보안 / 오픈소스

2023년, 고위험 오픈소스 취약점 급증했다…시놉시스 보고서

Paul Krill  | InfoWorld 2024.02.29
애플리케이션 보안 테스트 업체 시놉시스가 2023년 위험성을 평가한 코드베이스의 약 3/4에 고위험 취약점이 있는 오픈소스 구성요소가 포함돼 있다는 조사 결과를 발표했다.
 
ⓒ Getty Images Bank

조사에 따르면 소스 취약점이 하나 이상 있는 코드베이스는 전년 대비 84%로 일정한 수준을 유지했지만, 고위험 취약점이 있는 코드베이스의 수가 2022년 48%에서 2023년 74%로 급격히 증가했다. 시놉시스가 정의하는 고위험 취약점은 악용되었거나 개념 증명 취약점이 문서화된 취약점, 또는 원격 코드 실행 취약점으로 분류된 것을 말한다.

시놉시스는 9번째 연례 오픈소스 보안 및 위험 분석(OSSRA) 보고서를 2월 27일 공개했다. 시놉시스 블랙덕 감사 서비스팀은 2023년 17개 산업 분야의 총 1,067개 코드베이스에서 익명화된 결과를 분석했다. 이 팀은 인수합병 거래 중 소프트웨어 위험 식별을 목표로 매년 수천 개의 고객 코드베이스를 감사한다.

그 외 오픈소스 보안 및 위험 분석 보고서의 조사 결과를 요약하면 다음과 같다.
 
  • 기업은 오래되거나 비활성화된 오픈소스 구성요소에 의존하는 경우가 많으며, 코드베이스의 91%가 10년 이상 오래된 구성요소를, 코드베이스의 49%는 지난 2년 동안 개발 활동이 없었던 구성요소를 포함하고 있다. 또한, 코드베이스의 약 1/4이 10년 이상 된 취약점을 나타냈다.
  • 고위험 오픈소스 취약점의 비율이 가장 높았던 산업 분야는 컴퓨터 하드웨어 및 반도체 산업으로 88%를 기록했고, 제조 및 로봇 공학이 87%로 그 뒤를 이었다. AI, BI, 머신러닝, 빅데이터 기업의 코드베이스 66%가 고위험 취약점의 영향을 받았다.
  • 상위 10개 중 8개 취약점은 사이트 간 스크립팅을 포함하는 취약점 유형인 부적절한 무력화 취약점과 관련이 있다.
  • 코드베이스의 절반 이상이 오픈소스 라이선스 충돌이 있는 코드를 사용했다. 31%는 식별 가능한 라이선스가 없거나 맞춤형 라이선스를 사용했다.
editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.