오픈소스 취약점을 극복하는 '로맨틱한 5단계'
2015년 02월 17일 (화)
ⓒ CIO Korea, Steve Ragan | CIO
나에게 맞는 상대 고르기
완벽하게 맞는 오픈소스를 찾아라. 협업과 크라우드 소싱(Crowd sourcing)을 커뮤니티 기반의 취약성 보고와 조합한다(NVD(National Vulnerability Database)+상용 오픈소스 데이터베이스=완벽한 오픈소스 맞춤).
OpenHub.net 과 지트허브(GitHub) 등을 활용해 관심이 있는 프로젝트의 이력과 활동 및 그 이면의 개발자에 관한 정보를 얻고 비교해 보자.
프로젝트와 딱 맞는 오픈소스를 찾기 위해서는 커뮤니티 활동을 통합 안정성, 사용자 참여를 통한 탄탄한 개발, 조직의 위험 허용범위에 맞는 이력 등을 조합해야 한다.
데이트
최신의 안전한 오픈소스만 앱에 통합될 수 있게 한다 (결함없는 깨끗한 오픈소스는 안전한 성관계와도 일맥 상통한다).
주기적인 점검을 통해 건전한 오픈소스를 안전하게 유지할 수 있다. 코드 스캔 툴과 이에 수반되는 정책 및 프로세스를 활용해 오래되고 취약한 소프트웨어 구성요소를 없애고 소프트웨어 카탈로그에 산재해 있는 혼란스럽고 자원 소모적인 버전을 정리할 수 있다.
신혼여행 단계
깨끗하게 정리하라! 툴과 코드의 질을 높이기 위한 모범사례를 구축해 코드의 안전성을 확보한다. 전체 보안 취약성의 절반이 바로 이 코드 품질 문제에 해당된다.
엄격한 팀 기반의 코드 검토(내부 코드) 및 (OSS 의) 조기 커뮤니티 공개를 통해 커버리티(Coverity), 포티파이(Fortify), 클럭워크(Klocwork), BDS(Black Duck Suite) 등의 툴을 이용해 자동화를 보완할 수 있다.
소울 메이트
‘그 것’을 찾았을 때 알아보라. 버그를 찾아내고 취약성을 없애려면 많은 눈이 필요한 것이 아니라 ‘정확히’ 찾아낼 수 있는 눈이 필요하다.
개발자와 사용자는 ‘제대로 된’ 자질을 갖춘 사람이어야 한다. 그리고 중요 인프라가 관련되어 있거나 공공 소프트웨어를 개발하는 프로젝트는 내부 전문가와 일반 개발자를 보완하기 위해 보안에 능통한 개발자를 영입해야 한다.
관계 유지하기
관계의 균형을 유지하라. 개발자 요구사항과 보안 목표 사이의 균형을 반드시 유지해야 한다. 유연성이 부족한 보안 체제는 문제를 유발한다.
빈틈 없는 보안 정책이 엉성한 사용자 행태를 막을 수 있을 것처럼 보이지만, 정책이 너무 엄격하면 사용자와 개발자에게 무시당하거나 그들이 프로젝트나 기술을 멀리하는 경향이 나타날 수 있다. 보안 정책은 실제 위협의 수준과 범위를 반영하면서도 기술을 무용지물로 만들지 않아야 한다.
※ 본 내용은 한국IDG(주)(http://www.itworld.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒITWORLD. 무단전재 및 재배포 금지
번호 | 제목 | 조회수 | 작성 |
---|---|---|---|
공지 | [Open UP 활용가이드] 공개SW 활용 및 개발, 창업, 교육 "Open UP을 활용하세요" | 435593 | 2020-10-27 |
공지 | [Open UP 소개] 공개SW 개발·공유·활용 원스톱 지원 Open UP이 함께합니다 | 424481 | 2020-10-27 |
3913 | 화웨이, MWC2015에서 ‘오픈 로드’ 비전 제시 | 3332 | 2015-02-26 |
3912 | 오픈소스 취약점을 극복하는 '로맨틱한 5단계' | 3891 | 2015-02-23 |
3911 | 상용 웹애플리케이션서버(WAS)의 오픈소스 마이그레이션 방법과 사례 | 3566 | 2015-02-23 |
3910 | [오픈소스의 힘] ① 우리 삶 속으로 깊이 파고든 오픈소스 | 3376 | 2015-02-23 |
3909 | 인공팔을 10만원에 만든 디지털기술의 힘 | 3347 | 2015-02-23 |
3908 | 3D 프린팅 메이커의 장, 2회 메이커포럼 '꿈을 프린트하는 사람들' | 3565 | 2015-02-23 |
3907 | 애플·구글 구도 깨라…플랫폼 패권 전쟁 | 3549 | 2015-02-23 |
3906 | 구글, 클라우드 서비스 벤치마킹 툴 공개 | 3351 | 2015-02-23 |
3905 | 타이젠폰 출시 한달만에 10만대 돌파…타이젠 생태계 확장 되나? | 3677 | 2015-02-23 |
3904 | [개발인] 홍재석 “글쓰기도 개발도, 본질은 공유” | 3269 | 2015-02-23 |
0개 댓글