10개월 전 Log4j 2.0에서 밝혀진 광범위한 결함과 같은 오픈 소스 구성 요소의 취약성으로 인해 데이터 과학자는 분석 및 기계 학습 모델 생성에 자주 사용되는 오픈 소스 코드를 재평가해야 했습니다.
데이터 과학 플랫폼 회사인 Anaconda의 보고서에 따르면 지난해 설문 조사에 참여한 데이터 과학자, 비즈니스 분석가 및 학생 중 40%가 오픈 소스 구성 요소 사용을 줄인 반면 7분의 18은 그대로 유지되었으며 47명만이 오픈 소스 구성 요소 사용을 줄였습니다. %는 프로젝트에 더 많은 오픈 소스 코드를 통합했습니다. Anaconda의 ''2022년 데이터 과학 현황” 지난 주에 발표된 보고서입니다.
소프트웨어 개발자와 IT 부서는 이미 보안 코드를 조사하기 시작했지만 오픈 소스 소프트웨어의 보안에 대한 우려는 데이터 과학 세계에서 상대적으로 새로운 추세라고 Anaconda의 공동 창립자이자 CEO인 Peter Wang은 말합니다.
“IT가 오픈 소스와 Python에 대해 매우 엄격한 태도를 취하는 조직에 근무하는 사람들의 엄청난 비율이 보입니다.”라고 그는 말합니다. “이들은 전문 개발자가 아닙니다. … 그들은 전혀 노련한 개발자가 아닐 수도 있는 데이터 과학자이자 기계 학습 전문가로서, 다운로드할 수 있는 모든 것을 사용하여 분석을 수행한 다음 이를 IT에 넘겼습니다.”
오픈 소스 구성 요소와 일반적으로 소프트웨어 공급망의 보안은 지난 XNUMX년 동안 소프트웨어 개발자, 기업 및 국가 정부 사이에서 주요 고려 사항이 되었습니다. 예를 들어 지난 XNUMX월 미국 국립표준기술연구소(NIST)는 소프트웨어 공급망 위험 해결을 위한 지침 발행. 또한 점점 더 많은 소프트웨어 공급업체가 증가하고 있습니다. Linux Foundation의 OpenSSF(Open Software Security Foundation)에 합류했습니다..
전반적으로 조직의 보안 노력의 성숙도가 향상되었습니다. 약 절반의 기업이 오픈 소스 보안 정책을 시행하고 있으며, 이는 보안 준비 측정에서 더 나은 성과로 이어집니다. XNUMX월 조사에 따르면. 또한, 오픈소스 위험을 통제하려는 노력은 지난 51개월 동안 12%나 급증했습니다. 보안 성숙도에 대한 연구에 따르면 9 월 21.
Synopsys Software Integrity Group의 제너럴 매니저인 Jason Schmitt는 연구 발표 성명에서 “소프트웨어 공급망에 대한 관심이 높아지면서 대부분의 기업 조직은 애플리케이션 보안에 대해 위험 기반 접근 방식을 취하고 있습니다.”라고 말했습니다. “이러한 접근 방식은 보안이 코드베이스에만 국한되지 않는다는 점을 인식합니다. 여기에는 보안 검토 및 테스트가 '어디서나 이동'하여 보안 결과를 지속적으로 개선하는 소프트웨어 개발 프로세스가 포함됩니다."
개발자의 오픈소스 사용 확대
다른 데이터에 따르면 소프트웨어 회사에서는 오픈소스 사용이 전혀 감소하지 않는 것으로 나타났습니다. 대신, 개발 조직에서는 오픈 소스 소프트웨어의 보안을 개선하고 보안을 구성 요소 선택 시 기본 가이드로 사용하는 데 중점을 두고 있습니다.
