Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
TOPIC

오픈소스

글로벌 칼럼 | 오픈소스 보안은 돈으로도 해결할 수 없다

좋은 소식이 있다. 오픈소스 보안 재단(Open Source Security Foundation, 오픈SSF)에 따르면 1억 5,000만 달러 정도의 자금만 있으면 오픈소스 소프트웨어를 보호할 수 있다. 더 좋은 소식은 업계 큰손들인 아마존, 인텔, 구글, 마이크로소프트가 이미 3,000만 달러를 내기로 했다는 사실이다. 그렇다면 이제 1억 2,000만 달러만 더 모으면 오픈소스의 미래를 보호할 수 있는 셈이다. 정말 그럴까? 그렇지 않다. 나쁜 소식은 오픈소스에 대한 일반화된 접근 방식은 통하지 않는다는 것이다. 오픈SSF의 ‘10포인트’ 계획은 보안에 대한 다면적 접근 방법을 촉진하는 좋은 계획이다. 오픈SSF의 총괄 관리자인 브라이언 벨렌도프는 “한 가지 근본적인 원인이나 모든 문제를 해결할 한 가지 근본적인 접근 방법은 없으므로 이 방식이 과거의 여러 단편적 접근 방법에 비하면 성공할 가능성이 더 높다"라고 주장했다. 맞는 말이다. 그런데 필자가 오픈소스 보안에 대해 우리가 여전히 잘못 접근하고 있을지도 모른다고 우려하는 이유도 마찬가지로 바로 이 때문이다.   먼저 계획부터 오픈SSF의 노력을 깎아내리려는 의도는 없다. 필자가 언제나 미래는 낙관적이라고 생각한다. 오픈SSF의 업계 결집 시도는 과거의 방식에 비하면 크게 개선된 것이다. 우리가 버그를 찾고 수정하는 오픈소스 프로세스 역시 소프트웨어 보안에 대처하는 올바른 방법이다. 오픈SSF는 우리가 모두 기존의 노력을 통합할 기회를 제공한다. 오픈SSF의 10포인트 계획의 주요 내용은 다음과 같다.   커뮤니티에서 일하는 모두에게 보안 교육 제공 주요 오픈소스 구성요소에 대한 위험 평가 대시보드 구축 디지털 서명 도입 가속화 비메모리 안전 언어를 대체해 많은 버그의 근본 원인을 제거 오픈소스 사고 대응팀 구성 유지보수자와 전문가에 의한 코드 스캔을 개선해 버그를 더 신속하게 발견 최대 200개의 중대한 구성요소에 대한 제삼자 코드 리뷰 수행 업계 전반적인 연구 데...

오픈소스 보안 4일 전

"구글이 한 번 더 검증한다" 구글, 코드 리뷰 거친 일반 오픈소스 패키지 AOSS 공개

기업 개발자는 애플리케이션 개발 대부분을 의존하는 오픈소스 소프트웨어 공급망 보안을 우려하기 마련이다. 구글이 보안을 자체 역량으로 강화한 내부 오픈소스 구성요소 리포지토리를 어슈어드 OSS(Assured Open Source Software)라는 유료 서비스로 출시했다.  AOSS에는 코드 소스, 종속성이 확인되고 검토와 취약점 테스트를 거친 후 소스 코드에서 빌드된 일반 오픈소스 패키지가 포함된다. 결과 패키지는 SLSA 프레임워크를 준수하고, 구글이 디지털 서명한 풍부한 메타데이터로 이루어진다.   구글 클라우드 인프라 부사장 에릭 브루어는 구글이 자체 소프트웨어 개발 파이프라인에 필요한 오픈소스 패키지 내부 보안 테스트 버전을 유지 관리하고 있으므로 AOSS의 기본 구성이 이미 준비된 상태라고 밝혔다. 이번주 발표된 AOSS는 일부 얼리액세스 테스트 기업에 먼저 제공되고 이후 3분기부터 공개 프리뷰로 전환될 예정이다. 10만 개 이상의 코어 자동화 퍼징 테스트 등 보안 테스트, 패키지 빌드 및 호스트 등 관련 인프라 비용이 가격에 반영될 것으로 보인다.  AOSS 서비스는 구글이 사용하는 500가지 자바, 파이썬 패키지 집합으로 시작해 향후 다른 언어로도 확장할 계획이다. 사용 기업은 리포지토리로 추가나 관리하는 오픈소스 패키지를 제출할 수 있으며, 기존 패키지와 같은 수준의 보안이 제공된다.   어렵고 복잡한 로컬 소프트웨어 구성 요소 유지 관리 구글의 접근 방식은 소프트웨어를 개발하는 모든 기업이 이미 공급망 위험을 관리하기 위해 하고 있는 것이다. 구성 요소의 로컬 복사본을 로컬 퍼블릭 리포지토리에서 바로 꺼내오지 않고 로컬 리포지토리에 유지하는 방식이다. 패키지나 독립성이 악성 코드로 손상되거나 공격받은 경우 일종의 버퍼가 생긴다. 그러나 잘 관리되지 않으면, 다시 말해 업스트림 보안 수정이 정기적으로 적용되지 않아 내부 패키지 버전이 부실해지면 패치에 지연이 발생하기도 한다. 보안 패치가 새로운 버...

