Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
TOPIC

오픈소스

깃옵스가 '아직' 주류로 부상할 준비가 되지 않은 이유

깃옵스(Gitops)는 2017년 처음 고안된 이후, 특히 요즘 유행하는 분산 컨테이너 전반에 배포되고 쿠버네티스(Kubernetes)에 의해 조율되는 마이크로서비스를 구축하는 기업에서 데브옵스, 코드형 인프라, CI/CD 원칙과 같은 현대 소프트웨어 개발 방식의 자연스러운 발전 방향으로 부상했다. 그러나 업계에서 깃옵스가 애자일 및 데브옵스가 지금까지 이룬 규모의 주류 기술로 채택되기 위해서는 업계가 극복해야 할 여러 중대한 문화적, 기술적 장애물이 아직 남아 있다.   깃옵스란 무엇인가? 깃옵스는 데브옵스를 더욱 확장해 코드를 인프라로 다뤄 애플리케이션과 기반 인프라가 코드로 취급되고 버전 제어 시스템(주로 깃)에 저장되어 개발자와 운영자에게 단일 진실 공급원(single source of truth)을 제공할 수 있도록 한다. 제대로 구현되면 모든 변경 사항이 선언형 코드를 통해 푸시되고, 바람직한 상태로부터 이탈되는 경우 자동화된 단계를 통해 교정된다. 이론적으로는 흠잡을 데가 없지만, 펠로톤(Peloton), 볼보(Volvo), 티켓마스터(Ticketmaster), 저스트 잇 테이크어웨이닷컴(Just Eat Takeaway.com) 등 깃옵스 방식을 테스트 중인 것으로 알려진 기업 가운데 어느 한 곳도 현재 단계에 대해 본지와의 인터뷰에는 응하지 않았다.  IDC의 데브옵스 솔루션 부문 연구 책임자인 짐 머서는 “깃옵스 이니셔티브를 도입 중인 기업과 대화를 해본 적이 없다. 내가 대화를 나눈 기업은 깃옵스라는 말을 들어본 적도 없는 경우가 대부분”이라고 말했다. 2018년 컨테이너 기술 전문업체 애플라틱스(Applatix)를 인수한 후 깃옵스 조기 도입 기업이 된 핀테크 업체 인튜이트(Intuit)의 내부 개발자 플랫폼 부문 제품 관리 책임자인 무쿨리카 카파스는 “깃옵스의 성숙도는 여전히 초기 단계”라고 말했다. 그보다는 소규모 클라우드 네이티브 기업이 소프트웨어 제공 프로세스를 개선하기 위한 깃옵스의 가능성을 탐색하기...

깃옵스 Gitops 컨테이너 2021.05.12

레드햇, ‘레드햇 엔터프라이즈 리눅스 플랫폼 8.4’ 발표

레드햇(www.redhat.com)은 엔터프라이즈 리눅스 플랫폼의 최신 버전인 ‘레드햇 엔터프라이즈 리눅스(Red Hat Enterprise Linux) 8.4’를 발표했다.  레드햇 엔터프라이즈 리눅스는 데이터센터에서 엣지에 이르기까지 오픈 하이브리드 클라우드 기반의 리눅스 플랫폼이다. 엣지 배포를 위한 경량 프로덕션급 운영체제인 레드햇 엔터프라이즈 리눅스 8.4는 플랫폼의 역할을 개선하고 새로운 리눅스 컨테이너와 배포 및 관리 기능을 추가해 엣지 컴퓨터의 요구 사항에 맞춰 확장할 수 있다. 레드햇 엔터프라이즈 리눅스 8.4는 레드햇 엔터프라이즈 리눅스의 개방형 표준 기반 컨테이너 엔진인 포드맨(podman) 업데이트를 시작으로 이러한 이미지의 표준화와 제어를 유지할 수 있도록 한다. 포드맨은 데이터 센터나 원격 엣지 위치에 상관없이 단일 지점에서 오픈 하이브리드 클라우드의 컨테이너 관리를 지원한다. 또한 자동 컨테이너 업데이트 기능을 제공해 엣지에서 컨테이너화된 워크로드를 보다 쉽고 안전하게 실행하도록 돕는다.   레드햇 엔터프라이즈 리눅스 8.4는 다양한 용도로 배포 가능한 맞춤형 운영체제 이미지를 생성하는 이미지 빌더(Image Builder) 도구에 새로운 기능을 추가한다. 엣지 컴퓨팅 워크로드의 경우, 이미지 빌더는 이제 베어메탈용 설치 미디어 생성을 지원한다. 컨테이너 내부에서 실행할 수 있는 레드햇 유니버설 베이스 이미지(UBI, Red Hat Universal Base Image)는 레드햇 엔터프라이즈 리눅스 유저스페이스 콘텐츠로, 새롭게 업데이트되었다. UBI는 컨테이너가 애플리케이션 단에서 레드햇 엔터프라이즈 리눅스와 동일한 수준의 향상된 보안과 효율성을 비롯한 프로덕션급 특성을 유지하도록 지원한다. 엣지 컴퓨팅의 경우, UBI를 경량 마이크로 이미지로 사용할 수 있어 적은 컴퓨팅 자원으로 표준화된 클라우드 네이티브 애플리케이션을 구축하는데 이상적이라고 업체 측은 설명했다. 레드햇 엔터프라이즈 리눅스 8....

