Offcanvas

������ ������������������

역대급 보안구멍 ‘로그4j’ 막아라···개발자들의 고군분투기

지난 주말, 많은 개발자와 유지관리자가 앞다퉈 ‘로그4j(Log4j)’ 취약점에 대응하기 위해 나섰지만 이 문제를 바로잡기 위해 해야 할 일은 여전히 많다.  지난 주말 인터넷에 불이 났다. 긴급구조요원들은 곧장 현장으로 달려갔다. 대부분 무급 유지관리자 또는 개발자가 여가 시간에 취약점을 패치했고, 지침을 발행했으며, 혼란 속에서 절실하게 필요했던 명확성을 제공했다.    12월 9일 아파치 재단(Apache Foundation)은 거의 모든 자바 애플리케이션에 사용되는 오픈소스 로깅 프레임워크 ‘로그4j(Log4j)’에서 발견된 치명적인 제로데이 취약점 ‘로그4셸(Log4Shell)’에 관한 긴급 업데이트를 발표했다.  CVE-2021-44228로 식별된 이 버그를 통해 공격자는 로그4j 라이브러리를 사용하여 로그 메시지를 작성하는 모든 시스템에서 임의의 코드를 실행할 수 있다. 이는 CVSS 점수에서 가장 높은 심각도를 일컫는 10점을 받았다.  클라우드플레어(Cloudflare)의 CTO 존 그레이엄은 “허트블리드(Heartbleed)와 쉘쇼크(ShellShock) 이후로 인터넷에서 가장 심각한 취약점일 가능성이 크다”라고 말했다. 심지어 마인크래프트(Minecraft)도 안전하지 않았다. 최초 대응자 여러 개발자와 유지관리자가 주말 동안 최대한 많은 자바 애플리케이션을 패치하기 위해 즉시 출동했다. 첫 번째 방어선은 비영리 아파치 소프트웨어 재단의 로깅 서비스팀에서 유지관리하는 로그4j 자체였다. 아파치의 로깅 서비스팀은 전 세계의 거의 모든 시간대에 분산된 16명의 자원봉사자로 구성돼 있다. 소프트웨어 엔지니어 겸 아파치 로깅 서비스 프로젝트 관리 위원회(Project Management Committee; PMC)의 회원인 개리 그레고리는 “여가 시간에 소프트웨어를 작성하고 퍼즐을 푸는 것을 좋아하기 때문에 이 일을 한다”라고 언급했다.  PMC의 주된 의사소통 채널은 이메일이며,...

로그4j 로그포셸 자바 보안 취약점 보안 위협 아파치 재단 제로데이 취약점 자바 애플리케이션 핫패치

2021.12.20

지난 주말, 많은 개발자와 유지관리자가 앞다퉈 ‘로그4j(Log4j)’ 취약점에 대응하기 위해 나섰지만 이 문제를 바로잡기 위해 해야 할 일은 여전히 많다.  지난 주말 인터넷에 불이 났다. 긴급구조요원들은 곧장 현장으로 달려갔다. 대부분 무급 유지관리자 또는 개발자가 여가 시간에 취약점을 패치했고, 지침을 발행했으며, 혼란 속에서 절실하게 필요했던 명확성을 제공했다.    12월 9일 아파치 재단(Apache Foundation)은 거의 모든 자바 애플리케이션에 사용되는 오픈소스 로깅 프레임워크 ‘로그4j(Log4j)’에서 발견된 치명적인 제로데이 취약점 ‘로그4셸(Log4Shell)’에 관한 긴급 업데이트를 발표했다.  CVE-2021-44228로 식별된 이 버그를 통해 공격자는 로그4j 라이브러리를 사용하여 로그 메시지를 작성하는 모든 시스템에서 임의의 코드를 실행할 수 있다. 이는 CVSS 점수에서 가장 높은 심각도를 일컫는 10점을 받았다.  클라우드플레어(Cloudflare)의 CTO 존 그레이엄은 “허트블리드(Heartbleed)와 쉘쇼크(ShellShock) 이후로 인터넷에서 가장 심각한 취약점일 가능성이 크다”라고 말했다. 심지어 마인크래프트(Minecraft)도 안전하지 않았다. 최초 대응자 여러 개발자와 유지관리자가 주말 동안 최대한 많은 자바 애플리케이션을 패치하기 위해 즉시 출동했다. 첫 번째 방어선은 비영리 아파치 소프트웨어 재단의 로깅 서비스팀에서 유지관리하는 로그4j 자체였다. 아파치의 로깅 서비스팀은 전 세계의 거의 모든 시간대에 분산된 16명의 자원봉사자로 구성돼 있다. 소프트웨어 엔지니어 겸 아파치 로깅 서비스 프로젝트 관리 위원회(Project Management Committee; PMC)의 회원인 개리 그레고리는 “여가 시간에 소프트웨어를 작성하고 퍼즐을 푸는 것을 좋아하기 때문에 이 일을 한다”라고 언급했다.  PMC의 주된 의사소통 채널은 이메일이며,...