오픈소스 AOSS 5일 전

"오픈소스 진영의 뜨거운 감자" CNCF, '개발 윤리' 교육 과정 개설

클라우드 네이티브 컴퓨팅 재단(The Cloud Native Computing Foundation; CNCF)이 오픈소스 소프트웨어 설계에 ‘윤리 우선적(ethical-first)’ 사고를 통합한 새로운 인증을 공개했다.    CNCF에서 개발자가 오픈소스 소프트웨어 구축 시 고려해야 할 윤리적 영향을 탐구하는 교육 과정 ‘오픈소스 개발에서의 윤리(Ethics in Open Source Development)’를 시작했다. 새로운 인증 프로그램은 CNCF, 리눅스 재단 교육 및 인증(Linux Foundation Training and Certification), AI 윤리 전문 기업 에티컬 인텔리전스(Ethical Intelligence)와의 협력으로 이뤄졌다.  이 교육 과정은 디자인 윤리와 비판적 사고 기법을 워크플로우에 통합하고자 하는 제품 관리자 및 소프트웨어 개발자를 대상으로 한다. 온라인을 통해 무료로 들을 수 있으며, 총 2~3시간이 소요된다. 주제에는 ▲윤리(ethics), ▲보호(safeguards), ▲평가(evaluation), ▲행동 계획(action planning), ▲모니터링(monitoring)이 포함된다. 이를 통해 오픈소스 개발의 ‘윤리 여정 주기(Ethics Journey Cycle)’를 이해하고, 윤리적 사각지대를 해소하며, 윤리적 비판 사고를 적용하고, 위험 완화 및 혁신을 위한 윤리를 운용하는 역량을 갖출 수 있다고 CNCF는 설명했다.  해당 교육 과정은 AI 윤리학자이자 에티컬 인텔리전스의 CEO인 올리비아 갬블린, 알고리즘 편향 워킹 그룹(IEEE P7003 - Algorithmic Bias Working Group)의 회원 라하프 알발키, 도덕 철학자 마이클 클렌크, 의료 분야의 AI 윤리를 연구하는 요크대학교 철학 박사 후보 랜드 히르미즈가 개발했다. CNCF는 보도자료에서 "오픈소스 포맷에 필요한 특정 필수 윤리 원칙(예: 투명성 ...

CNCF 오픈소스 소프트웨어 오픈소스 5일 전

빔 소프트웨어, 쿠버네티스 전문 데이터 관리 플랫폼 ‘카스텐’ 새 버전 발표

빔 소프트웨어(www.veeam.com/ko)가 최신 쿠버네티스(Kubernetes) 데이터 관리 플랫폼인 ‘카스텐 K10 v5.0’을 발표했다. 카스텐 K10 v5.0은 쿠버네티스를 위해 특별히 개발됐다. 전체적으로 포괄적인 위험 관리 전략, 간소화된 CI(Continuous Integration), CD(Continuous Delivery) 파이프라인, 새로운 생태계 발전 세부 정보 등 쿠버네티스 투자 최적화와 위험 제거에 중점을 두고 있다. 이러한 기능들은 모두 쿠버네티스 활용이 확대됨에 따라 클라우드 네이티브 애플리케이션에서 보다 효율적이고 안전하게 작업할 수 있도록 지원하는 것이 목표다. 카스텐 제품 및 파트너십 담당 가우라브 리쉬 부사장은 “최신 카스텐은 기업이 데이터 및 클라우드 애플리케이션에 대한 공격으로 인한 재정적 영향을 최소화할 수 있도록 지원하는 데 중점을 두고 있다”며, “또한, 카스텐은 사용하는 CI, CD 툴과 통합될 뿐만 아니라 애플리케이션이 구현될 때 이를 감지하고 보호할 수 있는 자동화의 토대가 되는 백업 솔루션에 대한 개발자 요구도 지원하고 있다”고 말했다. 쿠버네티스 애플리케이션을 백업하는 동시에 신속한 변화를 위한 개발 및 배포하는 문제는 여전히 많은 기업에서 어려워하고 있는 부분이다. 어플라이언스 기반의 접근 방식은 쿠버네티스의 고유한 특성을 제대로 활용하지 못하며 복제는 인프라 장애, 데이터 손상, 데이터 손실 또는 랜섬웨어로부터 보호되지 않는다. 클라우드 네이티브(Cloud Native) 솔루션을 구축하면 워크플로우를 중단하거나 혁신을 저해할 수 있는 복잡성을 가중시키지 않고도 안전하고 안정적인 백업을 수행할 수 있다. 카스텐 K10 v5.0의 새로운 주요 기능은 ▲철저한 보안 ▲데이터 보호에 시프트-레프트(shift-left) 적용 ▲확장된 생태계 세 가지다. 철저한 보안은 AWS KMS 및 하시코프 볼트(HashiCorp Vault)와의 KMS 통합, UI 대시보드에 노출된 쿠버네티스 기반 RBAC 객체 ...

