Offcanvas

���������������

'보안도 왼쪽으로'··· 오픈소스 SW 보안과 시프트레프트 전략의 상관관계

오픈소스 소프트웨어는 대다수 애플리케이션에서 큰 비중을 차지하지만, 개발자와 보안 부서에는 보안 관련 과제를 던지는 존재다. 이번주 공개된 2종의 보고서에는 오픈소스 소프트웨어의 과제를 ‘시프트 레프트’ 전략을 확대 적용하면서 극복할 수 있다는 내용이 실려 주목을 끈다. 개발자 보안 업체인 스니크(Snyk)와 리눅스 재단은 ‘오픈소스 보안 현황(The State of Open Source Security)’ 보고서에서 10곳 중 4곳 이상의 기업(41%)이 오픈소스 보안에 확신이 없다고 지적했다. 또한 지난 3년 간 오픈소스 프로젝트에서의 취약점 수정 기간이 꾸준히 늘어 2018년(49일)보다 2021년(110일)에는 2배가 넘었다고 발표했다.     오픈소스에 대한 논쟁 : 생산성 vs. 보안 550명 이상의 응답자를 확보한 이번 보고서는 애플리케이션 개발 프로젝트의 취약점이 평균 49개, 일명 오픈소스 코드라고 칭하는 직접 의존성이 평균 80개라고 밝혔다. 그러나 오픈소스 소프트웨어 개발 또는 사용에 대한 보안 정책을 마련한 기업은 절반에 약간 못 미치는 49%였다. 규모를 중대형 기업으로 좁혀보면 이 수치는 27%에 지나지 않는다. 스니크 개발 관계 이사인 매트 저비스는 발표문에서 “오늘날 소프트웨어 개발사는 자체적인 공급망을 보유하고 있다. 자동차 부품을 조립하는 것처럼 자사만의 독특한 코드로 기존 오픈소스 구성요소를 이어서 코드를 조립한다. 생산성과 혁신을 대폭 개선할 수는 있지만 그만큼 보안 위험이 커진다는 단점이 있다”라고 지적했다.   "시프트 레프트로 취약점 조기 발견할 수 있어" 애플리케이션 자동화 테스트 업체 시프트 레프트(ShiftLeft) 역시 '애플리케이션 보안 발전(AppSec  Progress)' 보고서를 발행하면서 오픈소스 소프트웨어 보안 역시 시프트 레프트 전략, 또는 소프트웨어 개발 생명주기 시작을 조기에 앞당기는 것으로 보완할 수 있다고 주장했다. 보고서는 시프트레프트의 코어(Cor...

오픈소스소프트웨어 오픈소스 보안 Log4j 시프트레프트 보안테스트

2022.06.27

오픈소스 소프트웨어는 대다수 애플리케이션에서 큰 비중을 차지하지만, 개발자와 보안 부서에는 보안 관련 과제를 던지는 존재다. 이번주 공개된 2종의 보고서에는 오픈소스 소프트웨어의 과제를 ‘시프트 레프트’ 전략을 확대 적용하면서 극복할 수 있다는 내용이 실려 주목을 끈다. 개발자 보안 업체인 스니크(Snyk)와 리눅스 재단은 ‘오픈소스 보안 현황(The State of Open Source Security)’ 보고서에서 10곳 중 4곳 이상의 기업(41%)이 오픈소스 보안에 확신이 없다고 지적했다. 또한 지난 3년 간 오픈소스 프로젝트에서의 취약점 수정 기간이 꾸준히 늘어 2018년(49일)보다 2021년(110일)에는 2배가 넘었다고 발표했다.     오픈소스에 대한 논쟁 : 생산성 vs. 보안 550명 이상의 응답자를 확보한 이번 보고서는 애플리케이션 개발 프로젝트의 취약점이 평균 49개, 일명 오픈소스 코드라고 칭하는 직접 의존성이 평균 80개라고 밝혔다. 그러나 오픈소스 소프트웨어 개발 또는 사용에 대한 보안 정책을 마련한 기업은 절반에 약간 못 미치는 49%였다. 규모를 중대형 기업으로 좁혀보면 이 수치는 27%에 지나지 않는다. 스니크 개발 관계 이사인 매트 저비스는 발표문에서 “오늘날 소프트웨어 개발사는 자체적인 공급망을 보유하고 있다. 자동차 부품을 조립하는 것처럼 자사만의 독특한 코드로 기존 오픈소스 구성요소를 이어서 코드를 조립한다. 생산성과 혁신을 대폭 개선할 수는 있지만 그만큼 보안 위험이 커진다는 단점이 있다”라고 지적했다.   "시프트 레프트로 취약점 조기 발견할 수 있어" 애플리케이션 자동화 테스트 업체 시프트 레프트(ShiftLeft) 역시 '애플리케이션 보안 발전(AppSec  Progress)' 보고서를 발행하면서 오픈소스 소프트웨어 보안 역시 시프트 레프트 전략, 또는 소프트웨어 개발 생명주기 시작을 조기에 앞당기는 것으로 보완할 수 있다고 주장했다. 보고서는 시프트레프트의 코어(Cor...