레드햇 2021.04.28

PHP 백도어 공격에서 드러난 오픈소스의 허점, 효과적인 코드 검증이 필요하다

정체 불명의 공격자들이 PHP 프로젝트 중앙 코드 리포지토리에 침입, 인터넷의 웹사이트 대부분을 구동하는 런타임에 백도어를 집어넣을 목적으로 악성코드를 추가하는 사건이 발생했다. 공격 집단은 2명의 유명한 PHP 개발자를 가장했지만 코드 커밋(commit) 자체가 그다지 은밀하지는 않아서 몇 시간 만에 다른 개발자의 리뷰를 통해 발각됐다.   다행히 백도어가 소프트웨어 제품의 정식 릴리스에 진입해 일반 사용자에게도 배포된 최근 솔라윈즈(SolarWinds) 침해나 다른 공급망 공격과 같은 광범위한 영향은 없었다. 그러나 사고는 PHP를 유지하는 조직인 PHP 그룹(PHP Group)이 코드 인프라의 운영 방식을 재검토하는 계기가 됐다. 오픈소스 코드는 주요 인터넷 서비스의 중심에 위치하며 현대 애플리케이션 코드베이스의 대부분을 차지한다. 자원 봉사자에 의해 제한적인 리소스로 운영되는 경우가 많은 오픈소스 프로젝트를 대상으로 한 공급망 공격의 수는 지난 몇 년 동안 가파르게 증가했다. 또한 전문가들은 방어가 어려운 만큼 공격자 사이에서 공급망 공격 벡터의 인기가 앞으로 더 높아질 것으로 예상하고 있다. PHP 리포지토리에 무슨 일이 최근 PHP 창안자이자 코어 개발자인 라스무스 러도프의 이름으로 git.php.net의 php-src 리포지토리에 "[skip-ci] Fix typo"라는 이름의 코드 커밋이 푸시됐다. 2시간 후 다른 PHP 기여자가 코드에 오타가 있다는 코멘트를 남겼고, 이후 다른 개발자가 코드의 역할이 무엇인지를 물었다. 이 질문은 보안 전문가인 한 개발자의 관심을 끌었다. 개발자는 '문자열이 'zerodium'으로 시작하는 경우 useragent HTTP 헤더 내에서 PHP 코드를 실행하는 코드'라고 답을 남겼다. 기본적으로 이 코드는 백도어(backdoor)였다. 공격자가 HTTP 헤더에 특정 문자열이 포함된 요청을 보내는 간단한 방법으로 실행이 가능하며, 그러면 감염된 이 PHP 버전을 실행하는 모든 웹 서버에서 임의의 코...

PHP 공급망공격 2021.04.07

큐브리드, 알투비솔루션과 전략적 업무 협약 체결

큐브리드는 실시간 데이터 동기화 전문기업 알투비솔루션과 전략적 업무 협약을 체결했다고 밝혔다. 큐브리드는 이번 협약을 통해 알투비솔루션의 CDC(Change Data Capture) 솔루션 ‘엑스로그(X-LOG)’와 자사의 DBMS 솔루션 ‘큐브리드(CUBRID)’를 연동하고 공동 고객 발굴에 협력할 계획이다. 양사의 솔루션을 사용하는 기업 및 조직에서는 원격 DBMS간 테이블 데이터를 고속으로 이관하고, 실시간으로 양방향 정합성을 검증할 수 있다. ETL 및 ESB 툴과 달리 DB 테이블을 직접 사용하지 않고, 로그를 캡처해 이관하는 방식을 통해 실제 DB에는 부하를 주지 않아 속도와 안정성을 향상시킬 수 있다. 알투비솔루션의 엑스로그는 또한 이기종 DBMS를 지원해 오픈소스 DB로 정확하고 손쉽게 전환할 수 있다. 큐브리드 정병주 대표는 “솔루션 연동을 통해 레거시 시스템을 클라우드로 전환하고자 하는 수요에 효과적으로 대응할 수 있을 것으로 기대한다”며, “기존에 큐브리드가 폭넓은 입지를 다져온 공공, 국방 시장에서의 원격 센터간 이관 및 내외부망 데이터 이관 사업을 비롯해, 알투비솔루션의 주력 분야인 금융, 제조, 리테일 등 다양한 시장에서 공동 레퍼런스를 적극 발굴하고자 한다”고 말했다. 알투비솔루션 장석주 대표는 “금융 마이데이터 사업 등 최근 빅데이터 DB의 활용이 늘어나고 있는 상황에서 리소스를 가장 효과적으로 활용하고자 하는 고민도 깊어지고 있다”며, “클라우드 전환에 유리한 기능적 이점을 가진 큐브리드와의 협력으로 신규 고객 발굴에 박차를 가할 계획”이라고 밝혔다. editor@itworld.co.kr