2021.12.20

아줄, ‘클라우드 네이티브 컴파일러’ 출시··· “클라우드에 자바 컴파일 제공”

‘클라우드 네이티브 컴파일러(Cloud Native Compiler)’ 서비스는 JVM 전체에서 이전에 최적화된 컴파일을 재사용하여 자바 애플리케이션 성능을 향상시킨다.    자바 소프트웨어 업체 아줄(Azul)이 JVM의 성능 및 시작 속도를 높이는 클라우드 기반 컴파일 서비스 ‘클라우드 네이티브 컴파일러’를 출시했다. 이를 통해 자바(Java), 스칼라(Scala), 코틀린(Kotlin), 클로저(Clojure), 그루비(Groovy), 제이루비(JRuby) 등 JVM 기반 언어의 성능이 향상됐다고 회사 측은 밝혔다.  회사에 따르면 아줄 인텔리전스 클라우드(Azul Intelligence Cloud) 플랫폼의 제품으로 공개된 클라우드 네이티브 컴파일러는 연결되는 모든 JVM의 성능 및 시작 속도를 강화하기 위해 JVM 전체에서 이전에 최적화된 컴파일을 탄력적으로 확장 및 축소하고 재사용한다. 또한 모든 자바 애플리케이션과 호환되는 클라우드 네이티브 컴파일러는 JVM(Java Virtual Machine)에서 JIT(Just-in-tim) 컴파일을 분리하며, 징(Zing)이라고 알려진 아줄의 고성능 자바 런타임 ‘플랫폼 프라임(Platform Prime Java)’과 함께 작동한다고 회사 측은 설명했다.    클라우드 네이티브 컴파일러는 전체 쿠버네티스 환경에서 클라우드 네이티브 애플리케이션으로 실행된다. 모든 클라우드에서 사용할 수 있다. 이 밖에 클라우드 네이티브 컴파일러로 얻을 수 있는 이점은 다음과 같다.  • JIT 컴파일을 클라우드 리소스로 전환해 운영 비용을 절감할 수 있다.  • 프론트엔드, 백엔드, API 게이트웨이, 컨테이너화된 애플리케이션, 마이크로서비스를 포함한 여러 애플리케이션의 처리량 및 응답성을 향상시켜 애플리케이션 성능을 개선한다.  • 아파치(Apache)의 카산드라(Cassandra) 데이터베이스, 솔라(Solr) 검색엔진, 카프카(Kaf...

자바 아줄 클라우드 컴파일러 스칼라 코틀린 클로저 그루비 제이루비 자바 애플리케이션 JVM JIT 쿠버네티스 컨테이너

2021.12.16

‘클라우드 네이티브 컴파일러(Cloud Native Compiler)’ 서비스는 JVM 전체에서 이전에 최적화된 컴파일을 재사용하여 자바 애플리케이션 성능을 향상시킨다.    자바 소프트웨어 업체 아줄(Azul)이 JVM의 성능 및 시작 속도를 높이는 클라우드 기반 컴파일 서비스 ‘클라우드 네이티브 컴파일러’를 출시했다. 이를 통해 자바(Java), 스칼라(Scala), 코틀린(Kotlin), 클로저(Clojure), 그루비(Groovy), 제이루비(JRuby) 등 JVM 기반 언어의 성능이 향상됐다고 회사 측은 밝혔다.  회사에 따르면 아줄 인텔리전스 클라우드(Azul Intelligence Cloud) 플랫폼의 제품으로 공개된 클라우드 네이티브 컴파일러는 연결되는 모든 JVM의 성능 및 시작 속도를 강화하기 위해 JVM 전체에서 이전에 최적화된 컴파일을 탄력적으로 확장 및 축소하고 재사용한다. 또한 모든 자바 애플리케이션과 호환되는 클라우드 네이티브 컴파일러는 JVM(Java Virtual Machine)에서 JIT(Just-in-tim) 컴파일을 분리하며, 징(Zing)이라고 알려진 아줄의 고성능 자바 런타임 ‘플랫폼 프라임(Platform Prime Java)’과 함께 작동한다고 회사 측은 설명했다.    클라우드 네이티브 컴파일러는 전체 쿠버네티스 환경에서 클라우드 네이티브 애플리케이션으로 실행된다. 모든 클라우드에서 사용할 수 있다. 이 밖에 클라우드 네이티브 컴파일러로 얻을 수 있는 이점은 다음과 같다.  • JIT 컴파일을 클라우드 리소스로 전환해 운영 비용을 절감할 수 있다.  • 프론트엔드, 백엔드, API 게이트웨이, 컨테이너화된 애플리케이션, 마이크로서비스를 포함한 여러 애플리케이션의 처리량 및 응답성을 향상시켜 애플리케이션 성능을 개선한다.  • 아파치(Apache)의 카산드라(Cassandra) 데이터베이스, 솔라(Solr) 검색엔진, 카프카(Kaf...

