Offcanvas

������������ ������

오픈소스 SW 보안으로의 중요한 걸음, ‘OSSSMP’란?

‘리눅스 재단(Linux Foundation)’과 ‘오픈SSF(Open-Source Security Foundation; OpenSSF)’의 계획은 오픈소스 소프트웨어 보안을 개선하고 취약점을 효과적으로 해결하기 위한 3가지 목표를 제시한다.  리눅스 재단과 오픈SSF가 ‘OSSSMP(Open-Source Software Security Mobilization Plan)’를 발표했다. 이는 소프트웨어 공급망 공격에 따른 대응조치다. 공급망은 악의적인 행위자에게 매력적인 표적이다. 솔라윈즈(SolarWinds) 및 로그4j(Log4j) 공격이 보여준 것처럼 단일 지점을 공격하여 고객 생태계 전체에 연쇄적인 영향을 미칠 수 있기 때문이다.   조 바이든 미국 대통령이 지난 2021년 발표한 ‘사이버 보안 행정명령’도 소프트웨어 공급망 보안에 초점을 맞추고 있다. 이 행정명령의 ‘소프트웨어 공급망 보안 강화(Enhancing Software Supply Chain Security)’ 섹션은 베스트 프랙티스와 가이드라인에 관한 정부, 학계, 업계의 의견을 요구했다. 현재 美 NIST는 해당 정보를 공개한 상태다. 2022년 초 백악관에서 주최한 ‘소프트웨어 시큐리티 서밋(Software Security Summit)’ 참석자들은 오픈소스 소프트웨어(Open-Source software; OSS) 보안, 생태계 개선, SBOM(Software Bill Of Materials) 도입 가속화 등을 논의했다. 아울러 연방정부는 막대한 구매력을 활용하여 안전한 개발 관행을 시행하고, 정부에 소프트웨어를 판매하는 기업들이 새로운 버전의 NIST SSDF(Secure Software Development Framework)를 준수하는지 증명하도록 촉구했다.  ‘OSSSMP’는 이러한 이니셔티브의 모멘텀이 헛되지 않도록 지원한다. 여기서는 보안 리더를 위해 OSSSMP의 핵심 내용을 정리했다.  OSSSMP의 목표 이 계획에는 3가지...

오픈소스 오픈소스 보안 OSS 리눅스 재단 오픈SSF 공급망 공격 솔라윈즈 로그4j 공급망 보안 취약점 버그 현상금 데브섹옵스 애플리케이션 보안

2022.06.02

‘리눅스 재단(Linux Foundation)’과 ‘오픈SSF(Open-Source Security Foundation; OpenSSF)’의 계획은 오픈소스 소프트웨어 보안을 개선하고 취약점을 효과적으로 해결하기 위한 3가지 목표를 제시한다.  리눅스 재단과 오픈SSF가 ‘OSSSMP(Open-Source Software Security Mobilization Plan)’를 발표했다. 이는 소프트웨어 공급망 공격에 따른 대응조치다. 공급망은 악의적인 행위자에게 매력적인 표적이다. 솔라윈즈(SolarWinds) 및 로그4j(Log4j) 공격이 보여준 것처럼 단일 지점을 공격하여 고객 생태계 전체에 연쇄적인 영향을 미칠 수 있기 때문이다.   조 바이든 미국 대통령이 지난 2021년 발표한 ‘사이버 보안 행정명령’도 소프트웨어 공급망 보안에 초점을 맞추고 있다. 이 행정명령의 ‘소프트웨어 공급망 보안 강화(Enhancing Software Supply Chain Security)’ 섹션은 베스트 프랙티스와 가이드라인에 관한 정부, 학계, 업계의 의견을 요구했다. 현재 美 NIST는 해당 정보를 공개한 상태다. 2022년 초 백악관에서 주최한 ‘소프트웨어 시큐리티 서밋(Software Security Summit)’ 참석자들은 오픈소스 소프트웨어(Open-Source software; OSS) 보안, 생태계 개선, SBOM(Software Bill Of Materials) 도입 가속화 등을 논의했다. 아울러 연방정부는 막대한 구매력을 활용하여 안전한 개발 관행을 시행하고, 정부에 소프트웨어를 판매하는 기업들이 새로운 버전의 NIST SSDF(Secure Software Development Framework)를 준수하는지 증명하도록 촉구했다.  ‘OSSSMP’는 이러한 이니셔티브의 모멘텀이 헛되지 않도록 지원한다. 여기서는 보안 리더를 위해 OSSSMP의 핵심 내용을 정리했다.  OSSSMP의 목표 이 계획에는 3가지...

