Offcanvas

오픈소스

칼럼 | 티(tea), 오픈소스 무료 노동을 끝내자

오픈소스에는 모두가 알고 있지만 아직 충분히 해결되지 않은 문제가 있다. 바로 공정성이다. 그동안 인터넷과 인터넷의 모든 혁신의 근간이 되어온 오픈소스 프로젝트는 주로 자발적인 노동력 기여로 운영됐다. 그러나 이처럼 오픈소스가 개발자에 대한 보상이 거의 또는 전혀 이루어지지 않는 상태로 만들어지고 유지되면, 이는 개발자에게 불공정할 뿐만 아니라 사용자를 잠재적인 위험에 드러낼 가능성이 있다. 실제로 그동안 많은 사용자가 사이버보안 문제에 취약한 상태로 방치되곤 했다.   필자는 대다수의 개발자가 인류 전체에 유익한 소프트웨어 인프라를 만드는 일 대신 페이스북, 애플, 아마존, 넷플릭스, 구글 등 대형 IT 업체의 광고 수익을 늘리는 일에 집중하고 있기 때문에 현대 기술의 성장이 정체됐다고 믿는다. 그 결과 자금난에 시달리는 소규모 오픈소스 개발자 집단에 더는 연봉과 인터넷 운영 유지 가운데 양자택일을 강요할 수는 없는 상태에 이르렀다. 그리하여 필자는 이 문제를 해결하기 위해 ‘브루투포웹쓰리(brew2 for web3)’의 일종인 티(tea) 제작에 나서고 있다.   오픈소스에서 공정성이 중요한 이유 필자는 오픈소스와 블록체인 분야에서 개발해 왔다. 특히 패키지 관리자가 개발 스택에 상주하는 홈브루(Homebrew)의 제작을 통해, 오픈소스에 대한 경제적 인센티브를 바꾸는 데 도움을 줄 방법을 찾았다. 맥스(이 글의 필자 중 한 명)는 오픈소스 소프트웨어 패키지 관리 시스템 홈브루(일명 ‘브루’)를 만들었고, 이는 사상 최대의 기여를 끌어낸 오픈소스 소프트웨어 프로젝트로 성장했다. 세계 최대 IT 기업이 제품 구축의 근간으로 홈브루를 사용하지만 홈브루 개발이나 홈브루에 기여한 개발자에 대해 직접적으로 자금을 지원하지는 않는다. 팀(이 글의 또 다른 필자)은 블록체인 개발 분야의 오랜 리더로서 이키가이 자산 운용(Ikigai Asset Management)은 물론 비영리 단체인 DEVxDAO의 창립자이기도 하다. DEVxDAO는 DAO(탈...

tea 오픈소스

2022.09.19

오픈소스에는 모두가 알고 있지만 아직 충분히 해결되지 않은 문제가 있다. 바로 공정성이다. 그동안 인터넷과 인터넷의 모든 혁신의 근간이 되어온 오픈소스 프로젝트는 주로 자발적인 노동력 기여로 운영됐다. 그러나 이처럼 오픈소스가 개발자에 대한 보상이 거의 또는 전혀 이루어지지 않는 상태로 만들어지고 유지되면, 이는 개발자에게 불공정할 뿐만 아니라 사용자를 잠재적인 위험에 드러낼 가능성이 있다. 실제로 그동안 많은 사용자가 사이버보안 문제에 취약한 상태로 방치되곤 했다.   필자는 대다수의 개발자가 인류 전체에 유익한 소프트웨어 인프라를 만드는 일 대신 페이스북, 애플, 아마존, 넷플릭스, 구글 등 대형 IT 업체의 광고 수익을 늘리는 일에 집중하고 있기 때문에 현대 기술의 성장이 정체됐다고 믿는다. 그 결과 자금난에 시달리는 소규모 오픈소스 개발자 집단에 더는 연봉과 인터넷 운영 유지 가운데 양자택일을 강요할 수는 없는 상태에 이르렀다. 그리하여 필자는 이 문제를 해결하기 위해 ‘브루투포웹쓰리(brew2 for web3)’의 일종인 티(tea) 제작에 나서고 있다.   오픈소스에서 공정성이 중요한 이유 필자는 오픈소스와 블록체인 분야에서 개발해 왔다. 특히 패키지 관리자가 개발 스택에 상주하는 홈브루(Homebrew)의 제작을 통해, 오픈소스에 대한 경제적 인센티브를 바꾸는 데 도움을 줄 방법을 찾았다. 맥스(이 글의 필자 중 한 명)는 오픈소스 소프트웨어 패키지 관리 시스템 홈브루(일명 ‘브루’)를 만들었고, 이는 사상 최대의 기여를 끌어낸 오픈소스 소프트웨어 프로젝트로 성장했다. 세계 최대 IT 기업이 제품 구축의 근간으로 홈브루를 사용하지만 홈브루 개발이나 홈브루에 기여한 개발자에 대해 직접적으로 자금을 지원하지는 않는다. 팀(이 글의 또 다른 필자)은 블록체인 개발 분야의 오랜 리더로서 이키가이 자산 운용(Ikigai Asset Management)은 물론 비영리 단체인 DEVxDAO의 창립자이기도 하다. DEVxDAO는 DAO(탈...

2022.09.19

오픈소스 보안, '정신 번쩍 차렸다'··· 2022년 쏟아진 보안 이니셔티브 8선

작년 말 로그4j 대란은 그 피해의 규모만큼이나 큰 변화의 계기가 됐다. 아직 한 해가 끝나지 않았음에도 2022년을 ‘오픈소스 보안의 해’라고 불러도 무리가 아닐 정도로 수많은 오픈소스 보안 이니셔티브, 프로젝트 및 지침이 잇따라 공개됐기 때문이다.    오늘날 오픈소스 구성요소는 거의 모든 소프트웨어에 쓰인다. 무수한 개발자가 애용하지만 그만큼 보안 위협 또한 비대해졌다. 따라서 여러 벤더, 조직, 정부 기관 모두 너나할  것 없이 오픈소스 보안을 굳건히 하고자 발 벗고 나섰다.  리눅스재단의 오픈소스 공급망 보안 책임자인 데이비드 휠러는 “2022년에는 그 어느때보다도 오픈소스 보안에 대한 관심이 커졌다. 각 분야의 조직이 자신의 역할을 모색하기 시작했다. 아직 갈 길이 멀지만 확실히 의미 있는 진전을 이뤄냈다”라고 말했다.  윌러는 이어 “오픈소스는 오늘날 거의 모든 소프트웨어의 근간이다”라며 “최근 조사에 따르면 현존하는 모든 애플리케이션 중 70~90%가 오픈소스 소프트웨어(OSS)구성요소를 포함한다. 높은 의존도 자체가 문제는 아니다. 그러나 OSS 보안이 취약하다면 얘기는 달라진다”라고 설명했다.  그는 또한 “기업이 어떤 식으로든 오픈소스 보안을 강화하려면 추가 자원과 계기가 필요하다”라며 “소프트웨어 개발자에게 보안이란 또 다른 요구사항이 되므로 대다수 기업은 도움에 목말라 있다”라고 말했다. 2022년에는 기업을 지원하기 위한 오픈소스 이니셔티브 및 프로젝트가 여럿 출범했다. 이 중 8가지 주요 이니셔티브에 대해 알아본다.    1. 백악관의 오픈소스 보안 서밋 (1월) 지난 1월 백악관은 정부와 민간 부문의 이해관계자를 소집해 오픈소스 소프트웨어의 보안을 개선하기 위한 이니셔티브와 개선을 추진하기 위한 새로운 협업 방식에 대해 논의했다. 회의 참석자로는 앤 뉴버거 사이버 및 신기술 국가안보 부보좌관과 크리스 잉글리스 국가사이버국장을 비롯해 아카마이, 아마...

