'더 나은 오픈소스 보안을 위한 가이드' OWASP 상위 10대 OSS 위험 톺아보기
2024.04.12
ⓒCIO Korea / Chris Hughes | CSO
OWASP 상위 10대 오픈소스 소프트웨어(OSS) 위험 목록은 보안 실무자가 CVE 카탈로그 같은 후행 지표를 극복하고 OSS 구성 요소를 안전하게 사용할 수 있도록 지침을 제공한다.
최근 OSS의 보안 및 사용 방식을 비판적으로 검토해야 한다는 요구가 늘고 있다. XZ 유틸(XZ Utils) 사건처럼 오픈소스 소프트웨어의 여러 취약점과 위험이 노출됐기 때문이다.
지난 3월 XZ 파일의 압축 및 압축 해제를 위해 널리 사용되던 OSS인 XZ 유틸에 백도어 악성코드가 발견됐다. 만약 제때 발견되지 않았다면 지금까지 가장 심각한 소프트웨어 공급망 침해 사고 중 하나가 됐을 수 있다. 비록 로그4j(Log4j)만큼 광범위하게 악용되진 않았지만, 현대 디지털 생태계가 매우 취약하며 OSS를 소비하고 보호하는 방식을 개선해야 한다는 경각심을 일깨우는 계기가 됐다.
이런 사고에 대응해 OWASP(Open Web Application Security Project)의 OSS 10대 위험 등 사이버 보안 실무자를 위한 추가 리소스 및 지침도 발전하고 있다. 이는 OSS를 안전하게 관리하고 사용하는 방식을 개선하는 데 도움을 준다.
OWASP 목록은 원래 소프트웨어 공급망 및 애플리케이션 보안 기업인 엔도르랩(Endor Labs)이 OSS, CI/CD 파이프라인 및 취약점 관리의 안전한 사용에 중점을 두고 제작했다. 팔로알토, 하시코프, 씨티은행 등 업계 유명 기업들이 프로젝트를 지원했다.
(후략)
번호 | 제목 | 조회수 | 작성 |
---|---|---|---|
공지 | [Open UP 활용가이드] 공개SW 활용 및 개발, 창업, 교육 "Open UP을 활용하세요" | 339416 | 2020-10-27 |
공지 | [Open UP 소개] 공개SW 개발·공유·활용 원스톱 지원 Open UP이 함께합니다 | 329189 | 2020-10-27 |
10921 | [주간 OSS 동향리포트] IBK기업은행, 오픈소스 보안 취약점 점검 체계 도입 | 1491 | 2024-04-17 |
10920 | "누구나 쉽게 쓰는 '생성형 AI'…정책에도 이용할 단계 왔다" | 611 | 2024-04-16 |
10919 | '더 나은 오픈소스 보안을 위한 가이드' OWASP 상위 10대 OSS 위험 톺아보기 | 676 | 2024-04-15 |
10918 | 메타, AI의 ‘현실 이해' 돕는 오픈 소스 데이터셋 출시 | 607 | 2024-04-15 |
10917 | 카카오, 글로벌 오픈 소스 커뮤니티 ‘AI 얼라이언스’ 가입 | 612 | 2024-04-15 |
10916 | 오케스트로, 오픈인프라 재단 플래티넘 멤버로 승급 | 669 | 2024-04-12 |
10915 | [주간 OSS 동향리포트] EU ‘사이버복원법’에 글로벌 '오픈소스 재단' 7곳 논의 | 1436 | 2024-04-12 |
10914 | 구글, 생성형AI 개발 도구 3종 공개...개발 생태계 지원 | 704 | 2024-04-11 |
10913 | 獨 슐레스비히홀슈타인주 “OS 등 오픈소스로 바꾼다” | 624 | 2024-04-09 |
10912 | 핀란드 사일로, 북유럽 언어 위한 오픈 소스 LLM '바이킹' 출시 | 593 | 2024-04-09 |
0개 댓글