오픈 소스 소프트웨어의 중요성과 보안 과제
오픈소스 소프트웨어는 오늘날 디지털 환경의 기반을 형성하며, 전체 애플리케이션의 77%를 차지하고 12조 달러 이상의 가치를 지닙니다.가용성과 커뮤니티 협업이라는 중요한 이점에도 불구하고, 오픈소스 소프트웨어의 확산은 점점 더 정교해지는 공급망 공격을 불러일으키고 있습니다.이러한 사고는 신뢰를 훼손하여 개발자와 사용자 모두 오픈소스 솔루션 사용을 꺼리게 만들 수 있습니다.
최근 공급망 취약점
공급망 공격은 신뢰할 수 있는 소프트웨어 구성 요소에 악성코드를 주입하는 것을 포함합니다.최근 발생한 주요 사건은 다음과 같습니다.
- solana/webjs: 손상된 npm 계정으로 인해 백도어가 생겨 공격자가 암호화폐 개인 키에 접근하여 훔칠 수 있게 되었습니다.
- tj-actions/changed-files: 이 GitHub Action이 오염되어 비밀이 유출되었습니다.
- xz-utils: 정교한 백도어가 삽입되어 악의적인 행위자가 원격으로 액세스할 수 있게 되었습니다.
Google의 OSS 재구축 이니셔티브
이러한 보안 문제에 대한 대응책으로 구글은 OSS Rebuild를 출시했습니다.이 도구는 개발자가 빌드를 재현하여 오픈소스 패키지의 무결성을 검증할 수 있도록 지원합니다.사용자는 유지 관리자의 최소한의 입력으로 소프트웨어 아티팩트 공급망 수준(SLSA) 빌드 레벨 3 요구 사항을 충족할 수 있으며, 이를 통해 소프트웨어 아티팩트 생성에 대한 신뢰할 수 있는 기록을 확보할 수 있습니다.
투명성 향상을 위한 Google의 비전
“OSS Rebuild의 목표는 패키지 소비를 소스 저장소를 사용하는 것만큼 투명하게 만들어 보안 커뮤니티가 공급망을 깊이 이해하고 제어할 수 있도록 하는 것입니다.”
OSS 재구축의 이점
OSS Rebuild 프로젝트는 보안 팀과 소프트웨어 유지 관리자 모두에게 맞춤형으로 수많은 이점을 제공합니다.
- 보안팀을 위해: 제출되지 않은 소스 코드를 식별하고, 손상된 빌드 환경을 발견하고, 숨겨진 백도어를 밝혀내는 도구를 제공합니다.또한, 메타데이터 품질을 개선하고, 소프트웨어 자재 명세서(SBOM)를 개선하며, 취약점 대응 속도를 높여줍니다.
- 유지 관리자를 위한 안내: 이 이니셔티브는 독립적인 검증을 통해 패키지에 대한 신뢰를 강화하고, 기존 패키지에 무결성 증명을 적용하여 개선할 수 있도록 지원합니다.현재 이 프로젝트는 Python용 PyPI, JavaScript/TypeScript용 npm, Rust용 Createsio 등 다양한 생태계를 지원하고 있으며, 향후 더 광범위한 생태계 통합을 계획하고 있습니다.
OSS Rebuild 사용
사용자는 명령줄을 통해 OSS Rebuild를 활용하여 출처 세부 정보를 가져오고, 재구축된 패키지 버전을 탐색하고, 효율적으로 패키지를 재구축할 수 있습니다.
이미지 출처: Depositphotos.com
답글 남기기