빔 소프트웨어 6일 전

레드햇-GM, 소프트웨어 정의 차량 위한 협력관계 체결

레드햇(www.redhat.com)과 제너럴 모터스(이하 GM)는 엣지 환경에서 소프트웨어 정의 차량을 발전시키기 위한 협력을 발표했다. GM의 얼티파이(Ultifi) 소프트웨어 플랫폼의 지속적인 발전을 위해 기능안전성이 인증된(functional-safety certified) 리눅스 운영체제 기반을 제공하는 레드햇 인비히클 운영체제(In-Vehicle Operating System)을 중심으로 혁신 생태계를 확장할 예정이라고 업체 측은 설명했다. 레드햇의 클라우드 네이티브 엔터프라이즈급 오픈소스 운영체제가 GM의 얼티파이 출시 이후 소프트웨어 정의 차량 프로그램 개발을 가속한다. 이를 통해 레드햇과 GM은 보다 짧은 개발 시간 내에 소비자에게 필요한 기능들을 안정적으로 제공할 수 있다고 밝혔다. 인비히클 소프트웨어 시스템은 복잡하며 높은 수준의 사이버 보안 수준과 엄격한 인증을 요구한다. 현재 시스템에서 이러한 요구 사항은 종종 개발 프로세스를 지연시키고, 각 업데이트 사항마다 재인증을 요구하며 차량 소프트웨어 업데이트를 어렵게 만든다. GM과 레드햇은 지난해 발표된 레드햇 인비히클 운영체제를 통해 얼티파이 플랫폼에 지속적으로 기능안전성 인증을 구현함으로써 복잡한 차량 업데이트를 단순화하고 보다 자주 업데이트를 제공할 예정이다. 레드햇 인비히클 운영체제를 얼티파이 플랫폼에 통합해 얻는 이점은 ▲표준 플랫폼으로 소프트웨어 통합 및 재사용으로 인한 비용 절감 ▲새로운 기능 출시와 소프트웨어 개선을 위한 개발 주기 개선 ▲안전 관련 애플리케이션을 위한 지속적인 기능안전성인증 제공 ▲새로운 서비스, 비즈니스 모델 및 수익 흐름 창출 등이다.  레드햇은 2023년에 출시될 GM의 엔드투엔드 차량 소프트웨어 플랫폼인 얼티파이의 단계적 출시에 기여할 것이라고 밝혔다. 얼티파이는 소프트웨어 정의 기능, 앱 및 서비스가 고객에게 무선으로 보다 원활하게 제공될 수 있도록 한다. 이를 위해, 플랫폼은 하드웨어에서 애플리케이션 소프트웨어를 분리해 소프트웨어 개발...

레드햇 2022.05.12

글로벌 칼럼 | 로우코드와 애플리케이션 복잡성 간의 상관관계

여전히 로우코드에 대한 관심과 논란이 지속되고 있다. 많은 소프트웨어 개발자가 로우코드를 사용하면 애플리케이션의 개발 프로세스가 개선되는지, 아니면 애플리케이션 품질이 떨어지는지 잘 알지 못한다. 어떤 개발자는 로우코드가 보안에 미치는 영향을 우려하기도 한다. 만약 로우코드로 인해 애플리케이션의 복잡성이 증가한다면, 로우코드는 보안 문제를 더 난해하게 만드는 셈이다. 하지만 과연 로우코드가 애플리케이션을 더 복잡하게 만들까? 로우코드 사용과 애플리케이션 복잡성 간의 상관관계를 자세히 살펴보자.     복잡성은 접근법과 별개 로우코드가 반드시 애플리케이션의 복잡성을 야기하는 것은 아니다. 전통적인 애플리케이션 개발과 마찬가지로, 복잡성은 주로 제품 코드 베이스의 라이프사이클과 관련이 있다. 애플리케이션이 어떻게 만들어졌는지에 관계없이 복잡성을 완화하는 여러 방법이 있으며, 이들 접근법을 통해 성능과 확장성, 가용성, 혁신 속도를 개선할 수 있다. 물론 로우코드 애플리케이션에 대해서도 다른 제품 개발 프로세스처럼 복잡성을 낮추는 간소화 기법을 사용해야 한다.   ‘알 수 없는 것’과 복잡성 로우코드를 사용하면 애플리케이션에 개발팀이 직접 사용하지 않은 코드 수가 증가한다. 로우코드 플랫폼에 의해 더 많은 코드가 자동으로 생성되거나, 애플리케이션 작동에 필요하지만 개발자가 만든 것은 아닌 라이브러리에 포함된 코드가 늘어나는 것이다. 따라서 로우코드를 사용하면, 애플리케이션에 ‘알 수 없는 코드’가 더 많아진다. 하지만 ‘알 수 없는 것’과 복잡성은 다르다. 알 수 없는 코드 자체는 애플리케이션의 복잡성을 가중시키지 않는다. 반대로 그런 경우도 있지만 말이다.   복잡성을 낮추는 로우코드 로우코드를 사용하면 애플리케이션의 복잡성을 낮출 수 있다. 로우코드 플랫폼은 애플리케이션 개발자의 인지 부하와 시간 압박을 완화한다. 따라서 개발자는 세부 작업보다 비즈니스 논리에 더 집중할 수 있다. 세부 작업은 로우코드 환경에서 처리된...

