티파이(Fortify), 클럭워크(Klocwork), BDS(Black Duck Suite) 등의 툴을 이용해 자동화를 보완할 수 있다.
소울 메이트
‘그 것’을 찾았을 때 알아보라. 버그를 찾아내고 취약성을 없애려면 많은 눈이 필요한 것이 아니라 ‘정확히’ 찾아낼 수 있는 눈이 필요하다.
개발자와 사용자는 ‘제대로 된’ 자질을 갖춘 사람이어야 한다. 그리고 중요 인프라가 관련되어 있거나 공공 소프트웨어를 개발하는 프로젝트는 내부 전문가와 일반 개발자를 보완하기 위해 보안에 능통한 개발자를 영입해야 한다.
관계 유지하기
관계의 균형을 유지하라. 개발자 요구사항과 보안 목표 사이의 균형을 반드시 유지해야 한다. 유연성이 부족한 보안 체제는 문제를 유발한다.
빈틈 없는 보안 정책이 엉성한 사용자 행태를 막을 수 있을 것처럼 보이지만, 정책이 너무 엄격하면 사용자와 개발자에게 무시당하거나 그들이 프로젝트나 기술을 멀리하는 경향이 나타날 수 있다. 보안 정책은 실제 위협의 수준과 범위를 반영하면서도 기술을 무용지물로 만들지 않아야 한다.