오픈소스 오픈소스보안 OSS 오픈소스 커뮤니티 오픈소스 SW

2022.09.14

작년 말 로그4j 대란은 그 피해의 규모만큼이나 큰 변화의 계기가 됐다. 아직 한 해가 끝나지 않았음에도 2022년을 ‘오픈소스 보안의 해’라고 불러도 무리가 아닐 정도로 수많은 오픈소스 보안 이니셔티브, 프로젝트 및 지침이 잇따라 공개됐기 때문이다.    오늘날 오픈소스 구성요소는 거의 모든 소프트웨어에 쓰인다. 무수한 개발자가 애용하지만 그만큼 보안 위협 또한 비대해졌다. 따라서 여러 벤더, 조직, 정부 기관 모두 너나할  것 없이 오픈소스 보안을 굳건히 하고자 발 벗고 나섰다.  리눅스재단의 오픈소스 공급망 보안 책임자인 데이비드 휠러는 “2022년에는 그 어느때보다도 오픈소스 보안에 대한 관심이 커졌다. 각 분야의 조직이 자신의 역할을 모색하기 시작했다. 아직 갈 길이 멀지만 확실히 의미 있는 진전을 이뤄냈다”라고 말했다.  윌러는 이어 “오픈소스는 오늘날 거의 모든 소프트웨어의 근간이다”라며 “최근 조사에 따르면 현존하는 모든 애플리케이션 중 70~90%가 오픈소스 소프트웨어(OSS)구성요소를 포함한다. 높은 의존도 자체가 문제는 아니다. 그러나 OSS 보안이 취약하다면 얘기는 달라진다”라고 설명했다.  그는 또한 “기업이 어떤 식으로든 오픈소스 보안을 강화하려면 추가 자원과 계기가 필요하다”라며 “소프트웨어 개발자에게 보안이란 또 다른 요구사항이 되므로 대다수 기업은 도움에 목말라 있다”라고 말했다. 2022년에는 기업을 지원하기 위한 오픈소스 이니셔티브 및 프로젝트가 여럿 출범했다. 이 중 8가지 주요 이니셔티브에 대해 알아본다.    1. 백악관의 오픈소스 보안 서밋 (1월) 지난 1월 백악관은 정부와 민간 부문의 이해관계자를 소집해 오픈소스 소프트웨어의 보안을 개선하기 위한 이니셔티브와 개선을 추진하기 위한 새로운 협업 방식에 대해 논의했다. 회의 참석자로는 앤 뉴버거 사이버 및 신기술 국가안보 부보좌관과 크리스 잉글리스 국가사이버국장을 비롯해 아카마이, 아마...

2022.09.14

한 줄 코드가 낳았던 보안 위기··· 허트블리드 버그 A to Z

2014년 4월에 선보인 OpenSSL의 취약성 허트블리드(Heartbleed)는 야후(Yahoo) 같은 주요 사이트를 구동하는 수천 개의 웹 서버에 존재했다. OpenSSL은 ‘TLS & SSL 프로토콜’을 구현하는 오픈소스 코드 라이브러리이다. 이 취약성 때문에 악의적인 공격자가 취약한 웹 서버를 손쉽게 속여 사용자 이름과 비밀번호 등의 민감한 정보를 전송하도록 할 수 있었다. 이 결함은 TLS/SSL 표준 자체보다 OpenSSL 구현에 있었지만 문제는 OpenSSL이 너무 광범위하게 사용되고 있다는 점이다(버그가 공개되었을 때, 전체 SSL 서버의 17%가 영향을 받았다).   허트블리드를 허트블리드라 부르는 이유? ‘허트블리드’라는 이름은 TLS/SSL 프로토콜의 중요한 구성요소의 이름인 ‘heartbeat’에서 유래했다. ‘heartbeat’는 사용자가 다운로드 또는 업로드를 하지 않고 있는 순간에 서로 통신하는 2개의 컴퓨터가 여전히 연결되어 있음을 서로에게 알려주는 방식이다. 때로는 두 컴퓨터 중 하나가 다른 컴퓨터에게 ‘heartbeat request’라는 암호화된 데이터를 전송한다. 두번째 컴퓨터는 정확히 동일한 암호화된 데이터로 응답하여 연결되어 있음을 증명한다. 허트블리드 취약성은 공격자가 ‘heartbeat request’를 사용하여 대상 서버로부터 정보를 추출할 수 있기 때문에 이름이 붙여졌다. 은유적으로 표현하자면, 피해자는 ‘heartbeat request’를 통해 민감한 데이터를 유출(bleed)한다. 허트블리드는 어떻게 작동하는가? 허트블리드는 민감한 사실 하나에 기반한다. ‘heartbeat request’에는 자체 길이에 대한 정보가 포함되어 있지만 취약한 버전의 OpenSSL 라이브러리는 정보가 정확한지 확인하지 않으며 공격자는 이를 활용해 대상 서버가 비공개로 유지되어야 하는 메모리 부분에 대한 공격자의 액세스를 허용하도록 속일 수 있다. 그 이면의 메커니즘을 이해하기 위해 전형적인 OpenSSL...

버그 하트블리드 허트블리트 역사 OpenSSL

2022.09.08

2014년 4월에 선보인 OpenSSL의 취약성 허트블리드(Heartbleed)는 야후(Yahoo) 같은 주요 사이트를 구동하는 수천 개의 웹 서버에 존재했다. OpenSSL은 ‘TLS & SSL 프로토콜’을 구현하는 오픈소스 코드 라이브러리이다. 이 취약성 때문에 악의적인 공격자가 취약한 웹 서버를 손쉽게 속여 사용자 이름과 비밀번호 등의 민감한 정보를 전송하도록 할 수 있었다. 이 결함은 TLS/SSL 표준 자체보다 OpenSSL 구현에 있었지만 문제는 OpenSSL이 너무 광범위하게 사용되고 있다는 점이다(버그가 공개되었을 때, 전체 SSL 서버의 17%가 영향을 받았다).   허트블리드를 허트블리드라 부르는 이유? ‘허트블리드’라는 이름은 TLS/SSL 프로토콜의 중요한 구성요소의 이름인 ‘heartbeat’에서 유래했다. ‘heartbeat’는 사용자가 다운로드 또는 업로드를 하지 않고 있는 순간에 서로 통신하는 2개의 컴퓨터가 여전히 연결되어 있음을 서로에게 알려주는 방식이다. 때로는 두 컴퓨터 중 하나가 다른 컴퓨터에게 ‘heartbeat request’라는 암호화된 데이터를 전송한다. 두번째 컴퓨터는 정확히 동일한 암호화된 데이터로 응답하여 연결되어 있음을 증명한다. 허트블리드 취약성은 공격자가 ‘heartbeat request’를 사용하여 대상 서버로부터 정보를 추출할 수 있기 때문에 이름이 붙여졌다. 은유적으로 표현하자면, 피해자는 ‘heartbeat request’를 통해 민감한 데이터를 유출(bleed)한다. 허트블리드는 어떻게 작동하는가? 허트블리드는 민감한 사실 하나에 기반한다. ‘heartbeat request’에는 자체 길이에 대한 정보가 포함되어 있지만 취약한 버전의 OpenSSL 라이브러리는 정보가 정확한지 확인하지 않으며 공격자는 이를 활용해 대상 서버가 비공개로 유지되어야 하는 메모리 부분에 대한 공격자의 액세스를 허용하도록 속일 수 있다. 그 이면의 메커니즘을 이해하기 위해 전형적인 OpenSSL...

2022.09.08

"보안 위험 줄이는 종속성 관리법"··· 오픈SSF, 'npm' 가이드 발표

최근 오픈SSF(The Open Source Security Foundation, OpenSSF)가 npm 베스트 프랙티스 가이드(npm Best Practices Guide)를 발표했다. 자바스크립트와 타입스크립트 개발자가 오픈소스 종속성 관련 보안 위협을 줄이는 데 도움을 주기 위한 목적이다. 개발자들이 종속성을 점점 더 많이 공유하고 사용하는 것은 신속한 개발과 혁신에 기여할 수 있지만, 동시에 위험을 초래할 수도 있기에 주의가 요구된다.   오픈SSF 베스트 프랙티스 워킹 그룹(OpenSSF Best Practices Working Group)이 제작한 이번 가이드는 npm을 위한 종속성 관리와 공급망 보안을 중심으로 안전한 CI 환경을 설정하는 방법, 종속성 혼란을 피하는 방법, 종속성 탈취로 인한 여파 제한하는 방법과 같은 다양한 영역을 다룬다.  심각한 보안 위험이 될 수 있는 오픈소스 종속성 오픈SSF 기여자들은 블로그에서 오픈소스 종속성을 사용하는 이점이 단점을 능가하는 경우가 종종 있지만 상당한 위험이 발생할 수 있다며, “간단한 종속성 업데이트로 종속 프로젝트가 중단될 수 있다. 또한 다른 소프트웨어처럼 종속성에 취약성이 있거나 하이재킹되어 이를 사용하는 프로젝트에 영향을 줄 수 있다”라고 썼다. 리눅스 재단의 오픈소스 공급망 보안 부문 이사 데이비드 A. 휠러는 CSO에 개발자의 오픈소스 종속성 사용으로 인한 가장 큰 보안 위험이 직간접 종속성의 취약성이 지닌 파괴력을 과소평가하는 것이라고 지적했다. 휠러는 “결함은 모든 소프트웨어에서 발생할 수 있다. 주의를 기울이지 않으면 공급망에 심각한 영향을 미칠 수 있다. 종속성은 보이지 않는 경우가 빈번하며, 개발자나 조직은 스택의 모든 레이어를 볼 수 없다. 소프트웨어 재사용을 중단한다고 해서 해결되는 문제가 아니다. 소프트웨어를 현명하게 재사용하면서 취약점이 발견됐을 때 구성요소를 업데이트할 준비를 하고 있어야 한다”라고 덧붙였다. 그러나 효율적인 종속성 보안 전략...