로우코드 애플리케이션 개발 2022.05.11

오픈소스 취약점, '열정페이'가 문제··· 美 기업들, 후원펀드 잇따라 출범

로그4j(Log4j) 취약점의 여파로 美 기업들이 주요 오픈소스 소프트웨어 프로젝트의 메인테이너를 위한 후원금 지원을 약속하고 나섰다.    최근 로그4j(Log4j), 하트블리드(Heartbleed), 쉘쇼크(Shellshock)와 같은 치명적 취약점에 주요 오픈소스 소프트웨어가 노출되면서 몇몇 대기업과 스타트업이 메인테이너를 후원하는 펀드를 발표하고 나섰다.   오늘날 많은 소프트웨어가 오픈소스 프로젝트를 기반으로 하고 있음에도 오픈소스 개발자와 메인테이너는 아무런 보수를 받지 않고 본업 외 남는 시간에 프로젝트에 기여한다. 예컨대 16명의 자원봉사자로 이뤄진 '아파치 로깅 서비스(Apache Logging Services)' 팀은 홀로 로그4j 프레임워크를 유지하는 책임을 떠안고 있다. 하지만 많이 알려졌다시피 이 프레임워크는 최근 심각한 취약점에 노출됐다.   --------------------------------------------------------------- 로그4j 취약점 인기기사  다 모았다··· '로그4j 취약점' 완화법 총정리 ‘로그4j’ 사태, 아직 끝나지 않았다··· 앱 개발자가 해야 할 3가지 기고ㅣ애플리케이션에서 ‘Log4j’ 취약점을 탐지하는 방법 보안 전문가가 Log4j 스트레스에 대처하는 방법 --------------------------------------------------------------- 하버드 대학에서는 최근 FOSS(free and open source) 소프트웨어의 현황에 관한 연구를 발표했다. 소프트웨어 산업이 어떤 프로젝트를 가장 많이 지원하여 가장 위험한 취약점으로부터 보호해야 하는지 파악하는 데 필요한 정보를 설명하는 것이 주요 내용이었다. 보고서에 따르면 지금까지 오픈소스 프로젝트에 대한 재정적 지원은 아직 더딘 편인 것으로 드러났다.  스포티파이, 지난 4월 FOSS 후원 펀드 발표  스웨덴의 음...

오픈소스 스포티파이 앱라이트 2022.05.06

글로벌 칼럼 | "달라진 AWS" 더 이상 오픈소스 생태계를 망치는 존재가 아니다

AWS가 오픈소스 기업과 커뮤니티에 해악을 끼친 여러 사건으로 본사가 있는 시애틀이 한창 시끄러웠던 때가 있었다. 하지만 이곳은 최근 들어 잠잠해졌다. 한때 오픈소스에서 알맹이만 빼먹고 기여는 하지 않는 얌체짓으로 비판받았는데, AWS의 이런 행동이 눈에 띄게 줄어든 것이다. 한편으로 비판을 한 사람들의 입장만 생각한듯 보였지만, 비판의 근거는 충분했다. AWS의 여러 팀이 애초에 코드를 만들었던 커뮤니티에 기여하는 데 신경을 쓰지 못한 것은 사실이다. 이런 커뮤니티가 때때로 코드 기여가 아닌 현금만을 요구한 것 또한 사실이다.    하지만 2022년이 된 지금, 적어도 기억에 남을 정도의 AWS 관련 오픈소스 논란은 없다. 왜일까? 더크빌 최고 이코노미스트이자 ‘자칭 AWS 전문가’ 코리 퀸이 주장하는 것처럼, 필자도 AWS가 오픈소스 분야에서 더 발전해야 한다고 생각한다. 잘 알려지지 않았지만, 여러 오픈소스 커뮤니티의 생산적인 구성원으로서 AWS가 상당한 진전을 이뤄낸 것도 사실이다. 부정적으로 보기 먼저, 고백할 것이 있다. 필자는 아마존 AWS에서 오픈소스 전략과 마케팅(OSSM) 팀을 이끌었다. 사실 처음에는 이를 통해 AWS의 몇 안 되는 성공적인 오픈소스 프로젝트를 긍정적으로 홍보하고자 했다. 그러나 곧 오픈소스 커뮤니티에서 좋은 평판을 얻으려면 자사 서비스 팀이 오픈소스 개발에 적극적으로 기여해야 한다는 것을 깨달았다.  그 후 AWS 팀은 줄곧 오픈소스 커뮤니티에 기여해왔다.  하지만 “많은 다른 IT 업체에 비해 아마존은 오랫동안 오픈소스 커뮤니티와의 관계에서 어려움을 겪어왔다”라는 퀸의 주장은 틀리지 않았다. 또한 상대적으로 커뮤니티 주도의 프로젝트가 거의 없으며, 쿠버네티스처럼 업계 수준의 대규모 프로젝트에도 AWS가 빠져 있다는 주장도 틀리지 않았다. 반면, 구글은 자사의 이름을 걸고 대규모 프로젝트를 여럿 주도했다. 하지만 AWS가 다른 거대 IT 업체와 동등한 수준으로 오픈소스...