2021.12.16

구글 자바 컨테이너 기술(Jib), 확장 프레임워크 공개  

구글의 ‘지브(Jib)’를 사용하면 개발자가 자바 애플리케이션용 도커 컨테이너 생성을 최적화하고, 메이븐(Maven) 및 그래들(Gradle)용 플러그인을 사용자 정의해 프로세스를 조정할 수 있다.  구글이 자바 애플리케이션용 지브 컨테이너화 기술을 확장하는 ‘지브 플러그인 확장 프레임워크(Jib Plugin Extension Framework)’를 공개했다. 이를 통해 메이븐 및 그래들 빌드 시스템용 지브 플러그인을 사용자 정의할 수 있다.    해당 프레임워크는 현재 기트허브에서 사용할 수 있다. 개발자는 다양한 확장 기능을 제공하는 이 프레임워크를 통해 원하는 대로 지브를 조정할 수 있다.  예를 들면 ZIP 파일에서 콘텐츠를 가져오는 커스텀 이미지 레이어를 추가해 확장 프로그램을 작성할 수 있다. 또한 다른 사람이 작성한 확장 프로그램을 가져와서 자신의 프로젝트에 적용할 수 있다. 개발자는 빌드하려는 이미지의 모든 측면을 수정할 수도 있다. 지브 컨테이너화 프레임워크는 지난 6월 처음 출시됐다. 도커 또는 OCI 컨테이너 이미지를 구축하는 방법을 설명하는 툴에 구애받지 않는 메커니즘인 CBPS(Container Build Plan Specification)에 의해 구동된다. 구글은 프레임워크의 기능을 다음과 같이 언급했다.  • 이미지 레이어 미세 조정  • 빠른 시작을 위해 GraalVM 네이티브 이미지 컨테이너화  • 적은 설치 공간을 위한 jlink 이미지 컨테이너화 구글은 지브용 애플리케이션 프레임워크 지원이 얼마나 향상됐는지도 자세히 설명했다. 회사에 따르면 스프링 부트(Spring Boot)와 쿼커스(Quarkus)용 메이븐 및 그래들 지브 확장 프로그램과 그랄VM용 메이븐 확장 프로그램이 최근 소개됐다.   지브는 도커 데몬을 실행하거너 도커 베스트 프랙티스에 숙달할 필요 없이 자바 애플리케이션용 도커 및 OCI 이미지를 구축한다. 또한 이는 메이븐 또는 ...

구글 자바 컨테이너 도커 지브 자바 애플리케이션 메이븐 그래들 기트허브 프레임워크 이미지 확장 프로그램 OCI 그랄VM 스프링 부트 쿼커스 도커 데몬 도커파일

2020.08.25

구글의 ‘지브(Jib)’를 사용하면 개발자가 자바 애플리케이션용 도커 컨테이너 생성을 최적화하고, 메이븐(Maven) 및 그래들(Gradle)용 플러그인을 사용자 정의해 프로세스를 조정할 수 있다.  구글이 자바 애플리케이션용 지브 컨테이너화 기술을 확장하는 ‘지브 플러그인 확장 프레임워크(Jib Plugin Extension Framework)’를 공개했다. 이를 통해 메이븐 및 그래들 빌드 시스템용 지브 플러그인을 사용자 정의할 수 있다.    해당 프레임워크는 현재 기트허브에서 사용할 수 있다. 개발자는 다양한 확장 기능을 제공하는 이 프레임워크를 통해 원하는 대로 지브를 조정할 수 있다.  예를 들면 ZIP 파일에서 콘텐츠를 가져오는 커스텀 이미지 레이어를 추가해 확장 프로그램을 작성할 수 있다. 또한 다른 사람이 작성한 확장 프로그램을 가져와서 자신의 프로젝트에 적용할 수 있다. 개발자는 빌드하려는 이미지의 모든 측면을 수정할 수도 있다. 지브 컨테이너화 프레임워크는 지난 6월 처음 출시됐다. 도커 또는 OCI 컨테이너 이미지를 구축하는 방법을 설명하는 툴에 구애받지 않는 메커니즘인 CBPS(Container Build Plan Specification)에 의해 구동된다. 구글은 프레임워크의 기능을 다음과 같이 언급했다.  • 이미지 레이어 미세 조정  • 빠른 시작을 위해 GraalVM 네이티브 이미지 컨테이너화  • 적은 설치 공간을 위한 jlink 이미지 컨테이너화 구글은 지브용 애플리케이션 프레임워크 지원이 얼마나 향상됐는지도 자세히 설명했다. 회사에 따르면 스프링 부트(Spring Boot)와 쿼커스(Quarkus)용 메이븐 및 그래들 지브 확장 프로그램과 그랄VM용 메이븐 확장 프로그램이 최근 소개됐다.   지브는 도커 데몬을 실행하거너 도커 베스트 프랙티스에 숙달할 필요 없이 자바 애플리케이션용 도커 및 OCI 이미지를 구축한다. 또한 이는 메이븐 또는 ...

2020.08.25

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13