오픈SSF 오픈소스 종속성관리 베스트프랙티스 npm

2022.09.07

최근 오픈SSF(The Open Source Security Foundation, OpenSSF)가 npm 베스트 프랙티스 가이드(npm Best Practices Guide)를 발표했다. 자바스크립트와 타입스크립트 개발자가 오픈소스 종속성 관련 보안 위협을 줄이는 데 도움을 주기 위한 목적이다. 개발자들이 종속성을 점점 더 많이 공유하고 사용하는 것은 신속한 개발과 혁신에 기여할 수 있지만, 동시에 위험을 초래할 수도 있기에 주의가 요구된다.   오픈SSF 베스트 프랙티스 워킹 그룹(OpenSSF Best Practices Working Group)이 제작한 이번 가이드는 npm을 위한 종속성 관리와 공급망 보안을 중심으로 안전한 CI 환경을 설정하는 방법, 종속성 혼란을 피하는 방법, 종속성 탈취로 인한 여파 제한하는 방법과 같은 다양한 영역을 다룬다.  심각한 보안 위험이 될 수 있는 오픈소스 종속성 오픈SSF 기여자들은 블로그에서 오픈소스 종속성을 사용하는 이점이 단점을 능가하는 경우가 종종 있지만 상당한 위험이 발생할 수 있다며, “간단한 종속성 업데이트로 종속 프로젝트가 중단될 수 있다. 또한 다른 소프트웨어처럼 종속성에 취약성이 있거나 하이재킹되어 이를 사용하는 프로젝트에 영향을 줄 수 있다”라고 썼다. 리눅스 재단의 오픈소스 공급망 보안 부문 이사 데이비드 A. 휠러는 CSO에 개발자의 오픈소스 종속성 사용으로 인한 가장 큰 보안 위험이 직간접 종속성의 취약성이 지닌 파괴력을 과소평가하는 것이라고 지적했다. 휠러는 “결함은 모든 소프트웨어에서 발생할 수 있다. 주의를 기울이지 않으면 공급망에 심각한 영향을 미칠 수 있다. 종속성은 보이지 않는 경우가 빈번하며, 개발자나 조직은 스택의 모든 레이어를 볼 수 없다. 소프트웨어 재사용을 중단한다고 해서 해결되는 문제가 아니다. 소프트웨어를 현명하게 재사용하면서 취약점이 발견됐을 때 구성요소를 업데이트할 준비를 하고 있어야 한다”라고 덧붙였다. 그러나 효율적인 종속성 보안 전략...

2022.09.07

클라우드의 데이터 지배자 '아파치 아이스버그'

클라우드의 등장으로 데이터 팀이 방대한 양의 데이터를 수집해 적절한 비용으로 저장할 수 있게 되면서 데이터 레이크, 데이터 메시 및 기타 현대적 아키텍처를 활용하는 새로운 분석 사용 사례를 향한 문이 열렸다. 그러나 데이터의 크기가 매우 큰 경우 일반적인 데이터 스토리지 역시 데이터의 액세스와 관리, 사용 방법 측면에서 어려움과 한계가 있다.   클라우드의 일반적인 블롭 스토리지 시스템에는 파일 간의 관계나 테이블 대응을 보여주는 데 필요한 정보가 없어 쿼리 엔진의 작업이 훨씬 더 어렵다. 또한 파일 자체로 인해 테이블의 스키마를 변경하거나 테이블을 건너 “시간 이동(time travel)”을 하기도 쉽지 않다. 각 쿼리 엔진은 파일을 쿼리하는 방법에 관한 자체적인 시야가 있어야 한다. 얼핏 구현하기 쉬워 보였던 데이터 아키텍처가 어느 순간 예상보다 어려워지는 지점이다. 이런 경우에 테이블 형식을 데이터에 적용하는 방법이 매우 유용하다. 테이블 형식은 테이블, 테이블의 메타데이터, 테이블을 구성하는 파일을 명시적으로 정의한다. 데이터를 읽을 때 스키마를 적용하는 것이 아니라, 쿼리가 실행되기 전에 클라이언트가 이미 스키마를 알고 있다. 또한 테이블 메타데이터는 더 세부적인 분할이 가능한 방식으로 저장할 수 있다. 따라서 데이터에 테이블 형식을 적용하면 다음과 같은 여러 이점이 있다.   필터링 또는 파티셔닝의 개선을 통한 더 빠른 성능 쉬운 스키마 진화 테이블을 건너 “시간 이동”을 해서 특정 시점의 데이터를 볼 수 있는 기능 테이블 ACID 규정 준수   아이스버그의 강점 데이터 형식에 따라 기능이 활성화되거나 제한되므로 사용할 데이터 형식을 선택하는 것은 중요한 의사 결정이다. 이때 개방형 데이터 테이블 포맷인 아파치 아이스버그(Apache Iceberg)를 눈여겨볼 필요가 있다. 지난 20년에 걸쳐 탄탄한 지지 기반을 구축했다. 아파치 아이스버그는 넷플릭스가 처음 개발해 2018년 아파치 인큐베이터 프로젝트로 ...

아파치 아이스버그 Apache Iceberg

2022.08.29

클라우드의 등장으로 데이터 팀이 방대한 양의 데이터를 수집해 적절한 비용으로 저장할 수 있게 되면서 데이터 레이크, 데이터 메시 및 기타 현대적 아키텍처를 활용하는 새로운 분석 사용 사례를 향한 문이 열렸다. 그러나 데이터의 크기가 매우 큰 경우 일반적인 데이터 스토리지 역시 데이터의 액세스와 관리, 사용 방법 측면에서 어려움과 한계가 있다.   클라우드의 일반적인 블롭 스토리지 시스템에는 파일 간의 관계나 테이블 대응을 보여주는 데 필요한 정보가 없어 쿼리 엔진의 작업이 훨씬 더 어렵다. 또한 파일 자체로 인해 테이블의 스키마를 변경하거나 테이블을 건너 “시간 이동(time travel)”을 하기도 쉽지 않다. 각 쿼리 엔진은 파일을 쿼리하는 방법에 관한 자체적인 시야가 있어야 한다. 얼핏 구현하기 쉬워 보였던 데이터 아키텍처가 어느 순간 예상보다 어려워지는 지점이다. 이런 경우에 테이블 형식을 데이터에 적용하는 방법이 매우 유용하다. 테이블 형식은 테이블, 테이블의 메타데이터, 테이블을 구성하는 파일을 명시적으로 정의한다. 데이터를 읽을 때 스키마를 적용하는 것이 아니라, 쿼리가 실행되기 전에 클라이언트가 이미 스키마를 알고 있다. 또한 테이블 메타데이터는 더 세부적인 분할이 가능한 방식으로 저장할 수 있다. 따라서 데이터에 테이블 형식을 적용하면 다음과 같은 여러 이점이 있다.   필터링 또는 파티셔닝의 개선을 통한 더 빠른 성능 쉬운 스키마 진화 테이블을 건너 “시간 이동”을 해서 특정 시점의 데이터를 볼 수 있는 기능 테이블 ACID 규정 준수   아이스버그의 강점 데이터 형식에 따라 기능이 활성화되거나 제한되므로 사용할 데이터 형식을 선택하는 것은 중요한 의사 결정이다. 이때 개방형 데이터 테이블 포맷인 아파치 아이스버그(Apache Iceberg)를 눈여겨볼 필요가 있다. 지난 20년에 걸쳐 탄탄한 지지 기반을 구축했다. 아파치 아이스버그는 넷플릭스가 처음 개발해 2018년 아파치 인큐베이터 프로젝트로 ...

2022.08.29

칼럼ㅣ오픈소스 리더십, 구글에 도움이 될까?