큐브리드 알투비솔루션 2021.04.07

"자바스크립트, 새로운 자바인가" 자바스크립트의 자바 대체 논쟁

자바는 '한 번 쓰고 어디서나 실행(Write once, run anywhere)'하는 프로그래밍 언어의 대명사다. 이런 자바를 자바스크립트가 대체할까?   답은 보는 관점에 따라 다르다. 또한 웹어셈블리(WebAssembly)와 같은 기술이 등장하면서 새롭게 부상하는 “한 번 쓰고 어디서나 컴파일(write once, compile anywhere)”하는 패러다임이 자바에 새로운 힘을 부여할 수도 있다. 자바는 JVM이 동작하는 곳 어디서나 실행되면서 많은 운영체제와 모바일 및 임베디드 기기를 포함한 하드웨어 플랫폼 간에 이식성을 제공한다. 그러나 뉴트랄리노(Neutralino) 자바스크립트/타입스크립트 프레임워크의 저작자 샬리타 수랑가는 브라우저 내 애플리케이션의 중심이었던 자바스크립트는 이제 일렉트론(Electron) 프레임워크와 같은 기술을 통해 데스크톱 애플리케이션에서, 리액트 네이티브(React Native)와 같은 프레임워크를 통해 모바일 애플리케이션에서, 그리고 Node.js와 데노(Deno)를 통해 웹 백엔드에서도 동작한다고 강조했다. 또한 노드MCU(NodeMCU)와 같은 도구를 통해 IoT와 로봇 개발에서도 자바스크립트를 사용할 수 있다. 디지털 제품 제조업체인 99x의 소프트웨어 엔지니어이자 아파치 프로젝트 관리 위원이기도 한 수랑가는 “요즘은 자바로 할 수 있는 일은 무엇이든 자바스크립트로도 할 수 있다”라고 말했다. 수랑가는 최근 미디엄(Medium)에 “한 번 쓰고 어디서나 실행하는 언어라고 하면 이제 자바가 아닌 자바스크립트”라고 주장하는 글을 게시했다. 자바스크립트, 웹 브라우저에서 서버와 기기로 수랑가는 자바스크립트를 불멸의 언어로, 자바를 서서히 죽어가는 언어로 선언했지만 수랑가의 말이 자바스크립트가 프로그래밍 언어로서의 자바를 대체할 것이라는 의미는 아니다. 이보다는 자바가 빛을 발하는 모든 곳에서(데스크톱 애플리케이션, 웹 서버, 웹 클라이언트, 모바일 앱, 스마트 TV 애플리케이션) 이제 자바스크립트가 ...

자바스크립트 자바 2021.03.30

레드햇, AWS 레드햇 오픈시프트 서비스 ‘ROSA’ 출시

레드햇(www.redhat.com)과 아마존웹서비스(AWS)는 AWS 콘솔에서 제공되는 새로운 매니지드 서비스인 ‘AWS 레드햇 오픈시프트 서비스(Red Hat OpenShift Service on AWS, 이하 ROSA)’의 출시를 발표했다.  레드햇 오픈시프트 고객들은 ROSA를 활용해 AWS에서 보다 쉽게 컨테이너화된 애플리케이션을 구축과 확장, 관리할 수 있다. 또한, 인프라를 수동으로 확장 및 관리할 필요 없이 익숙한 레드햇 오픈시프트 콘솔과 기능, 도구를 활용해 보다 간편화된 쿠버네티스 클러스터를 생성할 수 있다. ROSA는 온프레미스 환경의 레드햇 오픈시프트의 워크로드를 AWS로 이동하는 과정을 간소화하고 AWS서비스와의 긴밀한 결합을 제공한다. ROSA를 통해 고객들은 AWS에서 바로 레드햇 오픈시프트 라이선스 취득과 청구서 발행 및 지원 서비스를 받을 수 있다. ROSA를 사용하는데 드는 추가 비용은 없으며, 실제 사용한 컨테이너 클러스터 및 노드에 대해서만 비용을 지불한다.  ROSA를 통해 고객은 익숙한 레드햇 오픈시프트 API와 도구를 사용하여 빠르고 쉽게 쿠버네티스 클러스터를 생성할 수 있으며 AWS 콘솔 내에서 모든 AWS 서비스를 활용할 수 있다. ROSA는 복잡한 다년 계약이 필요 없는 새로운 레드햇 라이선스를 통해 레드햇 오픈시프트를 종량 요금제로 제공하고 고객의 비즈니스 요구사항에 맞춰 AWS에서 레드햇 오픈시프트를 활용할 수 있게 지원한다. 또한, ROSA는 SOC-2와 ISO-27001, PCI를 비롯한 주요 컴플라이언스 인증을 준수한다. 레드햇 호스트 플랫폼 부문 부사장인 사티시 바라크리쉬난은 “ROSA는 기업이 별도의 기술 스트림을 관리할 필요 없이 레드햇 오픈시프트를 AWS에서도 활용할 수 있게 한다”며, “이를 통해 IT팀은 기반 인프라를 관리할 필요 없이 가치 제공에 집중할 수 있다”라고 밝혔다.  editor@itworld.co.kr

