애플리케이션 보안 업체 시놉시스(Synopsys)의 사이버 보안 연구센터(Cybersecurity Research Center; CyRC)의 보고서에 따르면 거의 모든 소프트웨어가 오픈소스 코드를 쓰고 있는 가운데 모든 상용 및 독점 코드 베이스의 8...
2023.02.24
오픈소스가 기업에서 인기 있는 이유 중 하나는 정교한 애플리케이션 및 서비스의 개발 속도를 높이는 검증된 구성 요소를 제공하기 때문이다. 하지만 서드파티 소프트웨어 구성 요소, 패키지, 컨테이너의 편리함은 위험도 수반한다. 구축하는 애플리케이션의 보안...
2022.11.07
솔라윈즈(SolarWinds) 해킹 여파로 ‘공급망 보안’이 산업과 관계없이 모든 기업에서 중요한 문제로 떠올랐다. 이에 美 사이버 보안 및 인프라 보안국(CISA)은 정보통신기술(ICT) 공급망 위험 관리 태스크포스를 구성하기도 했다. ...
소프트웨어 공급망 보안 솔라윈즈 해킹 공급망 보안 SBOM 위험 관리 애플리케이션 보안
2022.08.26
솔라윈즈(SolarWinds) 해킹 여파로 ‘공급망 보안’이 산업과 관계없이 모든 기업에서 중요한 문제로 떠올랐다. 이에 美 사이버 보안 및 인프라 보안국(CISA)은 정보통신기술(ICT) 공급망 위험 관리 태스크포스를 구성하기도 했다. ...
2022.08.26
소프트웨어 자재 명세서(Software Bill of Material, SBOM)는 취약점 관리에서 점차 중요한 역할을 담당하고 있다. 그럼에도 불구하고 아직까지 많은 기업이 SBOM 포맷 간 차이점 같은 기본적인 주제를 이해하려 애쓰고 있다. &nb...
2022.08.17
소프트웨어 자재 명세서(Software Bill of Material, SBOM)는 취약점 관리에서 점차 중요한 역할을 담당하고 있다. 그럼에도 불구하고 아직까지 많은 기업이 SBOM 포맷 간 차이점 같은 기본적인 주제를 이해하려 애쓰고 있다. &nb...
2022.08.17
솔라윈즈(SolarWinds) 해킹 사건 이후, 기업은 CI/CD를 도입하는 과정에서 확인해야 할 것이 많아졌다. 사용자에게 배포하는 소프트웨어를 의도한 대로 구축하려면 어떻게 해야 하는가? 코드의 의존성이 모두 원하는 형태로 나타났는가? 서드파티 모...
2022.08.02
솔라윈즈(SolarWinds) 해킹 사건 이후, 기업은 CI/CD를 도입하는 과정에서 확인해야 할 것이 많아졌다. 사용자에게 배포하는 소프트웨어를 의도한 대로 구축하려면 어떻게 해야 하는가? 코드의 의존성이 모두 원하는 형태로 나타났는가? 서드파티 모...
2022.08.02
美 애플리케이션 보안 전문 기업 베라코드(Veracode)의 CTO와 함께 로그4j 취약점의 여파, 오픈소스 보안 문제 인식을 높이는 방법 등을 살펴본다. 지난 2021년 12월 초 수백만 개의 애플리케이션에서 사용되는 오픈소스 자바 구성...
2022.05.26
앵코어(Anchore)의 최근 연구에 따르면, 작년 기업 5곳 중 3곳 이상이 소프트웨어 공급망 공격의 표적이 됐다. IT와 보안, 개발, 데브옵스 부문에 종사하는 경영진과 팀장, 관리자 428명을 대상으로 설문조사를 실시했다. 이들 중 약 3분의 1...
2022.02.16
앵코어(Anchore)의 최근 연구에 따르면, 작년 기업 5곳 중 3곳 이상이 소프트웨어 공급망 공격의 표적이 됐다. IT와 보안, 개발, 데브옵스 부문에 종사하는 경영진과 팀장, 관리자 428명을 대상으로 설문조사를 실시했다. 이들 중 약 3분의 1...
2022.02.16
바이든 행정부가 지난 5월 행정 명령을 통해 소프트웨어 재료명세서(SBOM)의 위상을 격상했다. 연방정부와 사업 계약을 맺은 기업이라면 SBOM 제출을 의무화하도록 한 것이다. 이를 계기로 기업들도 소프트웨어 공급사로부터 좀더 높은 투명성을 기대해볼 ...
SBOM 소프트웨어 재료명세서 연방 정부 SPDX 사이클론DX OWASP
2021.07.29
바이든 행정부가 지난 5월 행정 명령을 통해 소프트웨어 재료명세서(SBOM)의 위상을 격상했다. 연방정부와 사업 계약을 맺은 기업이라면 SBOM 제출을 의무화하도록 한 것이다. 이를 계기로 기업들도 소프트웨어 공급사로부터 좀더 높은 투명성을 기대해볼 ...
2021.07.29