XZ Utils Scare는 소프트웨어 보안의 어려운 진실을 폭로합니다

거의 모든 주요 Linux 배포판에 존재하는 XZ Utils 데이터 압축 유틸리티에서 백도어가 최근 발견된 것은 오픈 소스 구성 요소를 사용하는 조직이 궁극적으로 소프트웨어 보안에 대한 책임을 진다는 점을 분명히 상기시켜 줍니다.

수천 개의 다른 오픈 소스 프로젝트와 마찬가지로 XZ Utils는 자원 봉사로 운영되며, 이 경우 단일 관리자가 이를 관리합니다. 이러한 프로젝트에는 보안 문제를 처리할 리소스가 거의 또는 전혀 없는 경우가 많습니다. 즉, 조직은 스스로 위험을 감수하고 소프트웨어를 사용합니다. 이는 보안 및 개발 팀이 내부에서 개발한 코드와 동일한 방식으로 오픈 소스 위험을 관리하기 위한 조치를 구현해야 함을 의미한다고 보안 전문가는 말합니다.

Endor Labs의 창립 제품 관리자인 Jamie Scott은 "조직이 공급망 위험에 대한 [모든] 노출을 효과적으로 방지할 수는 없지만 공급망 공격이 성공할 가능성을 줄이는 전략에 절대적으로 집중할 수 있습니다."라고 말합니다.

오픈소스는 아웃소싱과 다릅니다. “오픈소스 소프트웨어 관리자는 자원봉사자입니다. 산업 수준에서 우리는 그들을 그렇게 대해야 합니다. 우리는 소프트웨어를 소유합니다. 우리는 재사용하는 소프트웨어에 대한 책임이 있습니다.”

선의, 자원 부족

오픈소스 소프트웨어 보안에 대한 우려 결코 새로운 것은 아닙니다. 그러나 종종 다음과 같은 발견이 필요합니다. Log4Shell 취약점 그리고 XZ Utils의 백도어 조직이 코드의 구성 요소에 얼마나 취약한지 실제로 파악합니다. 그리고 종종 코드는 선의로 만들어졌지만 최소한의 유지 관리로 리소스가 부족한 오픈 소스 프로젝트에서 나온 경우가 많습니다.

예를 들어 XZ Utils는 기본적으로 1인 프로젝트입니다. 다른 개인이 성공했습니다. 유틸리티에 백도어를 몰래 삽입하다 거의 3년에 걸쳐 프로젝트 관리자로부터 점차적으로 충분한 신뢰를 얻음으로써. Microsoft 개발자가 3월 말 데비안 설치와 관련된 이상한 동작을 조사할 때 이 백도어를 발견하지 못했다면 백도어는 대기업과 정부 기관에 속한 장치를 포함하여 전 세계적으로 수백만 대의 장치에 설치되었을 것입니다. 밝혀진 바에 따르면, 백도어는 Debian, Fedora, Kali, 공개 SUSE 및 Arch Linux의 불안정한 베타 버전에만 존재했던 XZ Utils 버전에 영향을 미쳤기 때문에 최소한의 영향을 미쳤습니다.

다음 오픈 소스 코드 손상은 훨씬 더 심각할 수 있습니다. Tidelift의 공동 창립자이자 CEO인 Donald Fischer는 "기업 조직에서 가장 무서운 부분은 애플리케이션이 XZ Utils와 같은 오픈 소스 소프트웨어 프로젝트를 기반으로 구축된다는 것입니다."라고 말합니다. “XZ Utils는 일반적인 기업 조직에서 매일 사용하는 수만 개의 패키지 중 하나입니다.”라고 그는 말합니다.

이들 조직 중 대부분은 위험을 평가할 수 있을 만큼 소프트웨어 공급망의 해당 부분에 대한 보안 및 탄력성에 대한 충분한 가시성이 부족하다고 그는 지적합니다.

최근 하버드 비즈니스 스쿨 연구에 따르면 오픈 소스 소프트웨어의 수요 측면 가치는 무려 8.8조 44천억 달러에 달할 것으로 추정됩니다. 유지관리자는 이 생태계의 핵심이며 그들 중 다수가 단독으로 활동하고 있다고 Fischer는 말합니다. 작년에 Tidelift가 실시한 설문조사에 따르면 오픈 소스 프로젝트 유지관리자의 XNUMX%가 자신을 프로젝트의 유일한 유지관리자라고 설명했습니다. XNUMX%는 자신을 무보수 취미생활자라고 밝혔으며, 같은 비율은 프로젝트 관리자로서의 역할을 그만뒀거나 그만두는 것을 고려했다고 말했습니다. 많은 유지보수 담당자는 자신의 노력을 스트레스가 많고, 외롭고, 재정적으로 보상이 없는 일이라고 설명했다고 Fischer는 말합니다.