오픈소스 AWS 오픈서치 2022.05.04

칼럼 | ‘비주류에서 주류된’ 오픈소스의 새로운 난제

오픈소스의 경제 역학이 변화했다. 애호가들의 프로젝트, 독립 코드 장인들, 관리형 서비스들이 어우러져 시장을 바꿔놓았다.    오픈소스가 온통 평화, 사랑, 리눅스 투성이였던 때를 기억하는가? 규모는 작았지만 열정으로 가득 찼던 시절 말이다. 오픈소스 개발자들이 GPL 대 BSD/아파치, 무료 소프트웨어 대 오픈소스와 같은 주제로 논쟁을 벌이고, 리눅스나 다른 오픈소스 소프트웨어가 실제로 쓰이는 것만 봐도 열광하며 블로그나 트위터에 글을 올렸던 때가 있었다.  어떤 이들은 이렇게 좋았던 옛 시절을 그리워할지 모른다. 하지만 오픈소스의 지위는 많이 달라졌다. 모든 소프트웨어가 구축되는 과정에 필수가 됐다. 그리고 이제 큰 기회와 엄중한 위험을 동시에 제시하고 있다.  그러나 오픈소스가 품고 있는 기회에 비해 위험은 그만큼 알려지지 않았다. 오픈소스 소프트웨어가 사유 소프트웨어보다 더 버그가 많다고 지적하려는 것이 아니다. 사실, 오픈소스의 개방형 방식 덕에 오류가 발견되었을 때 빨리 수정될 가능성이 더 클 수 있다.  하지만 이 글의 논점은 이게 아니다. 컨설팅 기업 쏘우트웍스(Thoughtworks)의 기술 전문가 켄 무그레지가 언급했듯이 새로운 오픈소스 경제학이 일으키는 위험에 관한 것이다. 오픈소스는 어떻게 변했나   초창기 오픈소스 커뮤니티는 라이너스 토발즈 같은 한 명의 해커가 리눅스 등의 큰 프로젝트를 만들고 관련 커뮤니티를 형성하는 것에 열광했다. 다른 예로는 드라이즈 부이태트(드루팔)과 살바토레 산필리포(레디스)가 있다. 해커들이 재미로 오픈소스 프로젝트를 구축하거나 젠스 악스보(피오)처럼 '창의적 배출구'로 삼던 시절이었다. 이처럼 취미 활동에 가까운 오픈소스 개발은 지금도 진행되고 있기는 하다. 그러나 이면에 자리한 오픈소스 시장의 상황은 매우 달라졌다.  무그레지가 언급했듯이 대다수의 초기 오픈소스 프로젝트는 대기업이 만든 독점 소프트웨어 패키지의 대안으로 시작했다 (...

오픈소스 2022.04.27

티맥스티베로, ‘하이퍼SQL’로 오픈소스 클라우드 DBMS 시장 공략

티맥스티베로는 오픈소스 DBMS 솔루션 ‘포스트그레SQL(PostgreSQL)을 기반으로 한 DBMS ‘하이퍼SQL for 포스트그레SQL(HyperSQL for PostgreSQL)’을 다양한 클라우드 환경 위에서 사용할 수 있도록 지원한다고 밝혔다.   하이퍼SQL은 티맥스티베로의 상용 DBMS 기술력과 기술지원 서비스를 기반으로 오픈소스 DBMS를 손쉽게 사용할 수 있는 DBMS 서비스·플랫폼이다. 다양한 오픈소스 DBMS 중 개발자 친화력이 높고 25년 이상의 탄탄한 커뮤니티를 가진 포스트그레SQL을 기반으로 한 버전을 가장 먼저 선보인다. 현재 KT클라우드, NHN 클라우드 등 국내 클라우드 서비스 제공 업체(CSP)의 마켓플레이스에 등록을 완료했으며, 4월 말 가비아 및 카카오 i 클라우드 환경에서도 하이퍼SQL을 만날 수 있다. 티맥스티베로는 하이퍼SQL을 통해 오픈소스 DBMS가 가진 보안 및 기술지원 서비스 취약 문제, 모니터링 및 운영 관리 기능 부족 문제 등을 해결한다. 상용 DBMS인 ‘티베로’를 통해 20여 년간 쌓아온 데이터 솔루션 노하우와 전환 컨설팅을 포함한 다양한 기술지원 체계가 오픈소스의 확장성·비용 절감성과 만나 오픈소스DB 도입 시 시너지 극대화를 기대할 수 있다. 하이퍼SQL을 사용하는 고객은 오픈소스 제품이 업그레이드될 때 패치를 지원받아 간편하게 업데이트를 할 수 있다. 또한 연구소를 포함한 전문 기술지원 조직의 유지보수 서비스로 실시간 이슈 해결이 가능해 중단 없는 업무가 가능하다. 티맥스티베로는 데이터베이스 통합 솔루션 ‘프로싱크(Prosync)’와 데이터베이스 성능 관리 및 모니터링 솔루션 ‘시스마스터(Sysmaster)’를 하이퍼SQL 버전으로 개발 및 제공할 예정이다. 실시간 데이터 동기화 및 효율적인 모니터링 기능을 지원하며 대규모의 데이터를 처리할 수 있는 오픈소스 DBMS 플랫폼으로 타사와의 차별성을 내세우겠다는 포부다. 또한 하이퍼SQL을 필두로 한국지능정보사회진흥원(NIA)의 행정...

