일부 소프트웨어 공급망 취약성 사건은 주요 뉴스가 됩니다. 우크라이나-러시아 분쟁 초기에 node-ipc 개발자들은 러시아 내의 모든 IP 주소에서 그들의 코드를 사용하는 것을 전면 금지하기로 했고, 이는 러시아에서 활동하는 많은 인도주의 및 자선 단체에 의도치 못한 영향을 미쳤습니다. 다른 사건에서는 수익성이 높은 제품에서 코드가 편재하는 것에 불만을 품은 개발자들이 사용자와 더 큰 커뮤니티의 재정적 지원 부족에 대한 관심을 끌기 위해 자신들의 GitHub을 오염시켰습니다.

단순한 타이포스쿼트가 손상된 코드를 전 세계 수천 개의 프로젝트에 배포할 수 있다는 것을 잘 알고 있는 악의적 행위자들에 의해 일반적인 개발자 리소스와 라이브러리가 손상되고 있다는 사실은 부인할 수 없습니다. 하지만 대부분의 악의적인 공급망 멀웨어 인스턴스는 보고되지 않습니다. 그 이유는 그 수가 많기 때문일 가능성이 높습니다. OSS 공급망 사이버 보안 공급업체인 Sonatype의 적극적인 스캔을 통해 npm 생태계 전체에서 102,930개의 악성 또는 잠재적 악성 코드 인스턴스가 발견되었습니다. 일단 개발 파이프라인에 통합되면 손상된 애플리케이션은 QA, 테스트 또는 프로덕션 단계로 진입합니다. 그런 다음 클라우드 자격 증명을 손상시키고, 암호화폐 채굴을 위한 프로세서 사이클을 빼내고, 기업의 IP를 유출하고, 일반적으로 불쾌한 멀웨어 활동인 스모가스보드를 유발할 수 있습니다.

리눅스 커널의 초기 버전 배포로 독점적 UNIX의 마지막 변화가 촉발된 이후 개발자 커뮤니티는 모두를 위한 리소스과 코드를 게시했습니다. 또한 OSS(오픈 소스 소프트웨어)의 이념은 모든 개발자와 소프트웨어에 대한 압도적인 이점 때문에 지속될 것이지만, 그러한 혜택을 제공하는 수단은 범죄에 의해 훼손되고 있습니다. 그것은 인간 행동의 어두운 측면이며, 모든 프로젝트가 공통 라이브러리, 프레임워크 및 코드를 참조하지 않고 처음부터 작성되지 않는 한 피할 수 없는 일입니다.

조직은 내부용으로 ‘승인’된 요소만 포함하는 자체 저장소를 만들거나 최소한 CI/CD 파이프라인으로 들어오는 모든 패키지의 진실성을 보장함으로써 많은 보안 및 품질 관리 문제를 해결했습니다. 제어는 버전 제어 및 호환성, 종속성 해결, CI/CD 자동화, 그리고 모든 애플리케이션에 대한 전체 BOM(Bill of Materials, 자재 명세서)의 상대적으로 간단한 프로덕션을 포함하여 일반적으로 소프트웨어 프로덕션에 이점을 제공합니다. 로컬 저장소는 변경 관리, 새로운 개발 및 그 사이의 모든 단계를 위한 딜리버리 파이프라인에 빠르게 통합됩니다. 하지만 물론 이러한 리소스의 보안 유지는 고비용의 리소스를 소비하는 복잡한 작업입니다.

Source: Shutterstock

목표 달성의 압력을 받는 데브옵스(DevOps) 팀은 실수를 저지를 뿐만 아니라 간접비 절감을 위해 보안 문제를 회피하려는 유혹을 받게 됩니다. 가장 먼저 제외하는 작업은 아마도 모든 라이브러리나 기능에 대한 적절한 조사일 것입니다. 이는 전통적으로 개발자와 보안에 중점을 둔 동료들이 격렬하게 논쟁하는 영역입니다. 소프트웨어 공급망의 모든 부분과 CI/CD 수명 주기에 걸쳐 사이버 보안 모범 사례를 적용하려는 많은 방법과 솔루션이 있습니다.

개발 및 후속 업데이트 전반에 걸쳐 모든 애플리케이션의 핵심 요소는 안전성 및 라이선스 준수 여부에 대한 확인입니다. 즉, 다운로드 시점에서 멀웨어나 호환되지 않는 T와 C가 없으며 CVE 또는 기타 취약성이 명백해질 때(또는 라이선스 조건이 변경될 때) 지속적으로 재검사해야 합니다. 복잡한 애플리케이션에서 이는 수천 개의 구성요소를 관찰하고 관리하는 것을 의미할 수 있으며, 이는 대부분의 조직의 능력을 넘어서는 작업입니다.

이 상황은 소프트웨어에 대한 의존도가 증가함에 따라 변화하지 않고 실제로 악화할 가능성이 높습니다. 세계의 모든 기업과 조직은 규모를 막론하고 계속해서 더 많은 기술을 디지털화하고 배포하고 있습니다. 따라서, 악질 행위자들의 활동도 보조를 맞추어 증가할 것이라고 가정해도 무방합니다. 간단히 말해서 오픈 소스 소프트웨어 개발이 혁신을 가속화하고, 새로운 솔루션을 생산하며, 모든 곳에서 서비스와 앱을 업데이트해야 하는 동시에 문제는 커지고 있는 것입니다.

