열린마당
2024.04.12
ⓒCIO Korea / Chris Hughes | CSO
OWASP 상위 10대 오픈소스 소프트웨어(OSS) 위험 목록은 보안 실무자가 CVE 카탈로그 같은 후행 지표를 극복하고 OSS 구성 요소를 안전하게 사용할 수 있도록 지침을 제공한다.
최근 OSS의 보안 및 사용 방식을 비판적으로 검토해야 한다는 요구가 늘고 있다. XZ 유틸(XZ Utils) 사건처럼 오픈소스 소프트웨어의 여러 취약점과 위험이 노출됐기 때문이다.
지난 3월 XZ 파일의 압축 및 압축 해제를 위해 널리 사용되던 OSS인 XZ 유틸에 백도어 악성코드가 발견됐다. 만약 제때 발견되지 않았다면 지금까지 가장 심각한 소프트웨어 공급망 침해 사고 중 하나가 됐을 수 있다. 비록 로그4j(Log4j)만큼 광범위하게 악용되진 않았지만, 현대 디지털 생태계가 매우 취약하며 OSS를 소비하고 보호하는 방식을 개선해야 한다는 경각심을 일깨우는 계기가 됐다.
이런 사고에 대응해 OWASP(Open Web Application Security Project)의 OSS 10대 위험 등 사이버 보안 실무자를 위한 추가 리소스 및 지침도 발전하고 있다. 이는 OSS를 안전하게 관리하고 사용하는 방식을 개선하는 데 도움을 준다.
OWASP 목록은 원래 소프트웨어 공급망 및 애플리케이션 보안 기업인 엔도르랩(Endor Labs)이 OSS, CI/CD 파이프라인 및 취약점 관리의 안전한 사용에 중점을 두고 제작했다. 팔로알토, 하시코프, 씨티은행 등 업계 유명 기업들이 프로젝트를 지원했다.
(후략)
| 번호 | 제목 | 조회수 | 작성 |
|---|---|---|---|
| 공지 | [Open UP 활용가이드] 공개SW 활용 및 개발, 창업, 교육 "Open UP을 활용하세요" | 306205 | 2020-10-27 |
| 공지 | [Open UP 소개] 공개SW 개발·공유·활용 원스톱 지원 Open UP이 함께합니다 | 296029 | 2020-10-27 |
| 1246 | 애플도 오픈소스 AI 대열에 합류··· LLM ‘오픈ELM’ 공개 | 561 | 2024-04-26 |
| 1245 | 칼럼 | ‘라이선스 변경’ 보다 더 시급히 다뤄야 할 오픈소스 문제 | 388 | 2024-04-24 |
| 1244 | [주간 OSS 동향리포트] 메타, AI의 ‘주변 환경 이해'를 돕는 오픈소스 데이터셋 출시 | 650 | 2024-04-22 |
| 1243 | 수세코리아 “오픈소스 전문성 살려 기업별 맞춤 해결책 제시할 것” | 247 | 2024-04-19 |
| 1242 | '더 나은 오픈소스 보안을 위한 가이드' OWASP 상위 10대 OSS 위험 톺아보기 | 384 | 2024-04-15 |
| 1241 | “클라우드 업체 견제 위해”··· 레디스, BSD→듀얼 오픈소스 라이선스로 변경 | 589 | 2024-03-27 |
| 1240 | [주간 OSS 동향리포트] 애플, 시스템 설정 생성용 언어 '피클(Pkl)' 오픈소스 공개 | 1325 | 2024-02-19 |
| 1239 | 구글, AI 기반 퍼징 프레임워크 ‘OSS-퍼즈’ 오픈소스로 개방 | 674 | 2024-02-06 |
| 1238 | [주간 OSS 동향리포트] 기계 전문용어 번역 분야 오픈소스 솔루션 ‘패스터 위스퍼’ 공개 | 1606 | 2024-01-09 |
| 1237 | “원하는 감정·억양 넣은 목소리 만든다”··· 마이쉘, 목소리 생성 오픈소스 알고리즘 공개 | 1281 | 2024-01-04 |
0개 댓글