Fischer는 “XZ utils 해킹은 기업 조직이 의존하는 오픈 소스 소프트웨어 공급망의 건전성과 탄력성에 대한 과소 투자의 위험을 극명하게 안도시킵니다.”라고 말합니다. “기업 조직은 가장 신뢰받는 오픈 소스 패키지의 대부분이 스스로를 무보수 취미 생활자라고 묘사하는 자원 봉사자들에 의해 유지 관리된다는 점을 깨달아야 합니다. 이러한 유지관리자는 기업 공급업체는 아니지만 그들처럼 일하고 제공할 것으로 기대됩니다.”

위험: 전이적 종속성

A Endor가 수행한 연구 2022년에는 오픈소스 취약점의 95%가 소위 전이적 종속성, 즉 기본 오픈소스 패키지가 의존할 수 있는 보조 오픈소스 패키지나 라이브러리에 존재한다는 사실이 밝혀졌습니다. 이러한 패키지는 개발자가 직접 선택하지 않고 개발 프로젝트의 오픈 소스 패키지에 의해 자동으로 사용되는 경우가 많습니다.

"예를 들어, 하나의 Maven 패키지를 신뢰하면 결과적으로 암시적으로 신뢰하는 추가 종속성이 평균적으로 14개가 됩니다."라고 Scott은 말합니다. "이 숫자는 신뢰하는 모든 소프트웨어에 대해 평균 77개의 다른 소프트웨어 구성 요소를 가져오는 NPM과 같은 특정 소프트웨어 생태계에서는 훨씬 더 큽니다."

오픈소스 위험 완화를 시작하는 한 가지 방법은 이러한 종속성에 주의를 기울이고 어떤 프로젝트를 선택할지 신중하게 선택하는 것이라고 그는 말합니다.

조직은 종속성을 조사해야 하며, 특히 1인 및 2인 팀이 관리하는 소규모 일회성 패키지의 경우 더욱 그렇습니다. Endor의 CTO이자 공동 창립자인 Dimitri Stiliadis. 그들은 해당 환경의 종속성에 적절한 보안 제어가 있는지 또는 한 개인이 모든 코드를 커밋하는지 확인해야 합니다. 저장소에 아무도 모르는 바이너리 파일이 있는지 여부 또는 누군가가 적극적으로 프로젝트를 유지 관리하는 경우에도 Stiliadis는 말합니다.

"대응 효율성을 향상시키는 데 노력을 집중하십시오. 성숙한 소프트웨어 인벤토리 유지와 같은 기본 제어는 소프트웨어 위험이 식별되면 신속하게 식별하고 범위를 지정하며 이에 대응할 수 있는 가장 높은 가치의 프로그램 중 하나입니다." Scott 조언합니다.

소프트웨어 구성 분석 도구, 취약성 스캐너, EDR/XDR 시스템 및 SBOM은 모두 조직이 취약하고 손상된 오픈 소스 구성 요소를 신속하게 식별하는 데 도움이 될 수 있습니다.

위협을 인식

Tidelift의 Fischer는 “노출 완화는 최고 경영진은 물론 심지어 이사회 차원에서도 평균 소프트웨어 제품의 구성 요소 중 약 70%가 역사적으로 보상을 받지 못한 기여자들이 만든 오픈 소스 소프트웨어라는 점을 공유하고 인정하는 것에서 시작됩니다.”라고 말합니다.  

금융 서비스 업계, FDA 및 NIST의 새로운 규정 및 지침은 앞으로 몇 년 동안 소프트웨어가 개발되는 방식을 형성할 것이며 조직은 지금 이에 대비해야 합니다. “여기서 승자는 대응 전략에서 사전 대응 전략, 오픈 소스 관련 위험 관리에 빠르게 적응할 것입니다.”라고 그는 말합니다.

Fischer는 조직이 보안 및 엔지니어링 팀을 통해 새로운 오픈 소스 구성 요소가 환경에 어떻게 도입되는지 확인할 것을 권장합니다. 또한 이러한 구성 요소를 모니터링하기 위한 역할을 정의하고 회사의 위험 선호도에 맞지 않는 구성 요소를 사전에 제거해야 합니다. “최종 단계의 문제에 대응하는 것은 지난 몇 년 동안 비즈니스에 대한 위험 규모를 처리하는 비효율적인 방법이 되었습니다. 미국 정부가 신호를 보내고 있다 그 시대는 끝나고 있다”고 말했다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/application-security/xz-utils-scare-exposes-hard-truths-in-software-security