"2021년 소프트웨어 공급망 현황” 예를 들어, Sonatype의 보고서에 따르면 Maven Central Repository(Java), Node.js(JavaScript), Python Package Index(Python) 및 NuGet 갤러리(.NET) 등 상위 37개 오픈 소스 생태계에 20만 개가 저장되어 있는 것으로 나타났습니다. 오픈 소스 프로젝트 및 구성 요소는 전년 대비 2.2% 증가했습니다. 이러한 구성 요소에 대한 수요도 마찬가지로 증가하고 있습니다. 73조 XNUMX천억 개 이상의 구성 요소가 다운로드되었으며 이는 연간 XNUMX% 증가한 수치입니다.
체인가드(Chainguard)의 오픈소스 책임자인 트레이시 미란다(Tracy Miranda)는 데이터 과학 커뮤니티가 오픈소스 패키지에서 멀어졌다고 자체적으로 보고한 것은 보안 문제에 대한 인식이 높아지고 개발 과정에서 오픈소스 구성 요소를 버리는 것에 대한 인식이 낮아졌다는 것을 의미한다고 말합니다.
데이터 과학 팀과 개발 팀은 주요 보안 문제에 다르게 반응했을 수 있습니다. Log4j 2.0과 같은 — 회사는 하나의 오픈 소스 패키지에서 벗어날 때 관리자가 보안에 더 중점을 두는 다른 패키지를 채택하는 것보다 의지할 것이 거의 없다고 그녀는 말합니다.
“기업은 속도를 높이는 방법으로 오픈 소스를 활용합니다. 규모를 축소하는 경우 무엇으로 축소합니까? 사내에서 코드를 작성하시나요? 패키지된 타사 버전을 사용하시나요?” Miranda는 대신에 "기업들이 특히 보안 기능과 관련하여 사용하는 오픈 소스의 품질에 대해 더 많은 안목을 가질 것으로 예상할 수 있다고 생각합니다"라고 덧붙였습니다.
데이터 과학자들이 따라잡기 위해 노력하고 있습니다
양측 간의 단절은 다양한 설문조사의 대상이 다르기 때문에 발생했을 가능성이 높습니다. Anaconda의 설문 조사는 응답자가 선택한 프로그래밍 언어에서 알 수 있듯이 데이터 과학 전문가를 대상으로 했습니다. 58%는 Python을 사용하고 42%는 SQL을 사용했으며 26%만이 JavaScript를 사용했습니다.
소프트웨어 개발자 감정을 더 잘 측정하는 방법은 StackOverflow의 "2022 개발자 설문 조사,”에 따르면 '코딩을 배우는 사람들'의 58%가 Python을 사용하는 반면, 전문 개발자 중 44%만이 해당 언어로 코드를 작성하는 것으로 나타났습니다. 반면 StackOverflow의 조사에 따르면 전문 개발자의 68%가 JavaScript를 사용합니다.
또한 Anaconda 보고서에 따르면 압도적으로(87%) 오픈 소스 소프트웨어를 허용하는 회사에서 데이터 과학 전문가가 일하는 반면, 약 26분의 18(XNUMX%)은 오픈 소스 선택에 대해 IT 부서의 감독을 최소한으로 받고 있습니다. 또 다른 XNUMX%의 회사에서는 IT 부서가 사용 가능한 오픈 소스 구성 요소의 약 절반만 지정합니다.
수천 개는 아니더라도 수백 개에 이르는 가장 중요한 프로젝트의 관리자는 보안 종속성을 사용하고 자체 코드를 테스트하며 기여자의 신뢰성을 검증해야 합니다. 유지관리자는 보안 성과표도 게시해야 합니다. Google이 만든 이니셔티브는 현재 OpenSSF(Open Source Security Foundation)에서 관리하고 있습니다., 거의 20가지 기준에 따라 프로젝트에 보안 등급을 부여합니다.
인식이 높아질 가능성이 높지만 빠른 해결책은 없다고 Miranda는 말합니다.
“현실적으로 더 안전한 옵션은 이전에는 존재하지 않았습니다.”라고 그녀는 말합니다. "공격 표면을 줄이기 위해 불필요한 종속성을 잘라내는 것은 합리적이지만 일단 종속성 트리가 커지면 하기가 어렵습니다."