레드햇 2021.03.26

인피니언, 오픈소스 소프트웨어 스택 포함하는 TPM 2.0 솔루션 제공

인피니언 테크놀로지는 포괄적인 TSS(TPM Software Stack) 호스트 소프트웨어를 포함하는 옵티가(OPTIGA) TPM 2.0 솔루션을 제공한다고 밝혔다.  인피니언은 인텔 및 프라운호퍼 보안 정보 기술 연구소와 공동으로 최신 FAPI 표준을 구현한 오픈소스 소프트웨어를 개발했다. 인피니언의 플러그-앤-플레이 옵티가 TPM 2.0을 사용해서 IoT 시스템 통합 업체들이 커넥티드 제품의 보안을 크게 향상시킬 수 있다고 업체 측은 설명했다. TSS-FAPI를 통합한 소프트웨어는 로우 레벨(low-level) 보안 규격에 대한 전문성을 필요로 하지 않으며 소스 코드 개발 작업을 16배까지 단축할 수 있도록 한다. 따라서 개발 비용과 시간을 절약할 수 있다. 또한 레벨 4 이상의 하드웨어 기반 안전이 요구되는 산업용 애플리케이션을 위한 IEC 62443 표준에 따라 산업용 디바이스 인증을 수월하게 한다. TCG(Trusted Computing Group)에서 국제 표준으로 최근에 발표한 FAPI 규격을 관련 툴 및 플러그인과 함께 TSS 스택에 구현했다. 이 TSS 스택은 오픈소스 소프트웨어로 리눅스 기반 시스템에 TPM 2.0을 원활하게 통합할 수 있도록 하며, 디바이스 인증, 데이터 암호화, 소프트웨어 업데이트, 원격 디바이스 관리를 위한 리눅스 소프트웨어 지원을 포함한다. 또한 FAPI(Feature API)는 사용자 인증, SSO(Single Sign-On), 이메일 암호화/서명 용 범용 인터페이스로서 PKCS#11 표준의 기본 지원을 가능하게 한다. FAPI는 최신 첨단 산업용 모범 사례에 따라 암호화 기능, 시스템 통합, 보안 메커니즘의 자동화 처리를 위한 디폴트 구성을 제공한다. 옵티가 TPM이 커넥티드 디바이스의 민감한 데이터를 위한 금고 역할을 해 사이버 공격으로 인한 데이터 소실과 생산 중단의 위험성을 낮춘다고 업체 측은 설명했다. 인피니언 TPM은 정보 보안 제품 평가 CC(Common Criteria) 인증을 받았다....

인피니언 2021.03.25

새로운 무료 소프트웨어 서명 서비스 '시그스토어', 오픈소스 생태계 강화 기대

리눅스 재단(Linux Foundation)이 소프트웨어 개발자가 자신의 릴리스 및 기타 소프트웨어 아티팩트에 디지털 서명하는 데 사용할 수 있는 무료 서비스를 출범했다. 이 프로젝트는 최근 몇 년 사이 전례 없이 많은 공격에 직면한 오픈소스 소프트웨어 공급망의 보안과 감사 가능성을 강화하는 데 목표를 두고 있다.   새로운 서비스의 기반 코드인 시그스토어(sigstore)는 구글, 레드햇, 그리고 퍼듀 대학과의 협력으로 개발됐으며, 앞으로 커뮤니티에 의해 유지 관리된다. 모든 서명 이벤트는 위조 방지 기능이 있고 모니터링을 통해 잠재적 악용을 발견할 수 있는 퍼블릭 로그에 저장된다. 시그스토어 작동 방법  시그스토어는 오픈ID(OpenID) 인증 프로토콜을 사용해 인증서와 ID를 연계한다. 이는 개발자가 자신의 이메일 주소 또는 기존 오픈ID ID 제공업체가 있는 계정을 사용해 소프트웨어에 서명할 수 있음을 의미한다. 예를 들어 마이크로소프트나 애플과 같은 특정 소프트웨어 생태계의 유지 관리자에 의해 신뢰된 인증 기관(CA)으로부터 인증을 받아야 하는 기존 코드 서명과는 다르다. 기존 코드 서명 인증서를 받기 위해서는 ID 확인이 포함된 특수한 절차를 거치거나 개발자 프로그램에 가입해야 한다. 시그스토어 서명 클라이언트는 단기간 유지되는 키 쌍을 생성하고, 리눅스 재단이 운영하는 시그스토어 PKI(public-key infrastructure)에 연결한다. PKI 서비스는 성공적인 오픈ID 연결을 확인하고 소프트웨어 서명에 사용될 키 쌍을 기반으로 인증서를 발급한다. 서명 이벤트는 퍼블릭 로그에 기록되고 이후 키를 폐기할 수 있다. 이는 기존 코드 서명과 또 다른 차이점이다. 각 서명 이벤트에서 새 키 쌍과 인증서가 생성되기 때문이다. 궁극적인 목표는 특정 ID가 특정 시간에 하나의 파일에 서명했다는 공개적 증거를 남기는 것이다. 이 정보를 사용해 정책 및 실행 메커니즘을 만드는 도구를 구축하는 것은 커뮤니티의 몫이다. 구글 오...

시그스토어 리눅스재단 서명 2021.03.15

토픽 브리핑 | 오픈소스의 시대, 중요한 것은 "소스 코드"가 아닌 "사람"

