본문 바로가기

Home > 열린마당 > 공개SW 소식

공개SW 소식

2024.04.12

ⓒCIO Korea / Chris Hughes  |  CSO

 

OWASP 상위 10대 오픈소스 소프트웨어(OSS) 위험 목록은 보안 실무자가 CVE 카탈로그 같은 후행 지표를 극복하고 OSS 구성 요소를 안전하게 사용할 수 있도록 지침을 제공한다.
 
최근 OSS의 보안 및 사용 방식을 비판적으로 검토해야 한다는 요구가 늘고 있다. XZ 유틸(XZ Utils) 사건처럼 오픈소스 소프트웨어의 여러 취약점과 위험이 노출됐기 때문이다.

지난 3월 XZ 파일의 압축 및 압축 해제를 위해 널리 사용되던 OSS인 XZ 유틸에 백도어 악성코드가 발견됐다. 만약 제때 발견되지 않았다면 지금까지 가장 심각한 소프트웨어 공급망 침해 사고 중 하나가 됐을 수 있다. 비록 로그4j(Log4j)만큼 광범위하게 악용되진 않았지만, 현대 디지털 생태계가 매우 취약하며 OSS를 소비하고 보호하는 방식을 개선해야 한다는 경각심을 일깨우는 계기가 됐다.

이런 사고에 대응해 OWASP(Open Web Application Security Project)의 OSS 10대 위험 등 사이버 보안 실무자를 위한 추가 리소스 및 지침도 발전하고 있다. 이는 OSS를 안전하게 관리하고 사용하는 방식을 개선하는 데 도움을 준다.

OWASP 목록은 원래 소프트웨어 공급망 및 애플리케이션 보안 기업인 엔도르랩(Endor Labs)이 OSS, CI/CD 파이프라인 및 취약점 관리의 안전한 사용에 중점을 두고 제작했다. 팔로알토, 하시코프, 씨티은행 등 업계 유명 기업들이 프로젝트를 지원했다.
(후략)

 

[원본기사 : https://www.ciokorea.com/column/333162]

맨 위로
맨 위로