소프트웨어는 모든 현대 비즈니스의 핵심이며 운영의 모든 측면에서 중요합니다. 독점 소프트웨어도 오픈 소스 라이브러리에 의존하기 때문에 거의 모든 비즈니스는 고의로든 아니든 오픈 소스 소프트웨어를 사용할 것입니다. OpenUK의 2022년 "개방 상태" 보고서에 따르면 89%의 기업이 오픈 소스 소프트웨어에 의존하고 있지만 모든 기업이 의존하는 소프트웨어의 세부 사항에 대해 명확하지 않습니다.
기업은 운영에 중요한 소프트웨어에 대한 더 많은 정보를 점점 더 많이 요구하고 있습니다. 책임 있는 기업은 소프트웨어 공급망에 세심한 관심을 갖고 각 애플리케이션에 대한 소프트웨어 자재 명세서(SBOM)를 작성하고 있습니다. 이 수준의 정보는 소프트웨어에서 보안 결함이 식별되면 사용 중인 소프트웨어와 버전, 영향을 받는 시스템을 즉시 확인할 수 있도록 하는 데 매우 중요합니다. 이러한 상황에서 지식은 힘입니다!
자원 봉사자에 대한 의존
2021년 말, 보안 취약점 Log4Shell 널리 사용되는 Java 로깅 프레임워크인 Log4j에서 식별되었습니다. 이것은 널리 사용되는 오픈 소스 라이브러리이기 때문에 취약점이 널리 알려졌고 수정이 예상되었습니다. 그러나, 그 프로젝트의 관리자는 자원 봉사자였습니다.. 그들은 많은 시스템이 영향을 받더라도 하루 일과가 있었고 긴급 보안 수정 요청을 받지 않았습니다. 이 취약점만으로도 엔터프라이즈 클라우드 환경의 93%에 영향을 미친 것으로 추정됩니다.
당시에는 오픈 소스에 대해 부정적인 언론이 있었지만, 사실 이것이 폐쇄 소스 구성 요소였다면 취약점이 공개적으로 알려지지 않았을 수 있으며 조직이 공격에 노출될 수 있다는 것입니다. 라이브러리의 오픈 소스 특성은 검사할 수 있고 문제를 발견하고 다른 사람이 조언을 제공할 수 있음을 의미했습니다. 예, 유지 관리자는 자원 봉사 프로젝트에서 보안 문제에 대한 요청을 받지 않았습니다. 그렇다면 큰 질문은 다음과 같습니다. 주요 회사가 청구서를 지불하기 위해 다른 일을 하는 사람이 책임져야 하는 소프트웨어에 어떻게 의존하게 되었습니까?
소프트웨어 종속성을 무시하는 것은 소프트웨어 라이선스에 관계없이 위험한 비즈니스이지만, 오픈 소스이고 매우 널리 사용되면 특히 위험해집니다. 하나의 취약점에 대한 이야기를 고수합니다. 문제는 수년 동안 코드베이스에 존재했지만 발견되지 않았습니다. 그렇게 널리 사용되었던 도구는 사실 그렇게 널리 지원되지 않았습니다. 다음에 일어난 일은 역사다.
이 이야기는 중요한 종속성이 있지만 유지 관리자나 프로젝트 자체를 지원하기 위한 조치를 취하지 않는 수많은 비즈니스에서 계속해서 반복됩니다. 비즈니스에서 사용하는 소프트웨어에 대한 SBOM이 있다는 것은 그들이 정보를 가지고 있다는 것을 의미합니다. 다른 사람에게 소프트웨어를 공급하는 조직의 경우 코드와 함께 SBOM을 제공하는 것이 점점 더 표준이 되고 있습니다.
위험 평가를 위한 종속성 파악
종속성에 대한 지식을 가져오면 각각과 관련된 위험을 더 쉽게 평가할 수 있습니다. 이러한 오픈 소스 프로젝트는 평가하기 가장 간단합니다. 문제에 응답했으며 최근 릴리스가 있었습니까? 각 프로젝트에 대한 관리자와 프로젝트 활동을 볼 수 있으면 프로젝트의 상태에 대한 좋은 통찰력을 얻을 수 있습니다.
기업은 자신이 의존하는 프로젝트를 지원함으로써 위험을 줄이기 위해 자신의 역할을 할 수 있습니다. 일부 프로젝트는 GitHub 스폰서 체계를 통해 직접 후원을 수락하고, 다른 프로젝트는 대신 호스팅 제안이나 보안 감사에 감사할 수 있습니다. 모든 오픈 소스 프로젝트는 기여를 높이 평가합니다. 회사에서 이 라이브러리를 자체적으로 만든 경우 회사 내부의 엔지니어가 모든 버그를 스스로 수정해야 합니다.
오픈 소스는 공유 소유권 체계에 가깝습니다. 우리 모두는 같은 것을 반복적으로 만들 필요는 없지만 기여할 수 있습니다. 이는 노력을 덜 들이고 결과적으로 더 나은 품질로 이어집니다. 기업이 할 수 있는 가장 영향력 있는 일 중 하나는 약간의 엔지니어링 리소스를 사용하고 버그 수정 또는 프로젝트 기능에 기여 비즈니스의 핵심입니다.
프로젝트에 자신의 엔지니어 참여 유지 많은 이점이 있습니다. 그들은 그것을 알게되고 새로운 기능이나 새로운 릴리스가 나올 때 주시할 수 있습니다. 결정적으로, 비즈니스는 종속 프로젝트의 상태와 상태에 대한 통찰력을 갖고 있으며, 이를 건강하게 유지하여 종속 문제가 있는 비즈니스에 대한 위험을 줄입니다. Aiven을 포함한 많은 조직에는 조직에서 사용하는 프로젝트에 기여하거나 유지 관리하는 전담 직원이 있는 OSPO(오픈 소스 프로그램 사무실)가 있습니다. 이러한 부서는 종종 오픈 소스 생태계에서 회사의 전반적인 존재에 기여하고 다른 직원이 오픈 소스에 참여할 수 있도록 합니다.
또 다른 접근 방식은 오픈 소스를 지원하기 위해 존재하는 조직을 지원하는 것입니다. 그만큼 OpenSSF(오픈 소스 보안 재단) 오픈 소스 프로젝트의 보안을 개선하기 위해 노력하고 해당 프로젝트에 의존하는 조직에서 자금을 지원합니다. 또한 기업이 사용하는 소프트웨어의 위험에 대해 스스로 교육할 수 있도록 우수한 학습 리소스를 게시합니다. 또 다른 유사한 조직은 조수, 특정 기본 요구 사항이 충족되도록 유지 관리자와 파트너 관계를 맺고 다시 조직에서 자금을 지원합니다. Tidelift는 또한 기업이 소프트웨어 공급망을 관리하고 이 분야에서 모범 사례를 채택하는 데 도움이 되는 도구와 교육을 제공합니다.
보다 안전한 소프트웨어 미래 확보
기업은 소프트웨어에 의존하며 여기에는 널리 사용되며 일반적으로 독점 대안보다 더 안전한 오픈 소스 소프트웨어가 포함됩니다.
이것은 현명한 조치이지만 더 현명한 조치는 소프트웨어 공급망과 그 종속성에 대한 명확한 지식을 갖는 것입니다. 문제가 발생했을 때 건전한 프로젝트와 사용 가능한 소프트웨어 세부 정보에 따라 모든 조직에 도움이 됩니다. 모든 조직이 이 작업을 수행하면 Log4Shell 취약점과 같은 이벤트가 발생할 위험이 줄어듭니다.