오픈소스가 10년만에 세상을 바꿨다. 2010년대 들어서면서, 클라우드, 빅데이터, 머신러닝, 프로그래밍 언어 등은 오픈소스를 기반으로 급속하게 발전했으며, 엔터프라이즈 IT는 대부분 오픈소스로 전환했다. '오픈소스는 암이다'라고 주장했던 마이크로소프트는 이제 오픈소스의 가장 큰 기여자가 됐다.  클라우드는 오픈소스 세상을 만드는 촉진제가 됐고, 대부분 오픈소스로 이뤄진 빅데이터 기술은 데이터 과학자라는 새로운 직업을 창출하기도 했다. 오늘날 많은 개발자는 오픈소스인 비주얼 스튜디오 코드를 편집기로 사용하고, 오픈소스인 타이프스크립트(TypeScript)를 사용해 웹 애플리케이션을 구축하며, 깃허브를 이용해 코드를 저장한다. 특히 현재 전 세계 최고 성능 슈퍼컴퓨터 500대가 모두 리눅스를 구동한다.   도커에서 데이터과학까지, 오픈소스가 '또 한 번' 세상을 바꾼 방법 MS, 오픈소스 자바 진영에 합류 “TOP500 슈퍼컴퓨터 모두 리눅스 구동” 오픈소스의 가치 증명 아마존, 애플, 구글, 삼성···프로젝트 CHoIP 발족 "오픈소스 스마트홈 표준 위해 뭉쳤다" 2020 베스트 오픈소스 소프트웨어 25선 이렇게 오픈소스는 프로그래밍 언어와 애플리케이션 플랫폼, 머신러닝과 데이터 인프라, 하드웨어까지 전 세계에서 가장 중요한 신기술의 동력이 됐다.  오픈소스가 지금처럼 널리 사용된 적이 없다는 사실에도 불구하고 현재 “오픈소스 지속 가능성’ 위기에 대한 논의가 진행되고 있다. 오픈소스는 지속될 수 없다는 경고는 오픈소스가 탄생한 이래로 계속 되어왔다. 지난 몇 년 동안 이에 대해 많은 논의가 있었고, 일부 타당한 측면도 있었다.  '공유지의 비극'이라는 유명한 개념은 오픈소스 지속가능성을 거론할 때 줄기차게 제시되어 온 주장이다. 또한 오픈소스의 문제점 가운데 하나는 중요한 오픈소스 소프트웨어가 상대적으로 적은 인원으로 관리되고 있으며, 기여자에게는 금전적 보상 방법이 많지 않다는 점이다. 예를 들어, 파이...

오픈소스 2021.03.12

IDG 블로그 | 클라우드는 오픈소스에 독일까 약일까

필자는 오래 전 몇몇 재능있는 개발자와 함께 일하면서 오픈소스의 개념을 알게 됐다. 당시에 오픈소스는 무료 소프트웨어라고 불렸으며, 간단한 유틸리티와 관련 코드가 대부분이었다. 어느 시점에 ‘오픈소스’란 용어가 무료 소프트웨어를 대체했는데, 이 새로운 움직임에서 사업성을 찾던 좀 더 비즈니스 지향적인 그룹의 생각을 반영한 개념으로 재탄생한 것이다. 이를 통해 리눅스, MySQL, 몽고DB, 퍼펫 등등이 태어났다. 이들은 모두 오늘날에도 널리 사용되며, 이어서 오픈소스 소프트웨어를 선호하는, 최소한 사용은 하는 기업이 등장했다.   오픈소스의 매력은 무료라는 것 이상이다. 오픈소스 기술을 선택한 기업은 어떤 솔루션 업체가 다른 업체에 인수되어 지원이 끊어지는 위험을 방지하고자 한다. 이런 일이 일어나도, 코드를 가져와 자체적으로 진행할 수 있다. 퍼블릭 클라우드를 이용하는 기업은 이미 오픈소스 소프트웨어를 클라우드 서비스의 일부로 이해한다. 크게 두 가지가 있는데, 첫째는 클라우드에서 구동하는 서드파티 소프트웨어 시스템이다. 둘째는 오픈소스의 특정 버전으로, 클라우드 네이티브 솔루션으로 재구축되어 이름도 바뀌었지만, 기능적으로는 오픈소스 코드에 의존한다. 이런 소프트웨어를 사용하는 것은 무료이지만, 클라우드 기반 서비스이므로 스토리지나 컴퓨트 자원을 사용하는 비용은 내야 한다. 이 때문에 일부 골수 무료 소프트웨어 지지자로부터 비난을 받는다. 게다가 오픈소스 커뮤니티도 불만인데, 클라우드 서비스 업체는 오픈소스 소프트웨어를 이용해 금전적 이득을 얻으면서 실질적으로 오픈소스 시스템에 가치를 더하거나 이들 시스템의 차세대 개발을 지원하지는 않기 때문이다.  오늘의 주제는 바로 이 지점에 있다. 퍼블릭 클라우드 서비스 업체는 매출이 중요하고, 오픈소스 커뮤니티는 오픈소스의 핵심 가치를 지키고자 한다. 이 두 가지 목적이 공존할 수 있을까? 쿠버네티스 컨테이너 오케스트레이션 시스템을 오픈소스 프로젝트로 전환한 것은 대성공이었다. 클라우드 ...

라이선스 오픈코어 이중라이선스 2021.03.10

OSBC “국내에서 가장 많이 사용하는 오픈소스는 제이쿼리”