2022.06.02

“오픈소스가 국가안보를 위협할 수 있다” 베라코드 CTO

美 애플리케이션 보안 전문 기업 베라코드(Veracode)의 CTO와 함께 로그4j 취약점의 여파, 오픈소스 보안 문제 인식을 높이는 방법 등을 살펴본다.  지난 2021년 12월 초 수백만 개의 애플리케이션에서 사용되는 오픈소스 자바 구성요소 ‘로그4j’에서 일련의 취약점이 발견되면서 전 세계의 기업 보안팀은 비상 경계 태세에 돌입해야 했다.    이는 미국 사이버 보안 및 인프라 보안국(CISA; Cybersecurity and Infrastructure Security Agency)을 비롯해 다른 국가의 CERT(Computer Emergency Response Team)에서도 경고했을 만큼 큰 사건이었으며, 아울러 보안 및 오픈소스 소프트웨어 생태계, 개발자가 오픈소스 구성요소를 사용하고 추적하는 방법에 관한 새로운 논의를 촉발했다.  여기서는 베라코드의 설립자 겸 CTO이자 애플리케이션 보안 및 취약점 분야에서 20년 이상의 경력을 갖춘 보안 업계 베테랑인 크리스 위소팔과 ‘로그4j 취약점의 여파와 오픈소스 보안의 미래’를 주제로 나눈 대화를 정리했다. ‘로그4j’의 중요성과 여파 “로그4j는 ‘광범위하게 사용돼 거의 모든 서버에 영향을 미칠 수 있다는 점에서’ 개발팀이 일상적으로 다루는 것과는 확실히 다른 유형의 취약점이었다. 이는 거의 모든 기업에 영향을 미쳤고, 모든 기업의 여러 개발팀, 즉 회사를 위해 새로운 일을 하는 팀과 1년에 한 번 정도 코드를 변경하는 유지관리 모드에 있는 팀을 강타했다.”  “베라코드는 SaaS 업체이기 때문에 모든 고객을 살펴볼 수 있다. 작년에 스캔한 수십만 개의 애플리케이션 중에서, 특히 기업 고객을 관심 있게 살펴봤다. 95%의 기업 고객이 자바를 쓰고 있었다. 이는 자바가 얼마나 인기 있는지를 보여준다. 만약 자바에 이와 같은 취약점이 또 있다면 그 역시 널리 퍼질 것이다.” “아울러 88%는 로그4j를 사용하고, 58%는 취약한 버전을 쓴다고 답했다....

오픈소스 로그4j 보안 취약점 베라코드 오픈소스 보안 자바 SBOM

2022.05.26

美 애플리케이션 보안 전문 기업 베라코드(Veracode)의 CTO와 함께 로그4j 취약점의 여파, 오픈소스 보안 문제 인식을 높이는 방법 등을 살펴본다.  지난 2021년 12월 초 수백만 개의 애플리케이션에서 사용되는 오픈소스 자바 구성요소 ‘로그4j’에서 일련의 취약점이 발견되면서 전 세계의 기업 보안팀은 비상 경계 태세에 돌입해야 했다.    이는 미국 사이버 보안 및 인프라 보안국(CISA; Cybersecurity and Infrastructure Security Agency)을 비롯해 다른 국가의 CERT(Computer Emergency Response Team)에서도 경고했을 만큼 큰 사건이었으며, 아울러 보안 및 오픈소스 소프트웨어 생태계, 개발자가 오픈소스 구성요소를 사용하고 추적하는 방법에 관한 새로운 논의를 촉발했다.  여기서는 베라코드의 설립자 겸 CTO이자 애플리케이션 보안 및 취약점 분야에서 20년 이상의 경력을 갖춘 보안 업계 베테랑인 크리스 위소팔과 ‘로그4j 취약점의 여파와 오픈소스 보안의 미래’를 주제로 나눈 대화를 정리했다. ‘로그4j’의 중요성과 여파 “로그4j는 ‘광범위하게 사용돼 거의 모든 서버에 영향을 미칠 수 있다는 점에서’ 개발팀이 일상적으로 다루는 것과는 확실히 다른 유형의 취약점이었다. 이는 거의 모든 기업에 영향을 미쳤고, 모든 기업의 여러 개발팀, 즉 회사를 위해 새로운 일을 하는 팀과 1년에 한 번 정도 코드를 변경하는 유지관리 모드에 있는 팀을 강타했다.”  “베라코드는 SaaS 업체이기 때문에 모든 고객을 살펴볼 수 있다. 작년에 스캔한 수십만 개의 애플리케이션 중에서, 특히 기업 고객을 관심 있게 살펴봤다. 95%의 기업 고객이 자바를 쓰고 있었다. 이는 자바가 얼마나 인기 있는지를 보여준다. 만약 자바에 이와 같은 취약점이 또 있다면 그 역시 널리 퍼질 것이다.” “아울러 88%는 로그4j를 사용하고, 58%는 취약한 버전을 쓴다고 답했다....