구글이 오픈소스 프로젝트에 얼마나 매진하는지는 깃허브 기여자 수에서 드러난다. 한편 AWS의 전략은 고객들이 오픈소스를 사용하기 쉽게 만드는 것이다. 누가 이기고 있는가?   구글의 오픈소스 사랑은 공공연하다. 필자는 이 회사의 오픈소스 부문 책임자 크리스 디보나가 더 많은 일을 해야 한다고 언급한 적 있긴 하지만 구글만큼 오픈소스에 많이 기여하는 회사가 없다는 게 현실이다. 이는 오픈소스 기여 지수(Open Source Contributor Index; OCSI)에서 알 수 있다. 2022년 7월 깃허브의 오픈소스 프로젝트에 기여한 총직원 수에서 구글은 마이크로소프트를 앞질렀다.   물론 이는 드루팔(Drupal; PHP 기반의 오픈소스 CMS 서비스) 등의 큰 프로젝트를 포함하지 않는 깃허브의 데이터일 뿐이다. 또한 직원들의 회사 정보 입력 여부나 간단하게는 리포지토리 위생(repository hygiene)에 따라 달라질 수 있다. 그렇다. 이는 오픈소스 기여 데이터를 물어보기에 적절한 질문이 아니다. 진짜 질문은 ‘오픈소스 기여가 중요한지 여부’여야 한다.  진입로에서 어디로? 일반적으로 오픈소스는 ‘다른 것이 섞이지 않은(unalloyed)’ 제품으로 간주된다. 그렇지 않은가? 어찌 됐든 오픈소스는 좋다. 예를 들면 커뮤니티 중심의 쿠버네티스를 제공하는 것은 코드로 협업하는 좋은 방법이다. 이는 또한 채용하거나 일자리를 구할 수 있는 좋은 방법이다. 아울러 경쟁사 유료 제품의 무료 대안을 만들어 경쟁사를 약화시키는 중요한 방법이기도 하다. 하지만 오픈소스가 무너질 수 있는 곳이기도 하다.    필자는 지난 2017년 ‘오픈소스 진입로(open source on-ramps)’에 관해 이야기한 바 있다. 이는 클라우드 서비스를 보완하는 오픈소스화의 관행이다. 특히 구글은 이 작업을 매우 잘 수행했다. 브루킹스 연구소(Brookings Institution)의 연구원 알렉스 잉글러는 “구글과 페이스북이 ...

오픈소스 구글 AWS 마이크로소프트 깃허브 기여자

2022.08.16

구글이 오픈소스 프로젝트에 얼마나 매진하는지는 깃허브 기여자 수에서 드러난다. 한편 AWS의 전략은 고객들이 오픈소스를 사용하기 쉽게 만드는 것이다. 누가 이기고 있는가?   구글의 오픈소스 사랑은 공공연하다. 필자는 이 회사의 오픈소스 부문 책임자 크리스 디보나가 더 많은 일을 해야 한다고 언급한 적 있긴 하지만 구글만큼 오픈소스에 많이 기여하는 회사가 없다는 게 현실이다. 이는 오픈소스 기여 지수(Open Source Contributor Index; OCSI)에서 알 수 있다. 2022년 7월 깃허브의 오픈소스 프로젝트에 기여한 총직원 수에서 구글은 마이크로소프트를 앞질렀다.   물론 이는 드루팔(Drupal; PHP 기반의 오픈소스 CMS 서비스) 등의 큰 프로젝트를 포함하지 않는 깃허브의 데이터일 뿐이다. 또한 직원들의 회사 정보 입력 여부나 간단하게는 리포지토리 위생(repository hygiene)에 따라 달라질 수 있다. 그렇다. 이는 오픈소스 기여 데이터를 물어보기에 적절한 질문이 아니다. 진짜 질문은 ‘오픈소스 기여가 중요한지 여부’여야 한다.  진입로에서 어디로? 일반적으로 오픈소스는 ‘다른 것이 섞이지 않은(unalloyed)’ 제품으로 간주된다. 그렇지 않은가? 어찌 됐든 오픈소스는 좋다. 예를 들면 커뮤니티 중심의 쿠버네티스를 제공하는 것은 코드로 협업하는 좋은 방법이다. 이는 또한 채용하거나 일자리를 구할 수 있는 좋은 방법이다. 아울러 경쟁사 유료 제품의 무료 대안을 만들어 경쟁사를 약화시키는 중요한 방법이기도 하다. 하지만 오픈소스가 무너질 수 있는 곳이기도 하다.    필자는 지난 2017년 ‘오픈소스 진입로(open source on-ramps)’에 관해 이야기한 바 있다. 이는 클라우드 서비스를 보완하는 오픈소스화의 관행이다. 특히 구글은 이 작업을 매우 잘 수행했다. 브루킹스 연구소(Brookings Institution)의 연구원 알렉스 잉글러는 “구글과 페이스북이 ...

2022.08.16

‘협업’ 레벨 업··· 오픈소스 프로젝트 8선

오늘날 디지털 워크스페이스의 핵심은 ‘협업’이다. 게다가 수많은 팀이 원격으로 이동하면서 혁신적인 (협업) 도구의 필요성은 그 어느 때보다 커지고 있다. 여기서는 분산된 팀, 홈 오피스, 최신 하이브리드 워크플레이스에 상관없이 가상 협업을 한 단계 끌어올릴 수 있는 8가지 오픈소스 프로젝트를 소개한다.     짓시(Jitsi) 코로나19 팬데믹은 끝날 수도 있고 끝나지 않을 수도 있지만 어찌 됐든 이제 원격근무와 화상통화는 하나의 일상으로 자리 잡았다. ‘짓시’는 브라우저-측 코드와 서버-측 브릿지를 모두 제공하는 오픈소스 프로젝트다. 이를 통해 줌(Zoom)이나 구글 미트(Google Meet)를 쓸 필요 없이 통화를 호스팅할 수 있다.  줄립(Zulip) 또한 대부분의 팀은 실시간으로 그리고 비동기적으로 업무를 논의할 방법이 필요하다. ‘줄립’은 이에 적합한 메시징 플랫폼이다. 슬랙(Slack)의 오픈소스 대안인 줄립을 사용하면 코드를 제어할 수 있다. 주요 스마트폰 및 데스크톱 플랫폼용 맞춤형 앱도 제공된다.  매터모스트(Mattermost) ‘매터모스트’는 팀 간의 커뮤니케이션을 지원하는 또 다른 자체 호스팅 메시지 도구다. 특히 소프트웨어 개발을 위해 설계됐다. 이 오픈소스 프로젝트는 커뮤니티가 활성화돼 있으며, 해당 커뮤니티는 메시지 흐름을 안전하기 관리하기 위한 서버를 구축했다. 매터모스트의 차별점은 체크리스트, 코딩 회고 등 전문 기능이 포함된 소프트웨어 개발 플레이북 모음이다. 아울러 이는 웹 애플리케이션 및 모바일 도구로도 사용할 수 있다.  신닷인(Cyn.in) 공유 공간이 필요한 프로젝트라면 이 오픈소스 프로젝트에 주목할 필요가 있다. 이는 IRL 프로젝트 랩 또는 ‘워룸(war room; 프로젝트를 진행하는 모든 사람을 한데 모아 의사소통하고 논의하는 곳)’에서 경험할 수 있는 공유 액세스를 복제한다. 커뮤니티 에디션은 위키 및 협업 파일 저장소 등의 데이터 공유 기능을 제공한다. 콘...

협업 오픈소스 원격근무 재택근무 하이브리드 근무 가상 협업

2022.08.16

오늘날 디지털 워크스페이스의 핵심은 ‘협업’이다. 게다가 수많은 팀이 원격으로 이동하면서 혁신적인 (협업) 도구의 필요성은 그 어느 때보다 커지고 있다. 여기서는 분산된 팀, 홈 오피스, 최신 하이브리드 워크플레이스에 상관없이 가상 협업을 한 단계 끌어올릴 수 있는 8가지 오픈소스 프로젝트를 소개한다.     짓시(Jitsi) 코로나19 팬데믹은 끝날 수도 있고 끝나지 않을 수도 있지만 어찌 됐든 이제 원격근무와 화상통화는 하나의 일상으로 자리 잡았다. ‘짓시’는 브라우저-측 코드와 서버-측 브릿지를 모두 제공하는 오픈소스 프로젝트다. 이를 통해 줌(Zoom)이나 구글 미트(Google Meet)를 쓸 필요 없이 통화를 호스팅할 수 있다.  줄립(Zulip) 또한 대부분의 팀은 실시간으로 그리고 비동기적으로 업무를 논의할 방법이 필요하다. ‘줄립’은 이에 적합한 메시징 플랫폼이다. 슬랙(Slack)의 오픈소스 대안인 줄립을 사용하면 코드를 제어할 수 있다. 주요 스마트폰 및 데스크톱 플랫폼용 맞춤형 앱도 제공된다.  매터모스트(Mattermost) ‘매터모스트’는 팀 간의 커뮤니케이션을 지원하는 또 다른 자체 호스팅 메시지 도구다. 특히 소프트웨어 개발을 위해 설계됐다. 이 오픈소스 프로젝트는 커뮤니티가 활성화돼 있으며, 해당 커뮤니티는 메시지 흐름을 안전하기 관리하기 위한 서버를 구축했다. 매터모스트의 차별점은 체크리스트, 코딩 회고 등 전문 기능이 포함된 소프트웨어 개발 플레이북 모음이다. 아울러 이는 웹 애플리케이션 및 모바일 도구로도 사용할 수 있다.  신닷인(Cyn.in) 공유 공간이 필요한 프로젝트라면 이 오픈소스 프로젝트에 주목할 필요가 있다. 이는 IRL 프로젝트 랩 또는 ‘워룸(war room; 프로젝트를 진행하는 모든 사람을 한데 모아 의사소통하고 논의하는 곳)’에서 경험할 수 있는 공유 액세스를 복제한다. 커뮤니티 에디션은 위키 및 협업 파일 저장소 등의 데이터 공유 기능을 제공한다. 콘...