OSBC(www.osbc.co.kr)는 ‘OSBC 오픈소스 웨비나 2021’에서 오픈소스 검증 서비스를 통해 8년간 축적한 빅데이터를 분석하고 도출한 통계를 공개했다. OSBC의 분석에 의하면 2013년부터 2020년까지 8년간 국내에서 가장 많이 사용해 온 오픈소스 프로젝트는 제이쿼리(Jquery)가 13.69%로 비중이 가장 높았고, 부트스트랩(Bootstrap)이 4.84%, 그 외 아파치(Apache) 계열 프로젝트가 뒤를 이었다.   사용된 오픈소스를 라이선스로 분류해보면 87.19%가 소스코드 공개 의무사항이 없는 퍼미시브(Permissive) 계열로 나타났고, 소스코드 공개 의무사항이 있는 카피레프트(Copyleft)는 10.62%, 상용코드는 3.19%로 저조한 편이었다. 가장 많이 사용된 오픈소스 라이선스는 아파치 2.0 라이선스와 MIT 라이선스로 전체 식별 라이선스 대비 약 30%의 높은 비중을 차지했으며, 5.26%의 BSD 3.0, 3.44%의 GPL 2.0 등이 그 뒤를 이었다. 소스코드 공개 의무사항이 있는 GPL 계열의 오픈소스 라이선스는 평균 4~6위의 상위권을 차지했다. OSBC의 전재웅 차장은 “국내에서도 다양한 퍼미시브 계열의 오픈소스를 주로 사용하는 것은 자연스러운 현상”이라며, “하지만 소스코드 공개 의무사항이 존재하는 GPL 계열의 오픈소스 사용이 여전히 상위권을 차지하기에 오픈소스 사용 내역과 라이선스 위반 여부를 확인하는 것은 오픈소스를 사용함에 있어서 여전히 중요하다”라고 강조했다. editor@itworld.co.kr

OSBC 2021.03.08

오픈소스 저장소 사용 시의 또 다른 위험, '의존성 혼동'이란 무엇인가

의존성 혼동(Dependency confusion)이란 소프트웨어 개발 도구가 공개 및 비공개 저장소에서 서드파티 패키지를 끌어오는 기본 방식에서 새롭게 발견된 논리적 결함이다. 공격자들은 이 문제를 이용해 개발 환경을 속일 수 있다. 즉, 비공개 저장소에 호스팅된 커스텀 패키지 대신에 커뮤니티 저장소에 게시된 악성 패키지를 끌어오도록 만드는 것이다. 소프트웨어 공급망의 복잡성 시놉시스(Synopsys)의 2020년 연구에 따르면, 기업이 사용하는 상용 애플리케이션 가운데 99% 이상에 오픈소스 코드가 들어 있으며, 이런 코드는 기업의 전체 코드에서 최소한 70%를 차지한다. 이는 모든 프로그래밍 언어에 이용 가능한 서드파티 구성요소와 패키지로 구성된 거대한 생태계 덕분이다.  자바(Java)에는 중앙 저장소가 있고 자바스크립트(JavaScript)에는 npm이 있으며, 파이썬(Python)에는 PyPI(Python Package Index, 파이썬 패키지 인덱스), 루비(Ruby)에는 루비젬(RubyGems)이 있는 식이다. 이들은 모두 커뮤니티에서 유지 관리하는 공개 저장소로서 패키지가 의존성으로 정의될 때 개발 도구는 이 곳으로부터 패키지를 끌어온다. 패키지 사이의 관계가 복잡하다는 것은 한 구성요소를 애플리케이션 내에 의존성으로 끌어올 경우 수십 개 내지 수백 개의 다른 애플리케이션을 가져오는 결과를 낳을 수 있다는 의미다. 이런 점은 특히 저장소의 감시가 잘 이루어지지 않을 경우, 공격자들이 악용할 소지가 있다고 보안 연구원들이 오래 전부터 경고해 왔다. 과거에 해커들은 정상적인 패키지 개발자들을 해킹해 패키지에 악성코드를 주입했다. 그 결과, 해당 패키지를 의존성으로 갖고 있는 다른 많은 정상적인 패키지도 피해를 입었다. 공격자들은 개발자들이 애플리케이션 의존성을 정의할 때 이름을 잘못 입력하기를 기대하면서 정상적인 이름과 비슷한 이름의 구성요소를 업로드하기도 했다. 이런 공격을 '타이포스쿼팅(Typosquatting)'이라고 한다....

오픈소스 의존성혼동 Dependency confusion 2021.03.04

파이썬 성능 개선을 위한 6가지 프로젝트

파이썬(Python)은 세련되고 편리하지만 파이썬을 사용하는 누구나 알고 있듯이 CPU 집약적인 작업에서 C, 자바 또는 자바스크립트보다 속도가 훨씬 더 느리다. 그러나 느린 속도를 이유로 파이썬을 외면하기에는 다른 많은 장점이 아깝다. 그래서 이 언어의 성능을 근본적으로 높이기 위한 여러 프로젝트가 등장했다.   동일한 하드웨어에서 파이썬의 속도를 더 높이는 방법은 크게 2가지인데, 각각 장단점이 있다.    파이썬에 사용되는 기본 런타임(C파이썬 구현)의 대안을 만드는 방법이다. 큰 작업이지만 결과적으로 C파이썬을 대체할 수 있다. 기존 파이썬 코드를 다시 써서 특정 속도 최적화 기능을 활용할 수 있다. 즉, 프로그래머 측에서 더 많은 작업이 필요하지만 런타임을 변경할 필요는 없다. 지금부터 파이썬 성능을 높이는 6가지 방법을 알아보자. 각 방법은 앞의 2가지 접근 방법 가운데 하나 또는 두 가지의 조합을 사용한다. 파이파이(PyPy) C파이썬의 대안 중에서는 파이파이가 단연 가장 눈에 띈다(예를 들어 쿠오라(Quora)는 프로덕션에서 파이파이를 사용함). 파이파이는 기존 파이썬 코드와의 호환성도 뛰어나므로 기본 런타임이 될 가능성도 가장 높다. 파이파이는 언어의 속도를 높이기 위해 구글 크롬의 V8 자바스크립트 엔진과 마찬가지로 JIT(Just-In-Time) 컴파일을 사용한다. 과거에는 파이썬 3보다 파이썬 2에 더 친화적이었지만 최신 버전의 파이파이는 파이썬 2.7 외에 파이썬 3.6과 3.7도 지원한다. 파이파이는 넘파이(NumPy)와 같이 파이썬 성능을 높이는 데 사용되는 일반적인 라이브러리와의 통합이 오랫동안 원활하지 않았다. 그러나 최근 릴리스에서는 이 문제가 많이 해결됐다. 파이파이의 또 다른 제약은 제대로 된 성능 향상을 얻기 위해서는 어느 정도 워밍업 시간이 필요하므로 서버와 같은 장기 실행 프로그램에는 적합하지만 단발성 스크립트에서는 효과가 떨어진다는 점이다. 또한 실행 파일의 크기가 C파이...

