현재 우리가 사용하는 애플리케이션의 90% 이상은 오픈소스 소프트웨어로 이루어져 있습니다. 매일 2만 1천 개 이상의 신규 오픈소스 버전이 매일 공급망에 배포되면서 기업의 보안 위협에 대한 위기감도 증폭되고 있습니다. 현대화된 앱 개발에는 오픈소스를 퍼블릭 라이브러리를 통해 모듈 단위 또는 패키지나 바이너리를 다운로드 받아 활용하기 때문에 기존의 소스 코드 분석 방식으로는 보안 취약점을 찾기 어렵습니다. 또한 퍼블릭 리파지토리는 무결성이 보장되지 않고 네트워크 방화벽으로는 선별적인 패키지 차단이 어려운 것이 사실입니다. 타이포스쿼팅, 의존성 혼동 등 공격기법도 다양해 지고 있습니다.

 

이런 이유로 소프트웨어 개발공급망 보안을 위한 오픈소스의 사용현황을 점검, 파악, 통제 및 관리하는 것이 점점 더 중요해지고 있습니다.

Sonatype은 전 세계 유일의 오픈소스 방화벽과 거버넌스 기술을 통해 소프트웨어 개발 위험요소의 SDLC 유입을 자동으로 차단합니다. 또, 개발의 모든 단계에서 지속적으로 위협 요소를 확인해 정책에 반영하는 보안 방법론 및 거버넌스 자동화를 가능하게 합니다.

 

이번 웨비나를 통해 소프트웨어 공급망 현황과 오픈소스 거버넌스 전략에 대해 알아봅니다.