2022.05.26

“오픈소스 보안 강화·제로트러스트 구축 간소화” 구글 클라우드, 새 서비스 공개

구글 클라우드(Google Cloud)가 오픈소스 소프트웨어 보안, 제로트러스트 아키텍처 구축 간소화 등의 문제를 해결하는 새로운 보안 서비스를 공개했다.  연례 구글 클라우드 시큐리티 서밋(Google Cloud Security Summit)에서 구글 클라우드는 새 서비스가 기업을 포함한 여러 고객이 가장 많이 쓰는 도구와 서비스의 보안을 강화하는 ‘인비저블 시큐리티(Invisible Security)’ 이니셔티브를 기반으로 한다고 밝혔다.    먼저 ‘어슈어드 오픈소스 소프트웨어(Assured Open Source Software; Assured OSS)’라는 서비스는 기업들이 오픈소스 종속성을 쉽게 관리할 수 있도록 하는 것을 목표로 한다. 구글 클라우드 시큐리티의 부사장 겸 총괄 책임자 수닐 포티는 “오늘날 오픈소스 소프트웨어의 보안 취약점을 패치하는 일은 위험한 두더지 잡기 게임처럼 느껴진다. 예를 들어 1개를 수정하면 2개가 갑자기 튀어나오기 때문”이라며, “이는 오픈소스 소프트웨어(OSS) 업체를 겨냥한 사이버 공격이 2020년부터 2021년까지 650% 증가했다는 보안 소프트웨어 회사 소나타입(Sonatype)의 연구 결과에서도 알 수 있다”라고 말했다.  구글에 따르면 ‘어슈어드 OSS’를 통해 오픈소스 소프트웨어를 쓰는 기업 사용자는 구글이 사용하는 것과 동일한 OSS 패키지를 자체 환경에 통합할 수 있다. 구글에서 큐레이션하는 이 패키지는 정기적으로 스캔, 분석, 취약점 테스트를 거치며, 구글이 보호하는 아티팩트 레지스트리(Artifact Registry)를 통해 배포된다고 포티는 설명했다. 현재 깃허브를 통해 500개 이상의 패키지를 사용할 수 있다.  이어서 그는 “계속해서 OSS 취약점을 찾고 있는 구글의 스케일은 모든 기업이 구축 및 운영하기 어려운 규모일 것”이라면서, “일반적으로 사용되는 오픈소스 프로젝트 중 550개를 계속 퍼징하고 있으며, 2022년 1월 기준으로 해당 프로...