티맥스티베로 2022.04.20

포올시큐어, OSS 보안 강화 프로그램 ‘메이헴 히어로즈’ 공개

차세대 퍼징 솔루션 메이헴(Mayhem) 개발업체인 포올시큐어(ForAllSecure)가 오픈소스 소프트웨어(Open Source Software, OSS) 보안 강화 프로그램인 ‘메이헴 히어로즈(Mayhem Heroes)’를 공개했다. 포올시큐어는 개발자에게 메이헴의 무료 복제본을 제공하고 있으며, 메이헴을 적절한 OSS 깃허브 프로젝트에 통합한 개발자에게는 1,000달러를 지불한다.   포올시큐어 CEO 데이비드 브럼리는 발표문을 통해 "공격이 성공하기 전, 악용될 수 있는 전 세계 버그를 자동으로 찾아 수정하는 임무를 수행하고 있다”라고 말했다. 브럼리는 "OSS 개발자가 빠르고 쉽게 취약점을 찾는 데 필요한 툴에 액세스하도록 지원해야 한다. 메이헴 히어로즈는 소프트웨어 보안 테스트를 민주화하고 수많은 OSS 프로젝트를 더욱 안전하게 만들며, 궁극적으로 전 세계 모든 사용자의 시스템 보안을 강화할 것이다”라고 말했다. 포올시큐어에 따르면, 메이헴은 다른 보안 테스트 솔루션에서 발견된 긍정 오류를 제거해 개발자 생산성을 높이며, 신뢰성 테스트를 개선하고 보안 약화를 방지한다. 메이헴의 특허 알고리즘은 카네기 멜런 대학교에서 개발됐으며, 2014년에 열린 DARPA 사이버 그랜드 챌린지의 최종 승자였다. DARPA 사이버 그랜드 챌린지(Cyber Grand Challenge)는 결함을 추론하고 패치를 만들며, 네트워크에 패치를 실시간으로 배포하는 자동 방어 시스템을 구축하는 것을 목표로 한다. 브럼리는 한 인터뷰에서 “당시 포올시큐어는 기계에게 해킹하는 방법을 가르치려고 시도하는 중이었다”라고 말했다. 브럼리는 "업계에는 정적 분석 툴이 많다. 정적 분석은 1970년대 처음 시작됐으며, 1세대 애플리케이션 보안 툴에 도입됐다. 정적 분석 툴은 실제 공격자처럼 작동하지 않으며, 시스템 악용 방법을 사용자에게 보여주지 않는다. 단지 의심스러운 코드 라인을 강조 표시할 뿐이다”라고 설명했다. 또한, 정적 분석 툴은 잘 알려진 취약점을 찾아낸다...

포올시큐어 메이헴히어로즈 오픈소스 2022.04.11

라인, 오픈소스 비영리재단 ‘아파치 소프트웨어 재단’ 공식 후원

라인(LINE)이 비영리 오픈소스 재단인 아파치 소프트웨어 재단(Apache Software Foundation 이하 ASF)과 공식 후원 계약을 맺고 실버 스폰서로 참여한다고 밝혔다.    라인은 올해 3월부터 내년 2월까지 연간 2만 5,000달러의 금전적 후원을 통해 ASF 및 재단 산하 오픈소스 프로젝트의 운영을 지원하며, 오픈소스 생태계의 구성원으로서 ASF와 함께 성장하고자 한다. 전세계 약 2억 명의 월간활성사용자(MAU)를 보유한 라인은 대규모 트래픽 처리 과정의 높은 안정성을 위해 ASF 산하의 오픈소스를 활발히 사용해 왔으며, 라인에서 공개하는 오픈소스 역시 ASF의 아파치 라이선스 2.0(Apache License 2.0)을 적용하고 있다. 이번 후원을 통해 라인은 단순히 ASF의 오픈소스를 활용하는 것을 넘어 공식 스폰서 기업으로서 오픈소스 생태계 발전을 뒷받침하고자 한다고 설명했다.  특히, 라인은 많은 오픈소스 재단이 최소한의 자금으로 극소수의 사람들의 사명감에 의해서만 유지되고 있다는 것에 대한 문제의식을 느끼고 기업 차원에서 생태계 개선에 동참하고자 이번 후원을 결정했다. 이 밖에도, 라인은 오픈소스 프로그램 오피스 태스크포스(TF)를 구성해 오픈소스 생태계와 공생하기 위한 노력을 지속하고 있다. 지난해 총 95명의 라이너(LINER・라인 임직원)가 한 해 동안 10회 이상 오픈소스에 기여했으며, 사내 프로젝트를 꾸준히 오픈소스로 공개하고, 사내 행사를 주기적으로 진행해 외부 오픈소스 기여를 적극적으로 장려하고 있다. 또한 현재, ASF 외에도 오픈소스 단체(Prettier, Bootstrap, Vue.js, Husky)에 스폰서로 참여해 후원하고 있다. 라인은 앞으로도 오픈소스 커뮤니티에 더욱 적극적으로 기여할 수 있도록 제도를 정비하고 문화를 만들어 나갈 예정이라고 밝혔다. 최근에는 오픈소스 기여 활동을 위해 회사 내규를 점검하는 등 안정적인 오픈소스 활동 지속을 위한 기반을 다져 나가고 있...