2022.06.27

통계로 알아보는 애플리케이션 보안 현황

지난 몇 년간 데브옵스(DevOps) 문화가 부상하면서 소프트웨어 개발에 큰 변화가 발생했고, 기업들이 새 기능과 혁신을 지원하는 데 필요한 인프라를 자동으로 축소, 또는 확장하고, 코드를 더 빨리 배포할 수 있게 되었다. 그리고 이제 개발과 운영 파이프라인에 보안을 통합시키는 데브섹옵스(DevSecOps)가 확대되면서 애플리케이션 보안에도 변화가 발생하고 있다. 그러나 업계의 새 보고서에 수록된 데이터는 여전히 ‘갭’이 존재한다는 점을 보여준다. 보안 테스트의 주체가 바뀌고 있다 ESG가 북미의 애플리케이션 개발자 및 애플리케이션 보안 담당자 378명을 조사해 발표한 새 보고서에 따르면, 많은 기관과 기업이 자신의 애플리케이션 보안 프로그램이 견고하다고 판단하고 있음에도 불구하고 알려진 취약점이 있는 코드를 계속 배포하고 있다. 취약한 코드를 배포하는 것을 결코 바람직한 일이 아니지만, 이에 대해 알고 배포하는 것이 모르고 배포하는 것보다는 낫다. 위험 평가, 문제점을 바로잡을 계획, 일시적인 경감 대책 아래 이런 결정을 내리는 경우가 많기 때문이다. 조사 대상의 약 절반이 소속 조직이 정기적으로 이렇게 하고 있다고 대답했다. 또 간헐적으로 이렇게 한다고 대답한 비율은 1/3이었다. 그 이유로는 ‘아주 중요한 일정 준수’, ‘취약점의 위험인 낮아’, ‘릴리스 주기에서 너무 늦게 문제점을 발견’이 가장 많이 언급됐다(45%). 이번 조사 결과는 가능한 개발 프로세스 초기에 보안 테스트를 통합시키는 것이 중요한 이유를 설명한다. 또한, 취약한 코드를 배포하는 것이 반드시 보안 프로그램이 견고하지 않다는 것을 알려주는 신호는 아니라는 점을 알려준다. 여러 이유에서 이런 일이 일어날 수 있고, 한 종류의 보안 테스트로는 모든 버그를 포착하기 불가능하기 때문이다.  그러나 이 보고서는 여전히 애플리케이션 보안 프로그램을 확대하는 과정에 있는 조직들이 많다는 점도 알려준다. 구체적으로 코드 기반의 3/4 이상이 애플리케이션 보안 프로그램의 대상이라고 대...

애플리케이션보안 데브옵스 데브섹옵스 보안테스트 OWASP

2020.08.20

지난 몇 년간 데브옵스(DevOps) 문화가 부상하면서 소프트웨어 개발에 큰 변화가 발생했고, 기업들이 새 기능과 혁신을 지원하는 데 필요한 인프라를 자동으로 축소, 또는 확장하고, 코드를 더 빨리 배포할 수 있게 되었다. 그리고 이제 개발과 운영 파이프라인에 보안을 통합시키는 데브섹옵스(DevSecOps)가 확대되면서 애플리케이션 보안에도 변화가 발생하고 있다. 그러나 업계의 새 보고서에 수록된 데이터는 여전히 ‘갭’이 존재한다는 점을 보여준다. 보안 테스트의 주체가 바뀌고 있다 ESG가 북미의 애플리케이션 개발자 및 애플리케이션 보안 담당자 378명을 조사해 발표한 새 보고서에 따르면, 많은 기관과 기업이 자신의 애플리케이션 보안 프로그램이 견고하다고 판단하고 있음에도 불구하고 알려진 취약점이 있는 코드를 계속 배포하고 있다. 취약한 코드를 배포하는 것을 결코 바람직한 일이 아니지만, 이에 대해 알고 배포하는 것이 모르고 배포하는 것보다는 낫다. 위험 평가, 문제점을 바로잡을 계획, 일시적인 경감 대책 아래 이런 결정을 내리는 경우가 많기 때문이다. 조사 대상의 약 절반이 소속 조직이 정기적으로 이렇게 하고 있다고 대답했다. 또 간헐적으로 이렇게 한다고 대답한 비율은 1/3이었다. 그 이유로는 ‘아주 중요한 일정 준수’, ‘취약점의 위험인 낮아’, ‘릴리스 주기에서 너무 늦게 문제점을 발견’이 가장 많이 언급됐다(45%). 이번 조사 결과는 가능한 개발 프로세스 초기에 보안 테스트를 통합시키는 것이 중요한 이유를 설명한다. 또한, 취약한 코드를 배포하는 것이 반드시 보안 프로그램이 견고하지 않다는 것을 알려주는 신호는 아니라는 점을 알려준다. 여러 이유에서 이런 일이 일어날 수 있고, 한 종류의 보안 테스트로는 모든 버그를 포착하기 불가능하기 때문이다.  그러나 이 보고서는 여전히 애플리케이션 보안 프로그램을 확대하는 과정에 있는 조직들이 많다는 점도 알려준다. 구체적으로 코드 기반의 3/4 이상이 애플리케이션 보안 프로그램의 대상이라고 대...

2020.08.20

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9