오픈소스 보안 제로트러스트 구글 클라우드 보안 취약점 오픈소스

2022.05.18

구글 클라우드(Google Cloud)가 오픈소스 소프트웨어 보안, 제로트러스트 아키텍처 구축 간소화 등의 문제를 해결하는 새로운 보안 서비스를 공개했다.  연례 구글 클라우드 시큐리티 서밋(Google Cloud Security Summit)에서 구글 클라우드는 새 서비스가 기업을 포함한 여러 고객이 가장 많이 쓰는 도구와 서비스의 보안을 강화하는 ‘인비저블 시큐리티(Invisible Security)’ 이니셔티브를 기반으로 한다고 밝혔다.    먼저 ‘어슈어드 오픈소스 소프트웨어(Assured Open Source Software; Assured OSS)’라는 서비스는 기업들이 오픈소스 종속성을 쉽게 관리할 수 있도록 하는 것을 목표로 한다. 구글 클라우드 시큐리티의 부사장 겸 총괄 책임자 수닐 포티는 “오늘날 오픈소스 소프트웨어의 보안 취약점을 패치하는 일은 위험한 두더지 잡기 게임처럼 느껴진다. 예를 들어 1개를 수정하면 2개가 갑자기 튀어나오기 때문”이라며, “이는 오픈소스 소프트웨어(OSS) 업체를 겨냥한 사이버 공격이 2020년부터 2021년까지 650% 증가했다는 보안 소프트웨어 회사 소나타입(Sonatype)의 연구 결과에서도 알 수 있다”라고 말했다.  구글에 따르면 ‘어슈어드 OSS’를 통해 오픈소스 소프트웨어를 쓰는 기업 사용자는 구글이 사용하는 것과 동일한 OSS 패키지를 자체 환경에 통합할 수 있다. 구글에서 큐레이션하는 이 패키지는 정기적으로 스캔, 분석, 취약점 테스트를 거치며, 구글이 보호하는 아티팩트 레지스트리(Artifact Registry)를 통해 배포된다고 포티는 설명했다. 현재 깃허브를 통해 500개 이상의 패키지를 사용할 수 있다.  이어서 그는 “계속해서 OSS 취약점을 찾고 있는 구글의 스케일은 모든 기업이 구축 및 운영하기 어려운 규모일 것”이라면서, “일반적으로 사용되는 오픈소스 프로젝트 중 550개를 계속 퍼징하고 있으며, 2022년 1월 기준으로 해당 프로...

2022.05.18

칼럼|늦었지만 의미있는 한 걸음··· 오픈소스 보안 구심점 '오픈 SSF'

버그를 찾아내서 고치는 오픈소스 프로세스는 소프트웨어 보안 문제를 다루기 위해서 필요한 과정이다. 오픈소스 보안재단(OpenSSF)은 그간 산발적으로 이뤄졌던 소프트웨어 보안 노력을 조직적으로 진행할 수 있는 구심점을 제공한다.   지난 8월 오픈소스 보안재단(OpenSSF)이 출범했다. 왜 진작 생기지 않았을까? 해커들이 수년간 오픈SSL(OpenSSL), 아파치 스트럿츠(Apache Struts)를 비롯해 수많은 프로젝트의 버그를 악용하여 공격을 감행했지만 오픈소스는 제때 패치가 이뤄지지 않았다. 오픈소스 공급망을 보호하기 위해 모두가 일찍 힘을 합쳤어야 했지만 그러지 못했다. 결국 2020년이 되어서야 업계 차원에서 오픈소스 보안 문제에 조직적으로 대응하기 위해 재단이 세워졌다.  왜?  구글 제품 관리자이자 OpenSSF 이사회 위원인 킴 르완다우스키는 필자와의 인터뷰에서 “모든 사람이 오픈소스를 사용하고 있다. 보안 문제를 저마다 혹은 각각 해결할 이유가 없다”라고 전했다. 맞는 말이다. 하지만 이런 결정이 내려지기까지 왜 그렇게 오래 걸린 것일까?  나만의 일이 아니라 남의 일이다 오픈소스 보안을 둘러싼 문제점 중 하나는 어느 회사도 총대를 매려고 하지 않는다는 점이다. 예컨대, 골드만삭스(Goldman Sachs)가 보안이 갖춰진 오픈소스 소프트웨어를 필요로 한다고 해보자. 모두가 사용하는 소프트웨어인데 보안을 위해 굳이 골드만삭스가 비용을 지불하려 할까?  구글도 마찬가지다. 구글은 오픈소스 소프트웨어에 많이 기여하기도 하고, 많이 사용하기도 한다. 르완다우스키는 "구글이 오늘날 인터넷 상에 있는 모든 오픈소스 소프트웨어 패키지를 일일이 다시 작성하지는 않을 것이다"라고 언급했다.  게다가 구글은 그렇게 하고 싶어도 할 수 없다. 오픈소스의 양이 너무 많기 때문이다. 물론 구글은 오픈SSL이든 아파치 스트럿츠든 문제가 있는 프로젝트를 해결할 수 있겠지만,...