라인 2022.03.29

레드햇, 레드햇 오픈시프트 업데이트…AI 프로젝트 지원 강화

레드햇은 하이브리드 클라우드 환경에서 지능형 애플리케이션을 지원할 레드햇 오픈시프트(Red Hat OpenShift)의 새로운 기능을 발표했다.  새롭게 향상된 기능을 갖춘 ‘레드햇 오픈시프트 4.10’의 출시와 더불어 ‘엔비디아 AI 엔터프라이즈 2.0 인증’을 받으면서, 기업이 안심하고 AI 워크로드를 도입하고 관리 및 확장하도록 지원한다고 업체 측은 설명했다.  AI가 기업의 운영 방식을 바꾸고 있지만, AI 인프라 운영은 복잡하고 시간과 리소스를 많이 소요한다. 이러한 프로세스를 가속화하기 위해 레드햇 오픈시프트는 이제 엔비디아 AI 엔터프라이즈 2.0 소프트웨어 제품군에서 인증 및 지원된다. 엔비디아 AI 엔터프라이즈 2.0은 엔비디아 인증 시스템에서 실행되는 클라우드 네이티브 AI 및 데이터 분석 소프트웨어다. 통합 플랫폼은 레드햇 오픈시프트에 최적화된 엔비디아의 주력 AI 소프트웨어인 엔비디아 AI 엔터프라이즈 제품군을 제공하며, 데이터 사이언티스트와 개발자가 AI 모델의 빠른 학습부터 애플리케이션 구축과 대규모 배포를 할 수 있도록 한다. 고객은 이제 엔비디아 엔터프라이즈 AI 소프트웨어를 탑재한 엔비디아 인증 시스템 및 AI 워크로드를 위한 고성능 범용 컴퓨팅 시스템인 엔비디아 DGX A100 시스템에 레드햇 오픈시프트를 도입할 수 있다. 이를 통해 데이터 엔지니어링, 분석, 훈련, 소프트웨어 개발 및 추론을 포함한 ML옵스(MLOps) 수명 주기를 AI 인프라로 통합할 수 있다. 또한, 레드햇 오픈시프트의 통합 데브옵스(DevOps) 및 깃옵스(GitOps) 기능을 통해 ML 옵스가 AI 기반 애플리케이션의 지속적인 제공 속도를 높이도록 지원한다. 이는 기존에 발표된 레드햇 오픈시프트 데이터 사이언스에서 제공하는 엔비디아 GPU 지원을 보완한다. 레드햇 오픈시프트 4.10은 오픈 하이브리드 클라우드에서 광범위한 클라우드 네이티브 워크로드 지원을 위해 계속해서 플랫폼을 확장하며 기업이 보다 많은 환경에서 AI 및 머신러...

레드햇 2022.03.23

오픈소스 코드에 러시아 비판 코드 넣은 '프로테스트웨어', 생태계 신뢰 저해하는 이유

npm 리포지토리에 호스팅된 자바스크립트 구성요소 개발자가 러시아의 우크라이나 침공을 비판하기 위해 사용자의 컴퓨터에 임의로 파일을 추가하거나 삭제하는 코드를 배포하는 사건이 발생했다. node-ipc라는 이 구성요소는 여러 다른 프로젝트의 종속 항목으로 사용된다. 관련 있는 각 프로젝트는 이 구성요소의 동작을 차단하기 위해 서둘러 업데이트를 배포했다.   Nodejs 커뮤니티에서 이런 종류의 사건은 올해 들어 벌써 두 번째 발생했다. 일부에서는 개발자 스스로 자신의 코드를 훼손하는 사보타주 행위를 가리켜 ‘프로테스트웨어(protestware)’로 지칭한다. 전문가들은 개발자가 자신의 소프트웨어를 수정할 권리가 있다 해도 이 같은 행동이 오픈소스 생태계의 신뢰를 손상시킬 수 있다고 지적한다. 오픈소스 생태계는 최근 몇 년 사이 공급망 보안 문제 심화로 이미 골머리를 앓고 있는 상황이다.     node-ipc에 일어난 일 node-ipc는 로컬 및 원격 프로세스 간 커뮤니케이션을 위한 nodejs 모듈이며 npm 리포지토리의 월간 다운로드 횟수는 400만 회 이상이다. Vue.js 자바스크립트 프레임워크 또는 유니티(Unity) 게임 엔진과 관련된 유니티 허브를 위한 명령줄 인터페이스(CLI) 등 인기 있는 구성요소를 포함해 350개가 넘는 다른 npm 구성요소의 종속 항목이기도 하다.   깃허브에서 RIAEvangelist라는 이름을 사용하는 node-ipc 개발자는 지난주 node-ipc 지원 버전을 대상으로 악성 코드를 추가하는 여러 개의 업데이트를 릴리즈했다. 이를 처음 발견한 개발자 타일러 레스크는(깃허브 사용자 이름 MidSpike) 3월 9일 node-ipc 버그 트래커에 문제를 보고했다. 레스크가 토론 쓰레드에 올린 댓글 중 몇 개는 RIAEvangelist에 의해 삭제됐고, 레스크는 별도의 리포지토리에 이 댓글을 정리해 올렸다.   보안 업체 스니크(Snyk)가 분석한 바에 따르면, 사건은 npm...