파이썬 파이파이 PyPy 2021.03.04

메가존클라우드-수세코리아, 클라우드 오픈소스 시장 공략 위해 협력

메가존클라우드는 수세 소프트웨어 솔루션즈 코리아(이하 수세코리아)와 파트너십을 체결했다고 밝혔다. 수세코리아는 SAP 애플리케이션용 수세 리눅스 엔터프라이즈 서버(SUSE Linux Enterprise Server for SAP Applications)를 통해 SAP의 중요 업무 워크로드를 안정적으로 운영, 관리할 수 있도록 지원하는 고가용성 플랫폼을 제공한다.  메가존클라우드는 수세와의 파트너십을 통해 기존 사업 영역에서 OS 영역을 포함한 전 SAP 사업 영역을 지원할 예정이다.  메가존클라우드는 현재 ‘SAP on 클라우드’ 서비스를 통해 SAP 애플리케이션을 다양한 클라우드로 제공하고 있으며, 20여 개의 ‘SAP on 클라우드’ 고객사를 확보하고 있다고 밝혔다. 이뿐만 아니라 컨테이너 관리 서비스인 랜처에 대한 대형 고객 사례를 확보함에 따라 검증된 랜처 기술 역량을 이번 파트너십을 통해 보다 본격적으로 확장하겠다고 덧붙였다. 수세와 메가존클라우드의 파트너십에 따라 ‘SAP on 클라우드’ 고객에게는 수세 구독서비스(SUSE Subscriptions) 구매를 비롯한 운영체계(OS), 고가용성(HA)에 대한 효율적인 기술지원으로 간편하게 관리 가능한 클라우드 환경을 제공할 예정이다. 메가존클라우드는 SAP 서비스를 클라우드로 전환 또는 신규 구축하는 과정에서 수세 기업용 리눅스를 운영체제로 지누스, 와이솔, 잇츠한불 등 다수의 고객사례를 확보했다. 수세코리아 최근홍 지사장은 “기업용 리눅스 OS를 이끌어오던 수세가 메가존클라우드와 SAP on 클라우드, 멀티 쿠버네티즈 관리 플랫폼 선도 전략에 함께 하게 돼 양사가 가진 솔루션과 고객 기반 및 혁신 지원 역량을 결합함으로써 시너지를 극대화할 수 있을 것으로 기대한다”라고 말했다. 메가존클라우드 이주완 대표는 “이번 수세와의 파트너십은 단순히 클라우드 인프라뿐만 아니라, 수세와 함께 클라우드 기반 애플리케이션에 대한 전문성을 확보해 국내뿐만 아니라 글로벌 시장을 공략하고자...

메가존클라우드 수세코리아 2021.03.04

"오픈소스 최대 장점은 높은 품질… 기술 지원과 호환성은 도입 장벽"

기업이 오픈소스 소프트웨어의 높은 품질과 혁신성은 신뢰하지만, 도입 과정에서 기술 지원과 호환성 등에서 어려움을 겪고 있는 것으로 나타났다. 이는 레드햇이 기업의 오픈소스 활용 현황을 조사한 '2021 엔터프라이즈 오픈소스 현황(2021 State of Enterprise Open Source)' 보고서의 내용이다. 레드햇을 사용하지 않는 기업까지 포함해 전 세계 IT 리더 1,250명을 설문했다. 흥미로운 것은 보안이 긍정적이면서 동시에 부정적으로 평가를 받았다는 점이다. 오픈소스는 더 강화된 보안을 제공하지만, 그 코드의 보안은 일종의 어려움으로 인식하는 것이다. 오픈소스 소프트웨어를 사용하는 혜택에 대한 질문에서는 35%가 높은 품질을, 33%가 최신 기술 활용을 꼽았다. 보안 개선(30%), 안전한 오픈소스 기술 이용(30%)이 뒤를 이었다. 전체적으로 응답자의 87%는 오픈소스가 상용 소프트웨어와 보안이 비슷하거나 더 안전하다고 답했다. 오픈소스를 도입하는 장애물에 대한 질문에 42%가 기술 지원 수준을 꼽았다. 이어 호환성(38%), 코드의 보안(35%), 내부 스킬 부족(35%)이 뒤를 이었다. 지난해 같은 조사에서는 보안에 대한 우려가 1위였지만 올해는 3위로 내려왔다. 이밖에 2021 엔터프라이즈 오픈소스 현황 리포트의 주요 내용은 다음과 같다.   응답자 90%는 오픈소스 소프트웨어를 사용하고 있다고 답했다. 79%는 향후 2년간 신흥 기술 활용 관련해 오픈소스 소프트웨어 사용이 늘어날 것으로 전망했다. 특히 엣지 컴퓨팅/IoT, AI/ML 분야에서 오픈소스 활용이 상용 소프트웨어보다 크게 앞설 것으로 예상했다. 64%는 IT 인프라 현대화를 위해 엔터프라이즈 오픈소스 소프트웨어를 이용한다고 답했다. 3년 연속 1위였다. 이어 애플리케이션 개발(54%),      디지털 트랜스포메이션(53%)이 뒤를 이었다. 재택근무로의 전환이 디지털 트랜스포메이션을 가속화하는 것으로 나타났다. 오픈소스 ...