Sonatype

위에 인용한 수치(192,000개 이상의 악성 패키지)는 Sonatype의 Nexus Firewall에서 실행하는 동작 분석 및 자동 보안 스캔을 통해 수집되었습니다. 이는 조직의 개발 기능을 통해 Log4J 사건으로 대표되는 취약성 유형으로부터 스스로를 보호하는 데 도움이 되는 방법이며, 그 영향은 지속됩니다. SCA(Software Composition Analysis, 소프트웨어 구성 분석)는 조직이 소프트웨어 구성 요소의 보안을 평가하고, 버전을 관리하며, 종속성 문제를 최소화하고, 많은 라이선스 유형의 올바른 면을 유지할 수 있는 프로세스입니다.

Nexus Firewall은 다운로드된 모든 구성 요소를 검역(검토 후 릴리스)하여 기업이 SDLC(소프트웨어 개발 수명 주기)에 허용되는 내용을 완벽하게 제어할 수 있도록 합니다. 정책은 필요에 따라 완화할 수 있으며 패키지 또는 라이브러리 사용 빈도, 사용 기간, 소스, 버전 및 라이선스에 기반한 제어 수준을 포함할 수 있습니다. 후자는 법적 우려를 제기할 수 있는 위반이 발생하지 않도록 하는 추가 이점이 있습니다.

Source: Shutterstock

개발자는 설정된 버전 범위 내에서만 보안된 구성 요소를 사용할 수 있으므로 버전 선택이 낮아지고 주요 종속성을 낮출 수 있습니다. Nexus Repository 또는 JFrog Artifactory Enterprise와 같은 새 버전을 검사하여 로컬 레포로 릴리스할 수 있을 때까지 기본적으로 차단됩니다.

다양한 언어(Java, JS, Ruby, .NET, Python, Go)를 지원하는 Nexus Firewall은 보안, 운영 및 개발 통합, 즉 DevSecOps라는 자주 인용되는 목표에 다가가는 가장 좋은 방법입니다. 더 자세히 알아보고, 가격 및 커뮤니티에 초점을 맞춘 리소스에 대해 알아보려면 Sonatype에서 데모를 예약하십시오.

Qualys

Qualys는 개발 솔루션의 정보 보안 및 컴플라이언스 제공업체로 명성이 높습니다. Jenkins 및 Puppet과 같은 일반적인 CI/CD 플랫폼과 깔끔하게 연결되며 Splunk와 같은 인기 SIEM 플랫폼에도 연결됩니다..

Qualys는 Podman과 Docker를 중심으로 구축된 마이크로서비스의 등장과 컨테이너를 사용한 개발(실험적, 사전 프로덕션 환경 포함)의 안전성을 보장한 최초의 개발자 중심 소프트웨어 플랫폼 중 하나였습니다. 그러한 점에서 Docker 이미지가 손상된 여러 사례는 회사의 보수성을 입증했습니다. 소중한 사용자들을 위해, 예상되는 컨테이너 동작과 실제 배포를 교차 점검하여 악질 행위자의 존재를 암시할 수 있는 이상 징후를 표시할 수 있었습니다.

Qualys 플랫폼은 클라우드 저장소(인기 있는 하이퍼스케일러 서비스에 대한 기본 제공 연결이 있는 곳)에서 단일 개발자가 운영하는 개별 엔드포인트에 이르기까지 사용 가능한 모든 리소스를 스캔할 수 있습니다.

Qualys DevOps 보안 솔루션에 대한 자세한 내용은 여기를 참조하십시오.

Micro Focus

일종의 서드 파티 오픈 소스 소프트웨어를 사용하는 대부분의 앱은 비즈니스 프로세스에 오랫동안 포함될 수 있는 기존 툴링 체인으로 구축되었을 것입니다.

Micro Focus Fortify는 기존 CI/CD 스택을 통해 백포트하여 SDLC의 각 단계에서 더 나은 보안을 역설계할 수 있는 기능을 제공합니다.

이 소프트웨어를 사용하면 보안 스캔을 위해 주요 지점에서 애플리케이션 개발을 일시 중지할 필요가 없습니다. 프로세스가 지속적으로 진행되어 프로덕션 시간 측면에서 가치를 발생시켜 새로운 애플리케이션에 대한 ROI를 기대할 수 있습니다.

이 회사의 초점은 보안의 세 가지 축에 맞춰져 있으며, 깔끔한 BOM을 보장하기 위해 주의가 필요한 세 가지 요소, 즉 인력, 프로세스 및 기술로 가장 잘 설명할 수 있습니다.

부서들이 업데이트를 추진하고 기능을 추가해야 할 뿐만 아니라 새로운 애플리케이션과 서비스를 시장에 출시해야 한다는 압박을 받고 상황에서, Fortify는 안전하게 유지되는 신속한 워크플로를 보장할 수 있습니다.

Micro Focus Fortify가 조직의 소프트웨어 공급망 보안을 어떻게 지원하는지 자세히 알아보려면 여기를 클릭하십시오.