12월 2일
ⓒ CIO korea, MattAsay, ciokr@idg.co.kr
버그를 찾아내서 고치는 오픈소스 프로세스는 소프트웨어 보안 문제를 다루기 위해서 필요한 과정이다. 오픈소스 보안재단(OpenSSF)은 그간 산발적으로 이뤄졌던 소프트웨어 보안 노력을 조직적으로 진행할 수 있는 구심점을 제공한다.
지난 8월 오픈소스 보안재단(OpenSSF)이 출범했다. 왜 진작 생기지 않았을까? 해커들이 수년간 오픈SSL(OpenSSL), 아파치 스트럿츠(Apache Struts)를 비롯해 수많은 프로젝트의 버그를 악용하여 공격을 감행했지만 오픈소스는 제때 패치가 이뤄지지 않았다. 오픈소스 공급망을 보호하기 위해 모두가 일찍 힘을 합쳤어야 했지만 그러지 못했다. 결국 2020년이 되어서야 업계 차원에서 오픈소스 보안 문제에 조직적으로 대응하기 위해 재단이 세워졌다.
왜?
구글 제품 관리자이자 OpenSSF 이사회 위원인 킴 르완다우스키는 필자와의 인터뷰에서 “모든 사람이 오픈소스를 사용하고 있다. 보안 문제를 저마다 혹은 각각 해결할 이유가 없다”라고 전했다. 맞는 말이다. 하지만 이런 결정이 내려지기까지 왜 그렇게 오래 걸린 것일까?
(후략)
※ 본 내용은 한국아이디지(주) (https://www.idg.co.kr/)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒ 2020 2016 International Data Group. 무단전재 및 재배포 금지.
[ 원문출처 : https://www.ciokorea.com/news/174364 ]
0개 댓글