오픈소스 보안 구글 OpenSSF

2020.12.02

버그를 찾아내서 고치는 오픈소스 프로세스는 소프트웨어 보안 문제를 다루기 위해서 필요한 과정이다. 오픈소스 보안재단(OpenSSF)은 그간 산발적으로 이뤄졌던 소프트웨어 보안 노력을 조직적으로 진행할 수 있는 구심점을 제공한다.   지난 8월 오픈소스 보안재단(OpenSSF)이 출범했다. 왜 진작 생기지 않았을까? 해커들이 수년간 오픈SSL(OpenSSL), 아파치 스트럿츠(Apache Struts)를 비롯해 수많은 프로젝트의 버그를 악용하여 공격을 감행했지만 오픈소스는 제때 패치가 이뤄지지 않았다. 오픈소스 공급망을 보호하기 위해 모두가 일찍 힘을 합쳤어야 했지만 그러지 못했다. 결국 2020년이 되어서야 업계 차원에서 오픈소스 보안 문제에 조직적으로 대응하기 위해 재단이 세워졌다.  왜?  구글 제품 관리자이자 OpenSSF 이사회 위원인 킴 르완다우스키는 필자와의 인터뷰에서 “모든 사람이 오픈소스를 사용하고 있다. 보안 문제를 저마다 혹은 각각 해결할 이유가 없다”라고 전했다. 맞는 말이다. 하지만 이런 결정이 내려지기까지 왜 그렇게 오래 걸린 것일까?  나만의 일이 아니라 남의 일이다 오픈소스 보안을 둘러싼 문제점 중 하나는 어느 회사도 총대를 매려고 하지 않는다는 점이다. 예컨대, 골드만삭스(Goldman Sachs)가 보안이 갖춰진 오픈소스 소프트웨어를 필요로 한다고 해보자. 모두가 사용하는 소프트웨어인데 보안을 위해 굳이 골드만삭스가 비용을 지불하려 할까?  구글도 마찬가지다. 구글은 오픈소스 소프트웨어에 많이 기여하기도 하고, 많이 사용하기도 한다. 르완다우스키는 "구글이 오늘날 인터넷 상에 있는 모든 오픈소스 소프트웨어 패키지를 일일이 다시 작성하지는 않을 것이다"라고 언급했다.  게다가 구글은 그렇게 하고 싶어도 할 수 없다. 오픈소스의 양이 너무 많기 때문이다. 물론 구글은 오픈SSL이든 아파치 스트럿츠든 문제가 있는 프로젝트를 해결할 수 있겠지만,...

2020.12.02

'유용성은 프리미엄!' 추천 무료 보안 툴 21선

무료 소프트웨어를 좋아하지 않는 사람이 누가 있겠는가? 다양한 작업에 쓸 수 있는 수많은 무료 툴이 있다. 아래의 여러 툴은 비밀번호 크래커, 취약점 관리 시스템, 네트워크 분석기 등에 이른다. 이용자의 보안 직무가 무엇이든지 이들 가운데 유용한 무언가를 발견할 수 있을 것이다.    말테고(Maltego) 제드 어택 프록시(Zed Attack Proxy, ZAP) 사무라이 웹 테스팅 프레임워크(Samurai Web Testing Framework) 칼리 리눅스(Kali Linux) 피어스 도메인 스캔(Fierce Domain Scan) 더 하베스터(The Harvester) H핑(Hping) 존 더 리퍼(John the Ripper) 네서스(Nessus) N맵(Nmap) 오픈VPN(OpenVPN) 오프크랙(Ophcrack) OWASP 파이썬 보안 프로젝트(OWASP Python Security Project) 와이어샤크(Wireshark) 버프 스위트(Burp Suite) 메타스플로이트 프레임워크(Metasploit Framework) 에어크랙-엔지(Aircrack-ng) 테일즈(TAILS) 큐브즈OS(Qubes OS) 시그널(Signal)   말테고  패터바(Paterva)에 의해 처음 개발된 말테고(Maltego)는 디지털 포렌식 및 오픈소스 인텔리전스(OSINT) 앱으로, 이용자 환경에 대한 위협에 대해 명확한 시야를 전달한다. 이는 인프라 내에 존재하는 단일 장애점의 복잡성과 심각성, 나아가 트러스트 관계를 구체적으로 보여줄 것이다. 말테고는 전체 인터넷에 걸쳐 게시되는 정보를 입수한다. 예를 들어 회사 네트워크 엣지 상의 라우터의 현재 구성이나 회사 부사장의 현재 위치 등이다. 상용 라이선스는 유료이지만, 몇몇 제한 사항이 있는 커뮤니티 에디션은 무료다.  OWASP 제드 어택 프록시(ZAP)  제드 어택 프록시(Zed Attack Proxy, ZA...

