콘텐츠
- 어디서나 오픈 소스
- 오픈 소스 취약점 : 결과
- 가장 취약한 것은 무엇입니까?
- 버그 없음, 스트레스 없음-인생을 파괴하지 않고 인생을 바꾸는 소프트웨어를 만드는 단계별 가이드
- 오픈 소스 취약점의 와일드 웨스트
- 오픈 소스 커뮤니티의 보안이 강화되었습니다. 이제 사용자는 따라 잡아야합니다.
- 오픈 소스 보안에 앞서가는 방법
테이크 아웃 :
오픈 소스 구성 요소는 소프트웨어를 구축하는 좋은 방법이지만, 그 내부의 취약점으로 인해 전체 조직이 위험에 처할 수 있습니다. 자신과 비즈니스를 보호하기 위해 오픈 소스 보안 솔루션에 대한 위험을 파악하고 최신 상태를 유지하십시오.
개발 팀이 경쟁적인 소프트웨어 생산 속도에 발 맞춰 경쟁함에 따라 오픈 소스 구성 요소는 모든 개발자 도구 상자의 필수 부분이되어 DevOps 속도로 혁신적인 제품을 제작 및 배송 할 수 있습니다.
오픈 소스 구성 요소의 취약성을 악용 한 Equifax 위반과 같은 헤드 라인 잡기 데이터 유출과 함께 오픈 소스 사용이 지속적으로 증가함에 따라 조직은 오픈 소스 보안을 관리하고 Wild West의 오픈 소스 취약점을 처리 할 준비가되었습니다. 그러나 문제는 그들이 어디에서 시작해야하는지 아는 것입니다. (자세한 내용은 정 성적 vs 정 성적 : 타사 취약성의 심각도를 평가하는 방법을 변경하는 시간을 참조하십시오.)
어디서나 오픈 소스
WhiteSource는 최근 오픈 소스 보안에 접근하는 방법을 조직이 더 잘 이해하는 데 도움이되는 통찰력을 제공하기 위해 오픈 소스 상태 취약점 관리 보고서를 발표했습니다. 이 보고서에 따르면 미국과 서유럽의 650 명의 개발자가 실시한 오픈 소스 사용에 대한 설문 조사 결과를 포함하여 87.4 %의 개발자가“매우”또는“항상 오픈 소스 구성 요소에 의존하고 있습니다. 또 다른 9.4 %는 오픈 소스 구성 요소를 "때때로"사용한다고 응답했습니다. 눈에 띄는 것은 참가자 중 3.2 %만이 오픈 소스를 사용하지 않는다고 답했으며, 이는 회사 정책의 결과로 여겨 질 수 있습니다.
이러한 수치는 소프트웨어 프로젝트를 진행하는 개발자가 아마도 오픈 소스 구성 요소를 활용하고 있다는 점을 분명히 보여줍니다.
오픈 소스 취약점 : 결과
이 보고서는 또한 NVD (National Vulnerability Database), 보안 권고, 동료 검토 취약성 데이터베이스 및 널리 사용되는 오픈 소스 문제 추적기에서 집계 된 WhiteSource 오픈 소스 데이터베이스에 대해 자세히 조사하여 개발 팀이 필요로하는 오픈 소스 취약성에 대해 알아 봅니다. 다루기 위해서.
결과에 따르면 알려진 오픈 소스 취약점의 수는 2017 년에 거의 3,500 건의 취약점으로 사상 최고치를 기록했습니다. 2016 년과 비교했을 때 공개 된 오픈 소스 취약점 수가 60 % 이상 증가했으며 2018 년에는 속도가 둔화되지 않을 것으로 보입니다.
가장 취약한 것은 무엇입니까?
또한 가장 취약한 오픈 소스 프로젝트를 찾기 위해 데이터베이스를 조사한 결과 놀라운 결과가 나왔습니다. 모든 오픈 소스 프로젝트의 7.5 %가 취약한 반면 가장 인기있는 100 대 오픈 소스 프로젝트 중 32 %는 하나 이상의 취약점을 가지고 있습니다.
하나의 취약점만으로도 여러 라이브러리를 위험에 노출시킬 수 있지만 취약한 오픈 소스 프로젝트에는 평균 8 가지 취약점이 있습니다. 이는 가장 인기있는 오픈 소스 프로젝트가 종종 취약점이 많은 프로젝트임을 의미합니다.
버그 없음, 스트레스 없음-인생을 파괴하지 않고 인생을 바꾸는 소프트웨어를 만드는 단계별 가이드
아무도 소프트웨어 품질에 신경 쓰지 않으면 프로그래밍 기술을 향상시킬 수 없습니다.