오픈소스 품질 레드햇 2021.03.03

글로벌 칼럼 | 클라우드에서 오픈소스의 진정한 가치

클라우드에서 오픈소스를 구동한다고 해서 업체 종속을 막아줄 것이라 생각한다면, 오산이다. 하지만 오픈소스는 분명 개발자에게 자유와 독립을 가져다준다. 최근 IBM의 후원으로 오릴리 미디어가 진행한 설문조사인 ‘클라우드 시대 오픈소스의 가치’에는 희망적인 생각이 가득하다. 예를 들어, 3,400명 이상의 응답자 중 70%가 오픈소스 기반의 클라우드 서비스 업체를 더 선호한다고 답했다. 오픈소스 지지자에게는 대단한 수치이다. 하지만 ‘오픈소스 기반’이 어떤 의미인지를 물어보면, 사정이 달라진다. 결국 현존하는 모든 소프트웨어 제품은 오픈소스를 기반으로 하기 때문이다. 그리고 79%의 응답자는 클라우드에서 업체 종속을 방지하기 위해 오픈소스로 전환했다고 답했다. 이 이야기도 여러 가지 이유로 다소 우스꽝스러운 것이 사실이다.   이렇게 오픈소스에 우호적인 응답 이면에 한 가지 눈에 띄는 사실이 있다. 클라우드 전문 기술 솔루션은 개발자가 코드를 더 빨리 출하하는 데 도움이 되지만, 오픈소스 기술은 개발자가 특정 클라우드 서비스 업체와 독립적으로 자신의 경력을 쌓을 수 있도록 해준다. 다시 말해, 오픈소스는 궁극적인 경력 관리 기술이다.   오픈소스의 마법 같은 현실주의 그렇다면, 미신으로 돌아가 보자. 우선, 약 55%의 응답자가 ‘단일 클라우드 서비스 업체에 특화된 클라우드 컴퓨팅 기술을 배우는 것은 경력 성장을 제한한다”고 답했지만, 모든 개발자 대부분이 정확하게 이렇게 한다. 이유는 대부분 기업이 클라우드 서비스 업체 한 곳에 중점을 두기 때문이다. 물론, 많은 기업이 결국에는 서로 다른 애플리케이션이나 인프라를 다양한 클라우드 서비스 업체로부터 사용한다. 하지만 필자는 ‘어쩌다 보니 멀티클라우드’이지 ‘의도한 멀티클라우드’라고 생각하지 않는다. 의도한 멀티클라우드도 있지만, 매우 드물다. 전임 시트릭스 부사장 크리스티안 레일리가 말했듯이 “언제나 그렇듯 문제는 대체 가능성의 부족이다. 대체 가능성은 매출을 끌어올리지 않는다. 서비스 ...

경력개발 업체종속성 멀티클라우드 2021.02.23

마이크로소프트, 러스트 언어 팀 구성 중

마이크로소프트는 내부 제품군을 위한 러스트(Rust) 컴파일러 및 도구를 지원하고 러스트 소프트웨어 개발자 커뮤니티와 협력하기 위해 자체 러스트 팀을 만들고 있다.    마이크로소프트의 러스트 팀은 마이크로소프트 내에서 러스트 사용을 지원하는 한편, 컴파일러, 핵심 도구, 설명서 및 언어의 다른 측면에 대해 긴밀하게 작업하면서 러스트 커뮤니티에 참여할 기회를 모색할 계획이라고 공식적으로 밝혔다.  마이크로소프트 측은 “모질라(Mozilla)가 후원하는 러스트 언어는 보안과 신뢰 측면에서 강점이 있어 안전한 고성능 소프트웨어 시스템을 개발할 수 있다”라고 말했다. 마이크로소프트는 마이크로소프트 개발자 부서와 협력해 윈도우 및 리눅스의 내부 제품군을 위한 러스트 컴파일러 및 도구를 개선할 소프트웨어 엔지니어 구인 광고를 게시했다.  마이크로소프트는 러스트 개발 언어에 큰 관심을 갖고 있으며, 러스트를 사용해 새로운 구성 요소를 만들고 기존 구성 요소를 재작성하는 방법을 모색하고 있다. 마이크로소프트는 윈32 메타데이터(Win32 Metadata) 프로젝트를 통해 러스트와 다른 언어에서 윈도우 API에 더 쉽게 접근할 수 있도록 하는 것을 목표로 한다.   러스트는 런타임 속도, 메모리 안전성, 병렬 처리를 위해 설계됐으며, 서보(Servo) 브라우저 엔진과 디노(Deno) 자바스크립트/타입스크립트 런타임과 같은 프로젝트에 사용되어 왔다. 현재 Pypl 지수에서 16위를 차지하고 있다. editor@itworld.co.kr 

러스트 마이크로소프트 모질라 2021.02.03

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.