열린마당
2024.04.12
ⓒCIO Korea / Chris Hughes | CSO
OWASP 상위 10대 오픈소스 소프트웨어(OSS) 위험 목록은 보안 실무자가 CVE 카탈로그 같은 후행 지표를 극복하고 OSS 구성 요소를 안전하게 사용할 수 있도록 지침을 제공한다.
최근 OSS의 보안 및 사용 방식을 비판적으로 검토해야 한다는 요구가 늘고 있다. XZ 유틸(XZ Utils) 사건처럼 오픈소스 소프트웨어의 여러 취약점과 위험이 노출됐기 때문이다.
지난 3월 XZ 파일의 압축 및 압축 해제를 위해 널리 사용되던 OSS인 XZ 유틸에 백도어 악성코드가 발견됐다. 만약 제때 발견되지 않았다면 지금까지 가장 심각한 소프트웨어 공급망 침해 사고 중 하나가 됐을 수 있다. 비록 로그4j(Log4j)만큼 광범위하게 악용되진 않았지만, 현대 디지털 생태계가 매우 취약하며 OSS를 소비하고 보호하는 방식을 개선해야 한다는 경각심을 일깨우는 계기가 됐다.
이런 사고에 대응해 OWASP(Open Web Application Security Project)의 OSS 10대 위험 등 사이버 보안 실무자를 위한 추가 리소스 및 지침도 발전하고 있다. 이는 OSS를 안전하게 관리하고 사용하는 방식을 개선하는 데 도움을 준다.
OWASP 목록은 원래 소프트웨어 공급망 및 애플리케이션 보안 기업인 엔도르랩(Endor Labs)이 OSS, CI/CD 파이프라인 및 취약점 관리의 안전한 사용에 중점을 두고 제작했다. 팔로알토, 하시코프, 씨티은행 등 업계 유명 기업들이 프로젝트를 지원했다.
(후략)
| 번호 | 제목 | 조회수 | 작성 |
|---|---|---|---|
| 공지 | [Open UP 활용가이드] 공개SW 활용 및 개발, 창업, 교육 "Open UP을 활용하세요" | 299179 | 2020-10-27 |
| 공지 | [Open UP 소개] 공개SW 개발·공유·활용 원스톱 지원 Open UP이 함께합니다 | 289062 | 2020-10-27 |
| 10926 | 메타, 차세대 대규모 언어모델 ‘라마3’ 오픈소스 공개 | 194 | 2024-04-22 |
| 10925 | [인터뷰] 라이선스·보안 위협↑…에스코어가 ‘오픈소스 컨설팅’ 강조하는 이유 | 167 | 2024-04-22 |
| 10924 | “당하는 줄도 모르고 당한다”…SW 공급망 해킹 늘자 팔 걷은 정부 | 167 | 2024-04-22 |
| 10923 | 수세코리아 “오픈소스 전문성 살려 기업별 맞춤 해결책 제시할 것” | 191 | 2024-04-19 |
| 10922 | 리눅스재단, 기업용 AI 플랫폼 ‘OPEA’ 출격…오픈소스 진영 뭉친다 | 248 | 2024-04-18 |
| 10921 | [주간 OSS 동향리포트] IBK기업은행, 오픈소스 보안 취약점 점검 체계 도입 | 474 | 2024-04-17 |
| 10920 | "누구나 쉽게 쓰는 '생성형 AI'…정책에도 이용할 단계 왔다" | 274 | 2024-04-16 |
| 10919 | '더 나은 오픈소스 보안을 위한 가이드' OWASP 상위 10대 OSS 위험 톺아보기 | 311 | 2024-04-15 |
| 10918 | 메타, AI의 ‘현실 이해' 돕는 오픈 소스 데이터셋 출시 | 284 | 2024-04-15 |
| 10917 | 카카오, 글로벌 오픈 소스 커뮤니티 ‘AI 얼라이언스’ 가입 | 243 | 2024-04-15 |
0개 댓글