2022.08.16

기고 | 클라우드가 데이터베이스를 삼켜버렸다

레거시 데이터베이스 벤더들이 잠식당하고 있다. 신예들이 제공하는 오픈소스와 클라우드의 개발자 친화적 콤보에 의해서다. 오라클(Oracle)이 세계 최대의 데이터베이스 제공업체라고 생각하는 사람도 있을 것이다. 사실 오라클은 수십년 동안 그렇게 주장했다. 하지만 더 이상은 그렇지 않다. 가트너가 2022년 보고서에서 밝혔듯이 마이크로소프트가 세계 최대의 데이터베이스 제공업체이며, AWS가 오라클을 제치고 2위를 차지하고 있다. 오라클이 아직 3위를 차지하고 있지만 지난 2년 동안 매년 입지가 좁아졌다. 구글이 4위를 차지하고 있다. 데이터베이스 시장에서 이런 구조적 변화가 발생한 이유는 무엇일까? 클라우드이다. 최근 가트너의 머브 에이드리언은 “데이터베이스 시장이 클라우드로 이동하면서 매출 지형에 엄청난 변화가 나타나고 있다”라고 전했다. 사실이기는 하지만 한때 지루했던 데이터베이스 시장을 뒤흔든 주인공은 클라우드만이 아니다. 오픈소스와 클라우드의 조합으로 인해 우리가 데이터를 관리하는 방식이 (아마도 영원히) 바뀌었다고 말할 수 있겠다. 레거시 데이터베이스에 대한 원투 펀치 이유를 알고 싶은 레거시 제공업체라면, 개발자들만 보아도 된다. 몇 년 동안 기업들은 오라클, 마이크로소프트, IBM의 데이터베이스 삼인방에게 세금을 납부해왔다. 개발자들은 어쩔 수 없이 구매 부서가 승인한 것을 사용해야 했다. 최소한 오픈소스가 등장할 때까지는 그랬다. 포스트그레SQL의 첫번째 버전은 1986년에 공개됐으며, 10년이 채 되지 않은 1995년에 MySQL이 등장했다. 둘 다 최소한 전통적인 워크로드에 요구되는 것을 대신하지 못했다. 하지만 MySQL은 초기부터 스마트한 경로를 선택하여 일련의 새로운 애플리케이션을 지원하고 개발자들이 초기 웹 사이트 구축에 사용하던 유명한 LAMP(Linux, Apache, MySQL, PhP/Perl/Python) 스택에서 ‘M’이 되었다. 한편, 오라클, SQL 서버, DB2는 기업에 ‘중요한’ 워크로드를 지속적으로 운용했다.&n...

데이터베이스 오라클 MySQL 포스트그레SQL

2022.08.10

레거시 데이터베이스 벤더들이 잠식당하고 있다. 신예들이 제공하는 오픈소스와 클라우드의 개발자 친화적 콤보에 의해서다. 오라클(Oracle)이 세계 최대의 데이터베이스 제공업체라고 생각하는 사람도 있을 것이다. 사실 오라클은 수십년 동안 그렇게 주장했다. 하지만 더 이상은 그렇지 않다. 가트너가 2022년 보고서에서 밝혔듯이 마이크로소프트가 세계 최대의 데이터베이스 제공업체이며, AWS가 오라클을 제치고 2위를 차지하고 있다. 오라클이 아직 3위를 차지하고 있지만 지난 2년 동안 매년 입지가 좁아졌다. 구글이 4위를 차지하고 있다. 데이터베이스 시장에서 이런 구조적 변화가 발생한 이유는 무엇일까? 클라우드이다. 최근 가트너의 머브 에이드리언은 “데이터베이스 시장이 클라우드로 이동하면서 매출 지형에 엄청난 변화가 나타나고 있다”라고 전했다. 사실이기는 하지만 한때 지루했던 데이터베이스 시장을 뒤흔든 주인공은 클라우드만이 아니다. 오픈소스와 클라우드의 조합으로 인해 우리가 데이터를 관리하는 방식이 (아마도 영원히) 바뀌었다고 말할 수 있겠다. 레거시 데이터베이스에 대한 원투 펀치 이유를 알고 싶은 레거시 제공업체라면, 개발자들만 보아도 된다. 몇 년 동안 기업들은 오라클, 마이크로소프트, IBM의 데이터베이스 삼인방에게 세금을 납부해왔다. 개발자들은 어쩔 수 없이 구매 부서가 승인한 것을 사용해야 했다. 최소한 오픈소스가 등장할 때까지는 그랬다. 포스트그레SQL의 첫번째 버전은 1986년에 공개됐으며, 10년이 채 되지 않은 1995년에 MySQL이 등장했다. 둘 다 최소한 전통적인 워크로드에 요구되는 것을 대신하지 못했다. 하지만 MySQL은 초기부터 스마트한 경로를 선택하여 일련의 새로운 애플리케이션을 지원하고 개발자들이 초기 웹 사이트 구축에 사용하던 유명한 LAMP(Linux, Apache, MySQL, PhP/Perl/Python) 스택에서 ‘M’이 되었다. 한편, 오라클, SQL 서버, DB2는 기업에 ‘중요한’ 워크로드를 지속적으로 운용했다.&n...

2022.08.10

메가존클라우드, ‘제16회 공개SW 개발자대회’ 후원

메가존클라우드(www.megazone.com)는 과학기술정보통신부가 개최하는 ‘제16회 공개SW 개발자대회’에 후원기업으로 참여하며 국내 오픈소스 생태계 활성화와 인재 육성을 지원한다고 3일 밝혔다. 이번 대회에 기업형 지정 과제를 제시하며 대회 참가자 대상으로 멘토링 및 교육 과정을 후원할 예정이다.   ‘공개SW 개발자대회’는 국내 공개소프트웨어 개발자의 발굴 및 육성을 목적으로 매년 개최되며 올해로 16회를 맞이한다. 이번 대회는 7월 4일부터 8월 3일까지 정보통신산업진흥원의 공개SW 포털에서 대회 참가자를 모집한다. 공개소프트웨어(오픈소스)에 관심이 있는 누구든 참가할 수 있다. 대회 참가자는 공개소프트웨어의 기본 개념 및 심화 개발에 관한 온라인 강의와 멘토링 기회를 제공받으며, 프로젝트 기획·개발·구현·협업에 달하는 일련의 개발 과정과 테스트·라이선스 검증 등을 포함한 공개소프트웨어 개발 프로세스를 경험할 수 있다. 이번 대회 과제는 ▲자유과제(클라우드·인공지능·빅데이터 등 신기술 부문)와 주제가 정해진 ▲지정과제(기업형·사회문제형), 이전 출품작의 성능과 기능을 고도화하는 ▲향상 과제 등 세 가지 부문으로 나뉜다. 지정과제는 공개SW기업이 지정하는 기업형(클라우드·개방형OS) 과제와 사회문제(건강·환경·생활·안전 등) 해결 과제로 구분된다. 메가존클라우드는 클라우드 관리(MSP: Managed Service Provider) 전문기업으로서 기업형 지정 과제 부문에 후원기업으로 참여한다. 과제에는 메가존클라우드가 7월 25일 정식 출시한 스페이스원(SpaceONE)이 제시된다. 스페이스원은 오픈소스 기반으로 개발된 CMP(Cloud Management Platform) 솔루션으로, 멀티·하이브리드 클라우드 인프라를 효율적으로 운영·관리할 수 있도록 지원한다. 스페이스원은 오픈소스 기반의 솔루션이기 때문에 국내뿐 아니라 해외 시장 진출에 용이하다는 장점이 있다고 업체 측은 설명했다. 메가존클라우드의 스페이스원을 활용해 개발 과제를...

