구글 "주요 오픈소스 개발, 익명으로 못하게 하자"
2021.02.14
©지디넷코리아/임유경기자
구글 엔지니어들이 오픈소스 소프트웨어의 보안 수준을 높이기 위해, 개발 과정에서 지켜야할 새로운 규칙을 제안했다. 중요 오픈소스 프로젝트의 경우 익명으로 오너나 관리자가 될 수 없고, 프로젝트 오너라해도 코드 변경을 단독으로 결정할 수 없다는 등의 내용이 포함됐다. IT 업계에서 구글이 가진 영향력을 감안하면, 이번 제안이 새로운 표준으로 자리잡을 가능성도 있어 주목할만 하다.
구글은 최근 시큐리티 블로그를 통해 '오픈소스 취약점 논의를 전환하기 위한 프레임워크: 알고, 예방하고, 고치자'(☞원문)라는 포스팅을 게시했다.
이번 포스팅은 오픈소스 소프트웨어의 보안 수준을 한 단계 높이기 위한 방안을 제시하고 있다. 포스팅 작성에는 구글이 개발해 오픈소스로 공개한 고 언어의 설계자 중 한명인 롭 파이크와 구글 인프라스트럭처 전무 겸 구글 펠로우 에릭 브루어 등 구글 소속 톱 엔지니어들이 참여했다.
구글 엔지니어들은 포스팅에서 "오픈소스 소프트웨어는 모든 코드와 종속성(디펜던시)이 공개돼 있고 검사 및 검증에 사용될 수 있으므로 더 보안을 강화해야 하지만, 현실적으로 어려움이 많다"는 점을 지적했다. 오픈소스 소프트웨어가 보통 수천 개의 패키지와 라이브러리에 직간접적으로 의존하고 있는데, 이 수 많은 개별 업체의 신뢰성을 다 확인하기가 쉽지 않다는 설명이다.
특히 공급망 공격을 포함해 악의적인 행동으로부터 주요 오픈소스 프로젝트를 보호하려면 보다 엄격한 개발 규칙이 필요하다고 봤다.
해커들이 보통 이미 알려진 취약점을 공격에 이용하기 때문에 사용하고 있는 오픈소스에 어떤 취약점이 있는지 알고, 예방하고, 수정하는 노력이 기본적으로 뒷받침 되어야 하지만, 이런 노력만으로 공급망 공격까지 대응하기 어렵다는 게 구글 엔지니어들의 생각이다.
(후략)
[원본기사 : https://zdnet.co.kr/view/?no=20210212165839]
※ 본 내용은 (주)메가뉴스 (https://zdnet.co.kr/)의 저작권 동의에 의해 공유되고 있습니다.
© 2020 ZDNET, A RED VENTURES COMPANY. ALL RIGHTS RESERVED. 무단전재 및 재배포 금지.
번호 | 제목 | 조회수 | 작성 |
---|---|---|---|
공지 | [Open UP 활용가이드] 공개SW 활용 및 개발, 창업, 교육 "Open UP을 활용하세요" | 435779 | 2020-10-27 |
공지 | [Open UP 소개] 공개SW 개발·공유·활용 원스톱 지원 Open UP이 함께합니다 | 424711 | 2020-10-27 |
9254 | "파악하고, 예방하고, 수정하자" 구글, 오픈소스 취약점 해결 위한 프레임워크 제안 | 5137 | 2021-02-16 |
9253 | [주간 OSS 동향 리포트] 프로그래밍 언어 '러스트', '러스트 재단' 공식 출범 | 5442 | 2021-02-16 |
9252 | 구글 "주요 오픈소스 개발, 익명으로 못하게 하자" | 5245 | 2021-02-15 |
9251 | SW중심대학, 디지털 뉴딜을 주제로 한 공동 해커톤 성황리 종료 | 5356 | 2021-02-15 |
9250 | 구글, 오픈소스 보안취약점 데이터베이스 ‘OSV’ 출시 | 5143 | 2021-02-10 |
9249 | 오라클 인기 낮아졌지만 ’쏠림’ 현상 여전 | 5194 | 2021-02-10 |
9248 | 프로그래밍 언어 ‘러스트’ 재단 출범 | 5033 | 2021-02-10 |
9247 | 누구나 들어본 적이 있는 리눅스, 그 정확한 개념은? | 5395 | 2021-02-10 |
9246 | 데이터도 '오픈소스'처럼 활용될 수 있을까 | 5429 | 2021-02-10 |
9245 | [주간 OSS 동향 리포트] 볼보, 오픈소스 기반 개방형 플랫폼 '이노베이션 포털' 구축 | 5331 | 2021-02-08 |
0개 댓글