Offcanvas

보안 / 오픈소스

깃허브, ‘자문 데이터베이스’ 공개··· “SW 공급망 보안 개선”

2022.02.23 Michael Hill  |  CSO
소프트웨어 개발 플랫폼 깃허브(GitHub)가 ‘자문 데이터베이스(Advisory Database)’를 커뮤니티 컨트리뷰터에 개방했다. 이를 통해 누구나 보안 취약점에 관한 인사이트와 인텔리전스를 제공하여 소프트웨어 공급망 보안을 개선할 수 있다. 

회사에 따르면 해당 데이터베이스의 전체 내용은 크리에이티브 커먼즈(Creative Commons) 라이선스에 따라 자유롭게 액세스할 수 있는 새로운 퍼블릭 리포지토리에 게시된다. 업계 전문가들은 이러한 종류의 데이터 공유가 소프트웨어 공급망 보안을 개선하고, 소프트웨어 관련 위험을 해결하는 데 중요하다고 입을 모았다. 
 
ⓒGetty Images

무료 및 공개 데이터를 활용할 수 있게 된 보안 커뮤니티
수백만 명의 개발자와 기업들이 소프트웨어를 빌드, 배포, 유지관리하기 위해 깃허브를 사용한다. 깃허브는 자문 데이터베이스를 커뮤니티에 개방함으로써 보안 연구진, 관련 학계 등이 보안 권고(security advisories)에 관한 커뮤니티의 이해와 인식을 높일 수 있도록 추가적인 정보와 맥락을 제공, 공유, 활용할 수 있다고 말했다. 

이어서 “무료 및 공개 보안 데이터는 업계 전반에서 소프트웨어 공급망을 보호하는 데 매우 중요하다고 본다. 깃허브 자문 데이터베이스는 소프트웨어 종속성 내 취약점에 관한 세계 최대의 데이터베이스다. 더 쉽게 기여하고 사용할 수 있도록 함으로써 더 많은 경험을 제공하고 모든 소프트웨어의 보안을 개선하는 데 더욱더 도움이 되길 바란다”라고 회사 측은 전했다. 

아울러 깃허브는 컨트리뷰션을 위한 사용자 인터페이스를 구축했으며, 깃허브 보안 랩(GitHub Security Lab) 연구진이 이를 검토했다. 컨트리뷰터는 패키지, 영향을 받는 버전 및 생태계에 관한 변경사항을 제안하거나 맥락을 제공할 수 있으며, 컨트리뷰션이 수락되면 깃허브 프로필에 공개 크레딧을 받게 된다. 깃허브는 OSV(Open-Source Vulnerabilities) 형식이 해당 리포지토리의 권고사항에 사용될 것이라고 밝혔다. 

구글의 오픈소스 보안팀 엔지니어 올리버 창은 “오픈소스의 취약점 관리가 확장되려면 누구나 보안 권고에 폭넓게 접근하고 쉽게 기여할 수 있어야 한다. OSV는 그러한 기능을 제공한다”라고 언급했다. 

소프트웨어 공급망 보안에 필수적인 데이터 공유
솔트 시큐리티(Salt Security)의 리서치 부문 부사장 야니브 발마스는 <CSO>와의 인터뷰에서 “깃허브의 조치는 오픈소스 프로젝트 및 라이브러리 보호에 있어 한 걸음 더 나아간 것”이라면서, “공개적으로 보고된 소프트웨어 취약점 수가 사상 최고치를 기록했으며, 매년 증가하고 있다. 적절하고 일관된 정보 공유는 이 문제를 해결하는 가장 효과적인 방법일 것이다”라고 말했다. 

깃허브가 오픈소스 코드의 가장 큰 부분을 차지하고 있기 때문에 자문 데이터베이스를 커뮤니티 컨트리뷰션에 개방하면 소프트웨어 벤더가 (사용 중인) 각 소프트웨어 버전이나 공유 라이브러리의 보안 문제 상태 가시성을 높일 수 있을 뿐만 아니라, 취약점 사냥꾼들이 버그를 보고 수정하는 데도 도움이 될 것이라고 그는 설명했다. 발마스는 “아울러 벤더가 (사용 중인) 각 공유 소프트웨어의 구성 요소와 보안 문제 상태를 명확하게 파악할 수 있기 때문에 소프트웨어 공급망 문제를 해결하는 데도 도움이 될 것”이라고 언급했다. 

ESET 글로벌 사이버보안 고문 제이크 무어도 이에 동의하면서, “소프트웨어 공급망은 피해자가 대응할 기회를 가지기도 전에 어두운 시장에서 취약점이 강조되고 공유되면서 지난 몇 년 동안 큰 타격을 입었다”라고 말했다. 신뢰할 수 있는 커뮤니티 내에서 새로 발견된 위협 인텔리전스를 공유하면 보호되지 않는 사용자가 최신 업데이트 및 패치 정보에 액세스할 수 있다고 그는 덧붙였다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.