"파악하고, 예방하고, 수정하자" 구글, 오픈소스 취약점 해결 위한 프레임워크 제안
2021.02.16
©CIO Korea/박예신 | CIO KR
구글은 보안 블로그에서 “오픈소스 소프트웨어의 코드와 종속 항목들은 모두 공개돼 있기 때문에 보안성이 좋아야 하지만 현실적으로는 그렇지 못하다”라며 오픈소스의 보안 문제를 지적했다.
오픈소스 기반 프로그램은 보통 직간적접으로 수천여 개의 패키지와 라이브러리에 종속돼 있다. 개수가 너무 많은 탓에 각 개체가 어떤 제품에 사용됐는지, 어떤 취약점이 연관돼 있는지 일일이 검증하기가 간단치 않다.
또 수천여 개 패키지의 업데이트 여부는 고사하고 오픈소스 소프트웨어에 사용된 패키지를 검증할 수 있는 조직도 제대로 갖춰져 있지 않다는 게 구글의 설명이다.
구글은 이 문제를 해결하기 위한 방안으로 <오픈소스 취약점에 관한 논의 전환을 위한 프레임워크: 파악하고, 예방하고, 수정하자>라는 제목의 포스팅을 블로그에 발표했다.
구글은 블로그에서 ▲소프트웨어 속 취약점 알기 ▲새롭게 추가되는 취약점 예방하기 ▲취약점을 수정하거나 제거하기 등 3가지 영역으로 나눠 오픈소스의 취약점 문제 해결에 나서는 방안을 제안했다.
취약점을 파악하기 위해서는 모든 데이터 소스의 메타데이터를 확보하고, 오픈소스의 취약점 추적을 위한 기준이 필요하다는 설명이다. 또 취약점을 예방하기 위해서는 소프트웨어 개발 과정에서 2FA 등 보안 프랙티스를 준수하고, 취약점을 수정 및 제거하기 위해서는 가용한 제거 옵션들을 이해하는 등의 과정이 필요하다고 구글은 덧붙였다.
(후략)
[원본기사 : https://www.ciokorea.com/news/182959]
※ 본 내용은 한국아이디지(주) (https://www.idg.co.kr/)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒ 2020 International Data Group. 무단전재 및 재배포 금지.
번호 | 제목 | 조회수 | 작성 |
---|---|---|---|
공지 | [Open UP 활용가이드] 공개SW 활용 및 개발, 창업, 교육 "Open UP을 활용하세요" | 361460 | 2020-10-27 |
공지 | [Open UP 소개] 공개SW 개발·공유·활용 원스톱 지원 Open UP이 함께합니다 | 351283 | 2020-10-27 |
9257 | '특허 괴물 공격 막아라'··· 글로벌 은행 2곳, 오픈소스 보호 컨소시엄 가입 | 5484 | 2021-02-19 |
9256 | 이스티오 1.9 공개, 컨테이너와 VM 통합 길 텄다 | 5386 | 2021-02-19 |
9255 | 구글 고(Go) 언어, 그래프 기반 ORM 제공 | 5187 | 2021-02-16 |
9254 | "파악하고, 예방하고, 수정하자" 구글, 오픈소스 취약점 해결 위한 프레임워크 제안 | 5062 | 2021-02-16 |
9253 | [주간 OSS 동향 리포트] 프로그래밍 언어 '러스트', '러스트 재단' 공식 출범 | 5360 | 2021-02-16 |
9252 | 구글 "주요 오픈소스 개발, 익명으로 못하게 하자" | 5151 | 2021-02-15 |
9251 | SW중심대학, 디지털 뉴딜을 주제로 한 공동 해커톤 성황리 종료 | 5282 | 2021-02-15 |
9250 | 구글, 오픈소스 보안취약점 데이터베이스 ‘OSV’ 출시 | 5054 | 2021-02-10 |
9249 | 오라클 인기 낮아졌지만 ’쏠림’ 현상 여전 | 5129 | 2021-02-10 |
9248 | 프로그래밍 언어 ‘러스트’ 재단 출범 | 4970 | 2021-02-10 |
0개 댓글