무료 보안 툴 오픈소스 보안 말테고(Maltego) 제드 어택 프록시(Zed Attack Proxy ZAP) 칼리 리눅스(Kali Linux) 피어스 도메인 스캔(Fierce Domain Scan) 더 하베스터(The Harvester) H핑(Hping) 존 더 리퍼(John the Ripper) 네서스(Nessus) N맵(Nmap) 오픈VPN(OpenVPN) 오프크랙(Ophcrack) 와이어샤크(Wireshark) 버프 스위트(Burp Suite) 테일즈(TAILS) 큐브즈OS(Qubes OS) 시그널(Signal)

2020.11.10

무료 소프트웨어를 좋아하지 않는 사람이 누가 있겠는가? 다양한 작업에 쓸 수 있는 수많은 무료 툴이 있다. 아래의 여러 툴은 비밀번호 크래커, 취약점 관리 시스템, 네트워크 분석기 등에 이른다. 이용자의 보안 직무가 무엇이든지 이들 가운데 유용한 무언가를 발견할 수 있을 것이다.    말테고(Maltego) 제드 어택 프록시(Zed Attack Proxy, ZAP) 사무라이 웹 테스팅 프레임워크(Samurai Web Testing Framework) 칼리 리눅스(Kali Linux) 피어스 도메인 스캔(Fierce Domain Scan) 더 하베스터(The Harvester) H핑(Hping) 존 더 리퍼(John the Ripper) 네서스(Nessus) N맵(Nmap) 오픈VPN(OpenVPN) 오프크랙(Ophcrack) OWASP 파이썬 보안 프로젝트(OWASP Python Security Project) 와이어샤크(Wireshark) 버프 스위트(Burp Suite) 메타스플로이트 프레임워크(Metasploit Framework) 에어크랙-엔지(Aircrack-ng) 테일즈(TAILS) 큐브즈OS(Qubes OS) 시그널(Signal)   말테고  패터바(Paterva)에 의해 처음 개발된 말테고(Maltego)는 디지털 포렌식 및 오픈소스 인텔리전스(OSINT) 앱으로, 이용자 환경에 대한 위협에 대해 명확한 시야를 전달한다. 이는 인프라 내에 존재하는 단일 장애점의 복잡성과 심각성, 나아가 트러스트 관계를 구체적으로 보여줄 것이다. 말테고는 전체 인터넷에 걸쳐 게시되는 정보를 입수한다. 예를 들어 회사 네트워크 엣지 상의 라우터의 현재 구성이나 회사 부사장의 현재 위치 등이다. 상용 라이선스는 유료이지만, 몇몇 제한 사항이 있는 커뮤니티 에디션은 무료다.  OWASP 제드 어택 프록시(ZAP)  제드 어택 프록시(Zed Attack Proxy, ZA...