이러한 통찰력은 오픈 소스 취약점이 가장 많은 상위 10 개의 오픈 소스 프로젝트 목록을 볼 때 더욱 명확 해집니다. 상위 10 개 목록에는 많은 사람들이 사용하고있는 매우 인기있는 오픈 소스 프로젝트가 포함되어 있습니다.
이러한 프로젝트에는 공통점이 하나 이상 있습니다. 대부분의 프로젝트는 인터넷에 노출되어 있으며 공격 표면이 넓은 노출 된 프런트 엔드 구성 요소이므로 노출하기가 비교적 쉽습니다. 그래서 그들은 오픈 소스 보안 연구 커뮤니티의 많은 관심을 끌고 있습니다.
이러한 프로젝트 중 많은 부분이 공유하는 또 다른 측면은 대부분 상업 회사가 지원한다는 것입니다. 배후의 스테이크와 리소스를 고려할 때 다음과 같은 질문을 할 수 있습니다.
오픈 소스 취약점의 와일드 웨스트
과거에는 오픈 소스 취약점의 발견으로 오픈 소스 구성 요소가 사용하기에 충분히 안전 할 수 있는지에 대한 활발한 논쟁이 일어났습니다. 다행스럽게도 그 시절은 끝났으며 오늘날 우리는보고 된 오픈 소스 취약점의 증가가 오픈 소스 커뮤니티와 보안 커뮤니티가 위협 환경에 대응하기 위해 얼마나 빠르게 대응하고 있는지를 보여줍니다.
오픈 소스 커뮤니티의 기하 급수적 인 성장과 함께 Heartbleed가 번창하고 오픈 소스 보안에 대한 인식이 높아졌으며 오픈 소스를 분석하는 연구원의 군대와 같이 널리 사용되는 구성 요소에서 악명 높은 오픈 소스 취약점 발견 취약점에 대한 프로젝트와 수정에 대한 빠른 처리.
실제로 WhiteSource 보고서에 따르면보고 된 모든 취약점의 97 %가 오픈 소스 커뮤니티에서 제안 된 픽스가 적어도 하나 이상 있으며, 보안 업데이트는 일반적으로 취약점이 게시 된 후 며칠 내에 게시 된 것으로 나타났습니다. (오픈 소스에 대한 자세한 내용은 오픈 소스 : 너무 좋은가?를 확인하십시오.)
오픈 소스 커뮤니티의 보안이 강화되었습니다. 이제 사용자는 따라 잡아야합니다.
오픈 소스 커뮤니티의 협력과 오픈 소스 보안 개선 노력은 취약점 발견, 공개 및 빠른 수정 측면에서 결과를 확실히 보여 주지만, 오픈 소스 커뮤니티의 분산 특성으로 인해 사용자가 계속 유지하기가 어렵습니다.
개발자가 상업용 소프트웨어 구성 요소를 사용하는 경우 버전 업데이트는 비용을 지불하는 서비스의 일부이며 공급 업체는이를 확인하는 데 많은 어려움을 겪을 수 있습니다.
그것은 오픈 소스가 작동하는 방식이 아닙니다. 보고 된 오픈 소스 취약점의 86 %만이 CVE 데이터베이스에 나타남을 보여주는 WhiteSource 데이터. 오픈 소스 커뮤니티의 협업적이고 분산 된 특성으로 인해 오픈 소스 취약점에 대한 정보와 업데이트가 수백 개의 리소스에 게시됩니다. 이러한 종류의 정보는 특히 오픈 소스 사용량을 고려할 때 수동으로 추적 할 수 없습니다.
오픈 소스 보안에 앞서가는 방법
오픈 소스 취약점이 꾸준히 증가하는 것은 일반적인 오픈 소스 사용 방식을 고려할 때 조직이 직접 대처해야하는 과제입니다. 가장 인기있는 프로젝트를 포함하여 많은 수의 오픈 소스 취약점이 압도적으로 보일 수 있지만 커뮤니티가 오픈 소스 보안을 관리하는 방법을 배우는 것이 올바른 방향으로 나아가는 단계입니다.
다음 단계는 오픈 소스 보안 관리에 상용 또는 독점 구성 요소 보안과는 다른 규칙, 도구 및 관행이 포함되어 있다는 점을 인정하는 것입니다. 동일한 취약점 관리 프로그램 및 도구를 사용한다고해서 오픈 소스 보안 관리에 도움이되지는 않습니다.
이러한 차이점을 해결하는 오픈 소스 보안 정책을 채택하고 올바른 기술을 통합하여 관리를 자동화하면 보안 및 개발 팀이 오픈 소스 취약점의 고유 한 문제에 직면하여 훌륭한 소프트웨어 구축 사업으로 돌아갈 수 있습니다.