메가존클라우드

2022.08.03

메가존클라우드(www.megazone.com)는 과학기술정보통신부가 개최하는 ‘제16회 공개SW 개발자대회’에 후원기업으로 참여하며 국내 오픈소스 생태계 활성화와 인재 육성을 지원한다고 3일 밝혔다. 이번 대회에 기업형 지정 과제를 제시하며 대회 참가자 대상으로 멘토링 및 교육 과정을 후원할 예정이다.   ‘공개SW 개발자대회’는 국내 공개소프트웨어 개발자의 발굴 및 육성을 목적으로 매년 개최되며 올해로 16회를 맞이한다. 이번 대회는 7월 4일부터 8월 3일까지 정보통신산업진흥원의 공개SW 포털에서 대회 참가자를 모집한다. 공개소프트웨어(오픈소스)에 관심이 있는 누구든 참가할 수 있다. 대회 참가자는 공개소프트웨어의 기본 개념 및 심화 개발에 관한 온라인 강의와 멘토링 기회를 제공받으며, 프로젝트 기획·개발·구현·협업에 달하는 일련의 개발 과정과 테스트·라이선스 검증 등을 포함한 공개소프트웨어 개발 프로세스를 경험할 수 있다. 이번 대회 과제는 ▲자유과제(클라우드·인공지능·빅데이터 등 신기술 부문)와 주제가 정해진 ▲지정과제(기업형·사회문제형), 이전 출품작의 성능과 기능을 고도화하는 ▲향상 과제 등 세 가지 부문으로 나뉜다. 지정과제는 공개SW기업이 지정하는 기업형(클라우드·개방형OS) 과제와 사회문제(건강·환경·생활·안전 등) 해결 과제로 구분된다. 메가존클라우드는 클라우드 관리(MSP: Managed Service Provider) 전문기업으로서 기업형 지정 과제 부문에 후원기업으로 참여한다. 과제에는 메가존클라우드가 7월 25일 정식 출시한 스페이스원(SpaceONE)이 제시된다. 스페이스원은 오픈소스 기반으로 개발된 CMP(Cloud Management Platform) 솔루션으로, 멀티·하이브리드 클라우드 인프라를 효율적으로 운영·관리할 수 있도록 지원한다. 스페이스원은 오픈소스 기반의 솔루션이기 때문에 국내뿐 아니라 해외 시장 진출에 용이하다는 장점이 있다고 업체 측은 설명했다. 메가존클라우드의 스페이스원을 활용해 개발 과제를...

2022.08.03

클라우데라, CDP 아파치 아이스버그 출시

클라우데라(kr.cloudera.com)는 아파치 아이스버그(Apache Iceberg)를 클라우데라 데이터 플랫폼(CDP)에서 공식 출시했다고 2일 발표했다. 아이스버그는 아파치 소프트웨어 재단(ASF)에서 개발된 100% 개방형 테이블 포맷으로, 사용자가 공급업체에 종속되지 않는 장점이 있다. 공식 버전은 클라우데라 데이터 플랫폼(CDP)의 주요 데이터 서비스인 클라우데라 데이터 웨어하우스(CDW), 클라우데라 데이터 엔지니어링(CDE), 클라우데라 머신 러닝(CML) 등에서 사용할 수 있다.   이 서비스로 애널리스트와 데이터 사이언티스트는 자유롭게 분석 엔진과 도구를 선택해 같은 데이터 상에서 쉽게 협업하는 것이 가능해졌다. 또한 기업은 별다른 사전 작업이나 공급업체 종속, 불필요한 데이터 변환, 그리고 클라우드와 도구 간의 데이터 이동 없이 아이스버그로 데이터에서 인사이트를 도출할 수 있다. CDP는 개방형 데이터 레이크하우스를 제공하는 첫 하이브리드 데이터 플랫폼으로서 여러 클라우드와 온프레미스에서 클라우드 네이티브 개체 저장소의 스트리밍과 저장된 데이터에 대한 페타바이트 규모의 다기능 분석을 제공한다. 이를 통해 사용자는 선호하는 분석 도구를 자유롭게 선택할 수 있다. 개방형 데이터 레이크하우스를 도입한 기업은 데이터 스케일링에 대한 걱정 없이 온프레미스나 퍼블릭 클라우드 간의 애플리케이션 상호운용성과 휴대성을 확보할 수 있다. 또한 기업은 CDP에 기본 내장된 SDX(Shared Data Experience)를 통해 모든 자사 데이터 상에서 공통 메타데이터와 보안, 그리고 거버넌스 모델을 활용할 수 있다. 아파치 아이스버그는 단일 명령으로 스키마와 파티션 변경을 포괄하는 인플레이스 테이블 에볼루션을 지원한다. 포렌식 가시성과 규정 준수 기능을 위해 특정 시점 쿼리를 활용하는 시점 이동도 지원된다. 또한 엣지에서 AI에 이르는 종단 간 데이터 라이프사이클 요구사항을 제공하는 동시 다기능 분석 기능도 제공된다.  클라우...

클라우데라

2022.08.02

클라우데라(kr.cloudera.com)는 아파치 아이스버그(Apache Iceberg)를 클라우데라 데이터 플랫폼(CDP)에서 공식 출시했다고 2일 발표했다. 아이스버그는 아파치 소프트웨어 재단(ASF)에서 개발된 100% 개방형 테이블 포맷으로, 사용자가 공급업체에 종속되지 않는 장점이 있다. 공식 버전은 클라우데라 데이터 플랫폼(CDP)의 주요 데이터 서비스인 클라우데라 데이터 웨어하우스(CDW), 클라우데라 데이터 엔지니어링(CDE), 클라우데라 머신 러닝(CML) 등에서 사용할 수 있다.   이 서비스로 애널리스트와 데이터 사이언티스트는 자유롭게 분석 엔진과 도구를 선택해 같은 데이터 상에서 쉽게 협업하는 것이 가능해졌다. 또한 기업은 별다른 사전 작업이나 공급업체 종속, 불필요한 데이터 변환, 그리고 클라우드와 도구 간의 데이터 이동 없이 아이스버그로 데이터에서 인사이트를 도출할 수 있다. CDP는 개방형 데이터 레이크하우스를 제공하는 첫 하이브리드 데이터 플랫폼으로서 여러 클라우드와 온프레미스에서 클라우드 네이티브 개체 저장소의 스트리밍과 저장된 데이터에 대한 페타바이트 규모의 다기능 분석을 제공한다. 이를 통해 사용자는 선호하는 분석 도구를 자유롭게 선택할 수 있다. 개방형 데이터 레이크하우스를 도입한 기업은 데이터 스케일링에 대한 걱정 없이 온프레미스나 퍼블릭 클라우드 간의 애플리케이션 상호운용성과 휴대성을 확보할 수 있다. 또한 기업은 CDP에 기본 내장된 SDX(Shared Data Experience)를 통해 모든 자사 데이터 상에서 공통 메타데이터와 보안, 그리고 거버넌스 모델을 활용할 수 있다. 아파치 아이스버그는 단일 명령으로 스키마와 파티션 변경을 포괄하는 인플레이스 테이블 에볼루션을 지원한다. 포렌식 가시성과 규정 준수 기능을 위해 특정 시점 쿼리를 활용하는 시점 이동도 지원된다. 또한 엣지에서 AI에 이르는 종단 간 데이터 라이프사이클 요구사항을 제공하는 동시 다기능 분석 기능도 제공된다.  클라우...

2022.08.02

마이크로소프트의 오픈소스 SBOM 생성기 살펴보기

솔라윈즈(SolarWinds) 해킹 사건 이후, 기업은 CI/CD를 도입하는 과정에서 확인해야 할 것이 많아졌다. 사용자에게 배포하는 소프트웨어를 의도한 대로 구축하려면 어떻게 해야 하는가? 코드의 의존성이 모두 원하는 형태로 나타났는가? 서드파티 모듈을 사용하면 기대한 결과를 얻을 수 있는가? 같은 질문을 던져야 하는 것이다.    겹겹이 쌓인 코드와 의존성으로 시스템은 점점 복잡해지고 있다. 거기다 현대 시대의 개발자는 공개된 소스코드를 활용한다. 남이 만든 코드이지만 사람들은 그 소스코드를 있는 그대로 신뢰한다. 하이퍼텍스트라는 용어를 고안한 걸로 유명한 옥스포드대 교수 테드 넬슨의 표현처럼, 모든 기술이 이제 서로 심층적으로 얽히고설켜 있는 것이다. 이때 소스코드의 신뢰를 확인하기 위한 방안으로 SBOM이 떠오르고 있다.    SBOM이 필요한 이유 솔라윈즈 해킹 사건이 일어난 후 미국 행정부는 국가 사이버 보안을 높이겠다는 행정명령을 따로 발표하고 미 국립 표준기술연구소(National Institute of Standards and Technology)에게 관련 지침을 개발 및 배포하라고 지시했다. 해당 지침은 소프트웨어 공급망, 모듈 네트워크, 코드 개발에 사용되는 구성요소의 보안을 강화하는 방안을 골자로 하고 있으며, 현재 외부에 공개된 상태다. 이 문서는 기업에게 코드와 함께 소프트웨어 명세서(Software Bill of Material, SBOM)를 함께 제시하라고 요청하고 있다.  사실 SBOM은 새로운 것이 아니다. 마이크로소프트를 포함한 많은 기업이 기술 상세 정보를 사용자에게 제공하고 있었다. 대신 표준화된 문서는 없었으며, 기업마다 그 구조가 다 달랐고, 기계가 판독할 수 없는 형태이기도 했다. 그래서 마이크로소프트는 SBOM 스키마 표준을 개발하기 CISQ(Consortium for Information and Software Quality)라는 그룹과 협력했다. 미 정부가 SBO...