2020.11.10

시높시스, ‘2020 오픈소스 보안과 리스크 분석’ 보고서 발간

시높시스가 전 세계에서 사용되는 17개 산업분야 애플리케이션의 오픈소스 사용 현황을 분석한 보고서를 발표했다. 시높시스의 ‘2020 오픈소스 보안과 리스크 분석’ 연례 보고서는 OSS 라이선스 관리 솔루션인 ‘블랙덕 오딧 서비스(Black Duck Audit Services)’ 팀이 진행한 것이다. 인터넷/모바일 앱, 제조/공업/로보틱스, 헬스케어/건강 기술/생명 과학, 인터넷/소프트웨어 인프라스트럭처를 비롯한 총 17개 산업 분야의 1,253개 애플리케이션에 대해 오픈소스 보안 및 라이선스 관리 현황을 분석했다.  보고서에 따르면, 2019년에 감사한 코드베이스 중 99%가 오픈소스를 포함하고 있었다. 2019년 감사 대상 코드베이스에서 평균 445개의 오픈소스 컴포넌트를 식별했으며, 이는 2018년의 298개 대비 상당히 증가한 숫자다. 오픈소스를 구성하는 코드베이스의 비율 또한 동일 기간에 지속적으로 급격히 증가했다. 실제로, 17개 산업 군 중 9개 산업 군에서의 모든 코드베이스가 최소 하나 이상의 오픈소스 컴포넌트를 포함하고 있었으며, 최대 70%까지 오픈소스로 구성돼 있었다. 전체 코드베이스 중 오픈소스 컴포넌트를 포함하지 않은 코드베이스의 비율은 단지 1.2%에 그쳤으며, 파일 수로는 1,000개도 되지 않았다. 이것은 오픈소스가 사유 소프트웨어나 상용 소프트웨어를 대체했음을 시사한다. 첫 번째 보고서를 발간한 2015년 당시에는 감사 대상 코드베이스 중 36%가 오픈소스였던 것에서, 2019년에는 70%로 기준 2배가 되었다. 조사대상 전체 17개 산업군의 코드베이스에서 124개 오픈소스 컴포넌트가 공통으로 사용되었음을 확인했다. 가장 많이 사용된(해당 컴포넌트를 포함한 코드베이스 비율 기준) 오픈 소스 컴포넌트는 ▲j쿼리(55%, HTML 단순화를 위해 설계된 자바스크립트(JavaScript) 라이브러리), ▲부트스트랩(Bootstrap, 40%, 반응성, 모바일 중심 프론트엔드 웹 개발을 위한 CSS 프레임워크), ▲폰...

시높시스 오픈소스 오픈소스 보안

2020.07.20

시높시스가 전 세계에서 사용되는 17개 산업분야 애플리케이션의 오픈소스 사용 현황을 분석한 보고서를 발표했다. 시높시스의 ‘2020 오픈소스 보안과 리스크 분석’ 연례 보고서는 OSS 라이선스 관리 솔루션인 ‘블랙덕 오딧 서비스(Black Duck Audit Services)’ 팀이 진행한 것이다. 인터넷/모바일 앱, 제조/공업/로보틱스, 헬스케어/건강 기술/생명 과학, 인터넷/소프트웨어 인프라스트럭처를 비롯한 총 17개 산업 분야의 1,253개 애플리케이션에 대해 오픈소스 보안 및 라이선스 관리 현황을 분석했다.  보고서에 따르면, 2019년에 감사한 코드베이스 중 99%가 오픈소스를 포함하고 있었다. 2019년 감사 대상 코드베이스에서 평균 445개의 오픈소스 컴포넌트를 식별했으며, 이는 2018년의 298개 대비 상당히 증가한 숫자다. 오픈소스를 구성하는 코드베이스의 비율 또한 동일 기간에 지속적으로 급격히 증가했다. 실제로, 17개 산업 군 중 9개 산업 군에서의 모든 코드베이스가 최소 하나 이상의 오픈소스 컴포넌트를 포함하고 있었으며, 최대 70%까지 오픈소스로 구성돼 있었다. 전체 코드베이스 중 오픈소스 컴포넌트를 포함하지 않은 코드베이스의 비율은 단지 1.2%에 그쳤으며, 파일 수로는 1,000개도 되지 않았다. 이것은 오픈소스가 사유 소프트웨어나 상용 소프트웨어를 대체했음을 시사한다. 첫 번째 보고서를 발간한 2015년 당시에는 감사 대상 코드베이스 중 36%가 오픈소스였던 것에서, 2019년에는 70%로 기준 2배가 되었다. 조사대상 전체 17개 산업군의 코드베이스에서 124개 오픈소스 컴포넌트가 공통으로 사용되었음을 확인했다. 가장 많이 사용된(해당 컴포넌트를 포함한 코드베이스 비율 기준) 오픈 소스 컴포넌트는 ▲j쿼리(55%, HTML 단순화를 위해 설계된 자바스크립트(JavaScript) 라이브러리), ▲부트스트랩(Bootstrap, 40%, 반응성, 모바일 중심 프론트엔드 웹 개발을 위한 CSS 프레임워크), ▲폰...

2020.07.20

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9