오픈소스 취약점을 극복하는 '로맨틱한 5단계'
2015년 02월 17일 (화)
ⓒ CIO Korea, Steve Ragan | CIO
![](http://files.idg.co.kr/ciokr/1_matchmaking-100567915-orig.jpeg)
나에게 맞는 상대 고르기
완벽하게 맞는 오픈소스를 찾아라. 협업과 크라우드 소싱(Crowd sourcing)을 커뮤니티 기반의 취약성 보고와 조합한다(NVD(National Vulnerability Database)+상용 오픈소스 데이터베이스=완벽한 오픈소스 맞춤).
OpenHub.net 과 지트허브(GitHub) 등을 활용해 관심이 있는 프로젝트의 이력과 활동 및 그 이면의 개발자에 관한 정보를 얻고 비교해 보자.
프로젝트와 딱 맞는 오픈소스를 찾기 위해서는 커뮤니티 활동을 통합 안정성, 사용자 참여를 통한 탄탄한 개발, 조직의 위험 허용범위에 맞는 이력 등을 조합해야 한다.
![](http://files.idg.co.kr/ciokr/2_dating-100567914-orig_0.jpeg)
데이트
최신의 안전한 오픈소스만 앱에 통합될 수 있게 한다 (결함없는 깨끗한 오픈소스는 안전한 성관계와도 일맥 상통한다).
주기적인 점검을 통해 건전한 오픈소스를 안전하게 유지할 수 있다. 코드 스캔 툴과 이에 수반되는 정책 및 프로세스를 활용해 오래되고 취약한 소프트웨어 구성요소를 없애고 소프트웨어 카탈로그에 산재해 있는 혼란스럽고 자원 소모적인 버전을 정리할 수 있다.
![](http://files.idg.co.kr/ciokr/3_honeymoon-100567916-orig_0.jpeg)
신혼여행 단계
깨끗하게 정리하라! 툴과 코드의 질을 높이기 위한 모범사례를 구축해 코드의 안전성을 확보한다. 전체 보안 취약성의 절반이 바로 이 코드 품질 문제에 해당된다.
엄격한 팀 기반의 코드 검토(내부 코드) 및 (OSS 의) 조기 커뮤니티 공개를 통해 커버리티(Coverity), 포티파이(Fortify), 클럭워크(Klocwork), BDS(Black Duck Suite) 등의 툴을 이용해 자동화를 보완할 수 있다.
![](http://files.idg.co.kr/ciokr/4_soulmate-100567917-orig.jpeg)
소울 메이트
‘그 것’을 찾았을 때 알아보라. 버그를 찾아내고 취약성을 없애려면 많은 눈이 필요한 것이 아니라 ‘정확히’ 찾아낼 수 있는 눈이 필요하다.
개발자와 사용자는 ‘제대로 된’ 자질을 갖춘 사람이어야 한다. 그리고 중요 인프라가 관련되어 있거나 공공 소프트웨어를 개발하는 프로젝트는 내부 전문가와 일반 개발자를 보완하기 위해 보안에 능통한 개발자를 영입해야 한다.
![](http://files.idg.co.kr/ciokr/5_maintaning-100567918-orig.jpeg)
관계 유지하기
관계의 균형을 유지하라. 개발자 요구사항과 보안 목표 사이의 균형을 반드시 유지해야 한다. 유연성이 부족한 보안 체제는 문제를 유발한다.
빈틈 없는 보안 정책이 엉성한 사용자 행태를 막을 수 있을 것처럼 보이지만, 정책이 너무 엄격하면 사용자와 개발자에게 무시당하거나 그들이 프로젝트나 기술을 멀리하는 경향이 나타날 수 있다. 보안 정책은 실제 위협의 수준과 범위를 반영하면서도 기술을 무용지물로 만들지 않아야 한다.
※ 본 내용은 한국IDG(주)(http://www.itworld.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒITWORLD. 무단전재 및 재배포 금지
번호 | 제목 | 조회수 | 작성 |
---|---|---|---|
공지 | [Open UP 활용가이드] 공개SW 활용 및 개발, 창업, 교육 "Open UP을 활용하세요" | 304174 | 2020-10-27 |
공지 | [Open UP 소개] 공개SW 개발·공유·활용 원스톱 지원 Open UP이 함께합니다 | 293810 | 2020-10-27 |
3917 | 과천과학관, 전기자동차 설계자료 오픈소스 제공 | 3436 | 2015-02-27 |
3916 | 맵알, 아파치 '얀'·리소스 관리 통합 오픈소스 프로젝트 '미리어드' 발표 | 3587 | 2015-02-27 |
3915 | 피보탈, 그린플럼-호크 등 오픈소스화 | 3800 | 2015-02-27 |
3914 | 미래부·NIPA `SW마에스트로 퓨처스 과정` 실시 | 3453 | 2015-02-26 |
3913 | 화웨이, MWC2015에서 ‘오픈 로드’ 비전 제시 | 3197 | 2015-02-26 |
3912 | 오픈소스 취약점을 극복하는 '로맨틱한 5단계' | 3755 | 2015-02-23 |
3911 | 상용 웹애플리케이션서버(WAS)의 오픈소스 마이그레이션 방법과 사례 | 3442 | 2015-02-23 |
3910 | [오픈소스의 힘] ① 우리 삶 속으로 깊이 파고든 오픈소스 | 3249 | 2015-02-23 |
3909 | 인공팔을 10만원에 만든 디지털기술의 힘 | 3220 | 2015-02-23 |
3908 | 3D 프린팅 메이커의 장, 2회 메이커포럼 '꿈을 프린트하는 사람들' | 3440 | 2015-02-23 |
0개 댓글