SBOM 오픈소스

2022.08.02

솔라윈즈(SolarWinds) 해킹 사건 이후, 기업은 CI/CD를 도입하는 과정에서 확인해야 할 것이 많아졌다. 사용자에게 배포하는 소프트웨어를 의도한 대로 구축하려면 어떻게 해야 하는가? 코드의 의존성이 모두 원하는 형태로 나타났는가? 서드파티 모듈을 사용하면 기대한 결과를 얻을 수 있는가? 같은 질문을 던져야 하는 것이다.    겹겹이 쌓인 코드와 의존성으로 시스템은 점점 복잡해지고 있다. 거기다 현대 시대의 개발자는 공개된 소스코드를 활용한다. 남이 만든 코드이지만 사람들은 그 소스코드를 있는 그대로 신뢰한다. 하이퍼텍스트라는 용어를 고안한 걸로 유명한 옥스포드대 교수 테드 넬슨의 표현처럼, 모든 기술이 이제 서로 심층적으로 얽히고설켜 있는 것이다. 이때 소스코드의 신뢰를 확인하기 위한 방안으로 SBOM이 떠오르고 있다.    SBOM이 필요한 이유 솔라윈즈 해킹 사건이 일어난 후 미국 행정부는 국가 사이버 보안을 높이겠다는 행정명령을 따로 발표하고 미 국립 표준기술연구소(National Institute of Standards and Technology)에게 관련 지침을 개발 및 배포하라고 지시했다. 해당 지침은 소프트웨어 공급망, 모듈 네트워크, 코드 개발에 사용되는 구성요소의 보안을 강화하는 방안을 골자로 하고 있으며, 현재 외부에 공개된 상태다. 이 문서는 기업에게 코드와 함께 소프트웨어 명세서(Software Bill of Material, SBOM)를 함께 제시하라고 요청하고 있다.  사실 SBOM은 새로운 것이 아니다. 마이크로소프트를 포함한 많은 기업이 기술 상세 정보를 사용자에게 제공하고 있었다. 대신 표준화된 문서는 없었으며, 기업마다 그 구조가 다 달랐고, 기계가 판독할 수 없는 형태이기도 했다. 그래서 마이크로소프트는 SBOM 스키마 표준을 개발하기 CISQ(Consortium for Information and Software Quality)라는 그룹과 협력했다. 미 정부가 SBO...

2022.08.02

큐브리드, 오픈소스 DBMS ‘큐브리드 11.2 버전’ 출시

큐브리드(www.cubrid.com)가 자사의 오픈소스 DBMS ‘큐브리드(CUBRID)’의 확장성을 강화하고 오라클 호환성을 개선한 ‘큐브리드 11.2 버전’을 출시했다고 28일 밝혔다.   큐브리드 11.2는 데이터베이스 링크 및 서플리멘탈 로깅(supplemental logging)을 통해 동기종과 이기종 DB 간 확장성을 강화했다. 변경된 데이터 추적이 가능한 서플리멘탈 로깅 기능으로 트랜잭션별 변경된 데이터의 원복 질의를 추출할 수 있는 플래시백(flashback)이 가능해졌다. 이와 함께 오라클 호환성 개선을 위해 유저 스키마(user schema) 개념과 시노님(synonym)을 지원한다. 유저별로 동일한 테이블명을 생성할 수 있고, 타 유저의 테이블명과 뷰명을 다른 이름으로 표현할 수 있어 멀티스키마를 지원하는 오라클과 호환성을 높였다. 조건절 푸시다운(predicate pushdown)과 뷰 변환(view transformation) 등 질의 최적화(query optimization)를 개선했다. 또한, 모든 서브질의에 해시 리스트 스캔(hash list scan)이 가능하게 처리했고, JDBC의 구문 캐시를 지원했다. 큐브리드 정병주 대표는 “이번 11.2 버전은 호환성과 확장성의 향상에 중점을 두고 업그레이드가 이루어졌다”며, “클라우드 전환 관련 오픈소스 DBMS에 대한 수요가 증가하고 있는 상황에서 사용자들의 제품 요구사항을 적시에 제공함으로써 공공 시장에서의 선도자 역할에 최선을 다하겠다”고 말했다. ciokr@idg.co.kr

큐브리드

2022.07.28

큐브리드(www.cubrid.com)가 자사의 오픈소스 DBMS ‘큐브리드(CUBRID)’의 확장성을 강화하고 오라클 호환성을 개선한 ‘큐브리드 11.2 버전’을 출시했다고 28일 밝혔다.   큐브리드 11.2는 데이터베이스 링크 및 서플리멘탈 로깅(supplemental logging)을 통해 동기종과 이기종 DB 간 확장성을 강화했다. 변경된 데이터 추적이 가능한 서플리멘탈 로깅 기능으로 트랜잭션별 변경된 데이터의 원복 질의를 추출할 수 있는 플래시백(flashback)이 가능해졌다. 이와 함께 오라클 호환성 개선을 위해 유저 스키마(user schema) 개념과 시노님(synonym)을 지원한다. 유저별로 동일한 테이블명을 생성할 수 있고, 타 유저의 테이블명과 뷰명을 다른 이름으로 표현할 수 있어 멀티스키마를 지원하는 오라클과 호환성을 높였다. 조건절 푸시다운(predicate pushdown)과 뷰 변환(view transformation) 등 질의 최적화(query optimization)를 개선했다. 또한, 모든 서브질의에 해시 리스트 스캔(hash list scan)이 가능하게 처리했고, JDBC의 구문 캐시를 지원했다. 큐브리드 정병주 대표는 “이번 11.2 버전은 호환성과 확장성의 향상에 중점을 두고 업그레이드가 이루어졌다”며, “클라우드 전환 관련 오픈소스 DBMS에 대한 수요가 증가하고 있는 상황에서 사용자들의 제품 요구사항을 적시에 제공함으로써 공공 시장에서의 선도자 역할에 최선을 다하겠다”고 말했다. ciokr@idg.co.kr

2022.07.28

티맥스소프트, ‘하이퍼프레임’으로 오픈소스 미들웨어 시장 공략 강화한다

티맥스소프트가 오픈소스 기반의 통합 미들웨어 플랫폼 ‘하이퍼프레임(HyperFrame)’을 통해 오픈소스 미들웨어 시장 공략을 강화하겠다고 밝혔다.   회사에 따르면 하이퍼프레임은 웹서버, 웹애플리케이션서버, 프레임워크 등 다양한 오픈소스 미들웨어 제품들을 클라우드 환경에 최적화된 형태로 통합한 제품이다. 오픈소스의 선택, 운영, 유지보수까지 오픈소스 활용과 관련된 모든 과정을 지원한다. 고객은 오픈소스 및 클라우드와 관련된 지식·역량이 없어도 하이퍼프레임을 통해 티맥스소프트 연구소의 검증 과정을 거친 신뢰도 있는 오픈소스 SW를 선별해 사용함으로써 안정성 있는 정보시스템을 운영할 수 있다고 업체 측은 설명했다. 하이퍼프레임은 다양한 클라우드 환경에서 제공된다. 현재 네이버클라우드플랫폼, KT 클라우드, 가비아 등 국내 클라우드 서비스 제공 업체(CSP)의 마켓플레이스에 등록됐으며, 조만간 NHN클라우드, 카카오 i 클라우드에서도 만날 수 있다. 글로벌 CSP 기업들도 하이퍼프레임과의 협업을 검토하고 있다. 티맥스소프트는 하이퍼프레임을 필두로 점점 더 빠르게 확산되고 있는 공공 및 민간 시장의 오픈소스·클라우드 수요에 대응하고자 한다고 밝혔다. 티맥스소프트는 2021년 진행됐던 행정안전부와 한국지능정보사회진흥원(NIA)의 행정.공공기관 정보시스템 클라우드 전환 사업에서 하이퍼프레임을 성공적으로 공급한 바 있다. 이러한 경험을 기반으로 올해 진행되는 2022년 클라우드 전환 사업에도 적극적으로 참여할 수 있도록 준비 중이다. 아울러 하이퍼프레임의 공신력을 입증하고, 정부 및 공공기관 사업 발주 시 우선 구매 대상 자격을 얻기 위해 4분기까지 하이퍼프레임의 GS인증을 획득할 예정이다. 또한 금융권 클라우드 환경내 플랫폼 구축 등 다양한 고객 사례를 기반으로 금융, 제조, 유통 등 민간 기업 레퍼런스를 더욱 적극적으로 창출하고자 한다. 티맥스소프트는 하이퍼프레임의 시장 확산을 위한 제품 고도화의 일환으로 통합 마스터 기능을 3분기까지 추가할 ...

티맥스소프트

2022.07.25

티맥스소프트가 오픈소스 기반의 통합 미들웨어 플랫폼 ‘하이퍼프레임(HyperFrame)’을 통해 오픈소스 미들웨어 시장 공략을 강화하겠다고 밝혔다.   회사에 따르면 하이퍼프레임은 웹서버, 웹애플리케이션서버, 프레임워크 등 다양한 오픈소스 미들웨어 제품들을 클라우드 환경에 최적화된 형태로 통합한 제품이다. 오픈소스의 선택, 운영, 유지보수까지 오픈소스 활용과 관련된 모든 과정을 지원한다. 고객은 오픈소스 및 클라우드와 관련된 지식·역량이 없어도 하이퍼프레임을 통해 티맥스소프트 연구소의 검증 과정을 거친 신뢰도 있는 오픈소스 SW를 선별해 사용함으로써 안정성 있는 정보시스템을 운영할 수 있다고 업체 측은 설명했다. 하이퍼프레임은 다양한 클라우드 환경에서 제공된다. 현재 네이버클라우드플랫폼, KT 클라우드, 가비아 등 국내 클라우드 서비스 제공 업체(CSP)의 마켓플레이스에 등록됐으며, 조만간 NHN클라우드, 카카오 i 클라우드에서도 만날 수 있다. 글로벌 CSP 기업들도 하이퍼프레임과의 협업을 검토하고 있다. 티맥스소프트는 하이퍼프레임을 필두로 점점 더 빠르게 확산되고 있는 공공 및 민간 시장의 오픈소스·클라우드 수요에 대응하고자 한다고 밝혔다. 티맥스소프트는 2021년 진행됐던 행정안전부와 한국지능정보사회진흥원(NIA)의 행정.공공기관 정보시스템 클라우드 전환 사업에서 하이퍼프레임을 성공적으로 공급한 바 있다. 이러한 경험을 기반으로 올해 진행되는 2022년 클라우드 전환 사업에도 적극적으로 참여할 수 있도록 준비 중이다. 아울러 하이퍼프레임의 공신력을 입증하고, 정부 및 공공기관 사업 발주 시 우선 구매 대상 자격을 얻기 위해 4분기까지 하이퍼프레임의 GS인증을 획득할 예정이다. 또한 금융권 클라우드 환경내 플랫폼 구축 등 다양한 고객 사례를 기반으로 금융, 제조, 유통 등 민간 기업 레퍼런스를 더욱 적극적으로 창출하고자 한다. 티맥스소프트는 하이퍼프레임의 시장 확산을 위한 제품 고도화의 일환으로 통합 마스터 기능을 3분기까지 추가할 ...

2022.07.25

"개발자에 좋은 건 해커에게도..." 오픈소스 SW 공급망 보안 문제의 해법

소프트웨어 공급망 보안에 대한 권한은 누가 가져야 할까? 개발자 혹은 개발자를 지원하는 플랫폼과 보안 엔지니어링 팀? 과거에는 기업의 지원 계약 및 보안 서비스수준협약(SLA)을 어느 리눅스 배포판과 운영체제, 인프라 플랫폼으로부터 확보할지를 CIO, CISO, 또는 CTO와 담당 보안팀이 결정하곤 했다. 하지만 이후 개발자가 이 모든 일을 도커 파일(Docker Files)과 깃허브 액션(GitHub Actions)에서 처리하게 됐다. 개발자에게 상황이 ‘시프트 레프트(shift left)’했고 이전과 같은 기업 차원의 감독은 사라졌다.   오늘날에는 규정 준수 및 보안 팀이 이런 정책과 요건을 규정한다. 개발자는 이 요건을 준수하는 범주 내에서 원하는 도구를 선택할 유연성을 갖는다. 이처럼 업무가 구분되면 개발자 생산성에 가속도가 크게 붙는다. 그러나 Log4j 사태는 기업의 시스템 보안 문제에 대한 경종을 울렸다. 시프트 레프트 개발자 자율성과 생산성의 장점에도 불구하고 소프트웨어 공급망을 이루는 오픈소스 구성요소는 악성 행위자가 노리는 새로운 표적이 되고 말았다.   오픈소스는 개발자와 공격자 모두에게 좋다 네트워크 보안은 공격자 입장에서 예전보다 훨씬 더 어려운 공격 벡터가 됐다. 반면 오픈소스라면? 오픈소스 의존성 또는 라이브러리를 찾아 개입한 후 다른 모든 의존성으로 방향을 전환하면 그만이다. 공급망은 기업과 기업의 소프트웨어 산출물 사이의 연결 고리가 중요하다. 오늘날 공격자는 바로 이 부분을 집중적으로 공략하고 있다. 기본적으로 개발자 입장에서 오픈소스 소프트웨어의 장점은 공격자 입장에서도 장점이다. 개방성: 개발자는 ‘누구나 코드를 볼 수 있고 누구나 코드에 기여할 수 있다’는 점을 좋아한다. 리누스 토발스의 말처럼 “지켜보는 눈이 많으면 모든 버그는 잡아내기 쉬워지고” 이는 오픈소스의 큰 장점이다. 반면 공격자는 ‘깃허브 계정이 있는 사람이라면 누구나 필수 라이브러리에 코드에 기여할 수 있다’는 점을 대단히 좋아한다...

오픈소스 보안

2022.07.25

소프트웨어 공급망 보안에 대한 권한은 누가 가져야 할까? 개발자 혹은 개발자를 지원하는 플랫폼과 보안 엔지니어링 팀? 과거에는 기업의 지원 계약 및 보안 서비스수준협약(SLA)을 어느 리눅스 배포판과 운영체제, 인프라 플랫폼으로부터 확보할지를 CIO, CISO, 또는 CTO와 담당 보안팀이 결정하곤 했다. 하지만 이후 개발자가 이 모든 일을 도커 파일(Docker Files)과 깃허브 액션(GitHub Actions)에서 처리하게 됐다. 개발자에게 상황이 ‘시프트 레프트(shift left)’했고 이전과 같은 기업 차원의 감독은 사라졌다.   오늘날에는 규정 준수 및 보안 팀이 이런 정책과 요건을 규정한다. 개발자는 이 요건을 준수하는 범주 내에서 원하는 도구를 선택할 유연성을 갖는다. 이처럼 업무가 구분되면 개발자 생산성에 가속도가 크게 붙는다. 그러나 Log4j 사태는 기업의 시스템 보안 문제에 대한 경종을 울렸다. 시프트 레프트 개발자 자율성과 생산성의 장점에도 불구하고 소프트웨어 공급망을 이루는 오픈소스 구성요소는 악성 행위자가 노리는 새로운 표적이 되고 말았다.   오픈소스는 개발자와 공격자 모두에게 좋다 네트워크 보안은 공격자 입장에서 예전보다 훨씬 더 어려운 공격 벡터가 됐다. 반면 오픈소스라면? 오픈소스 의존성 또는 라이브러리를 찾아 개입한 후 다른 모든 의존성으로 방향을 전환하면 그만이다. 공급망은 기업과 기업의 소프트웨어 산출물 사이의 연결 고리가 중요하다. 오늘날 공격자는 바로 이 부분을 집중적으로 공략하고 있다. 기본적으로 개발자 입장에서 오픈소스 소프트웨어의 장점은 공격자 입장에서도 장점이다. 개방성: 개발자는 ‘누구나 코드를 볼 수 있고 누구나 코드에 기여할 수 있다’는 점을 좋아한다. 리누스 토발스의 말처럼 “지켜보는 눈이 많으면 모든 버그는 잡아내기 쉬워지고” 이는 오픈소스의 큰 장점이다. 반면 공격자는 ‘깃허브 계정이 있는 사람이라면 누구나 필수 라이브러리에 코드에 기여할 수 있다’는 점을 대단히 좋아한다...

2022.07.25

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.8