프로스트웨어 러시아 우크라이나 2022.03.22

쿠버네티스 관리를 '더 쉽게' 만드는 15가지 툴

쿠버네티스는 컨테이너화된 애플리케이션을 대규모로 배포하기 위한 표준적인 방법이 됐다. 그냥 ‘표준’이라고 말하는 사람도 많다. 복잡하게 확산하는 컨테이너 배포를 길들이는 데 쿠버네티스가 도움이 된다면, 그런 쿠버네티스를 길들이는 데는 무엇을 사용해야 할까? 쿠버네티스 역시 복잡하게 얽히고 관리하기 어려워질 수 있다. 물론 쿠버네티스가 성장하고 발전하는 과정에서 많은 부분이 정리될 것이다. 그러나 일부 사용자는 쿠버네티스가 다루기 쉬워질 때까지 기다리지 않고 프로덕션 단계의 쿠버네티스에서 일반적으로 발생하는 문제에 대처하기 위한 독자적인 해결책을 내놨다.   골드핑거 : 쿠버네티스 클러스터 시각화 인간은 시각적 동물이다. 그래프와 차트를 보면 큰 그림을 쉽게 이해할 수 있다. 쿠버네티스 클러스터의 범위와 복잡성을 감안하면 가능한 모든 시각적 도움을 얻는 것이 좋다. 블룸버그 기술 사업부가 오픈소스로 공개한 골드핑거(Goldpinger)는 쿠버네티스 클러스터 내에서 실행되면서 노드 간 관계를 인터랙티브한 지도로 표시하는 간단한 툴이다. 정상적인 노드는 녹색, 비정상적인 노드는 빨간색으로 표시된다. 노드를 클릭하면 세부 내용을 볼 수 있다. 스웨거(Swagger)로 API를 맞춤 설정해서 부가적인 보고, 지표를 비롯한 다양한 요소를 통합할 수 있다. K9s : 전체 화면의 쿠버네티스 CLI UI 관리자는 ‘하나의 창’으로 구성된 유틸리티를 좋아한다. K9s는 쿠버네티스 클러스터를 위한 전체 화면 CLI(Command Line Interface) UI다. 실행 중인 파드, 로그, 배포를 한눈에 확인하고 셸에 빠르게 액세스할 수 있다. 참고로 K9s가 정상적으로 작동하려면 사용자 및 네임스페이스 수준에서 사용자에게 쿠버네티스 읽기 권한을 부여해야 한다. 캅스 : 쿠버네티스 클러스터를 위한 명령줄 쿠버네티스 팀이 개발한 캅스(Kops)는 명령줄에서 쿠버네티스 클러스터를 관리할 수 있게 해준다. AWS, GCE에서 실행되는 클러스터를 지원하며 VM...

쿠버네티스 골드핑거 2022.03.21

EDB, 오픈소스 포스트그레SQL DB 프리미엄 기술지원 서비스 ‘커뮤니티360’ 발표

EDB(www.enterprisedb.com)는 기업의 대규모 포스트그레SQL(PostgreSQL) 관리를 위한 구독형 연중무휴(24x7) 글로벌 기술 지원 서비스인 ‘커뮤니티360(Community360)’을 발표했다. ‘커뮤니티360’은 오픈소스 DB 신규 도입을 고민하거나 포스트그레SQL을 커뮤니티 버전으로 사용하고 있거나, 전문 DBA(DB 관리자) 인력이 없어 어려움을 겪고 있는 고객들이 오픈소스 기반 DB 도입을 시작 단계에서부터 안정적인 운영에 이르기까지 전반적인 운영의 어려움을 최소화할 수 있도록 EDB 전문 엔지니어가 기술을 지원하는 서비스다. 커뮤니티360은 연간 구독 모델로 제공되며, 사용량에 맞춰 설치되는 규모에 따라 인스턴스나 코어를 묶은 ‘번들’ 형태나 개별 ‘코어’ 단위로 선택해 구매할 수 있어 초기 투자 비용을 줄일 수 있다. 커뮤니티360 플랜은 오픈소스 커뮤니티 DB인 포스트그레SQL과 오픈소스 관리 지원 도구, 연중무휴(24x7) 글러벌 기술 지원 서비스를 함께 제공한다. 또한 커뮤니티360은 데이터베이스의 백업 및 복구, 데이터베이스 관리 등을 위한 오픈소스 도구와 지리(Geo) 정보 관련 익스텐션도 제공한다. 커뮤니티360 플랜은 SLA(Service Level Agreement)에 따라 전문 엔지니어가 연중무휴로 지원하는 ‘프로덕션 서포트(Production Support)’ 옵션, 주요 한단계 높은 시스템 관리를 위해 즉각적인 응대와 조치가 가능한 ‘프리미엄 서포트(Premium Support)’ 옵션 중에 선택해 구매할 수 있다. EDB는 포스트그레스 DB 관리에 대한 독보적인 기술력을 가지고 있어, 기업의 다양한 요구사항과 서비스 유형 등을 고려해 DB관리 환경에 맞는 기능 설계에서 실제 코드 작성, 테스트 및 운영에 이르기까지 포스트그레스(Postgres) DBMS를 구축 및 유지 관리하는 데 필요한 모든 작업을 지원한다. EDB코리아 이강일 대표는 “기업의 포스트그레스 도입이 빠르게 증가하고 있고, 상...

EDB 2022.03.21

글로벌 칼럼 | AWS는 경쟁자인가 파트너인가

아마존 웹 서비스는 일각에서 주장하는 것처럼 한 번도 오픈소스를 잡아먹는 괴물이었던 적은 없다. 그렇다고 일각에서 원하는 것처럼 오픈소스에 좋은 일을 하지도 않았다. 필자가 보기에 AWS는 규모가 커지면서 자사의 리더십 원칙을 지키느라 애를 먹고 있는 것 같다.    파트너가 더 좋은 고객 경험을 제공할 수 있는 위치에 있을 때, 간섭하지 않고 고객 경험을 통제하기 어렵기 때문이다. 아마존의 말대로 “신뢰를 쌓기” 어려운 것이다. AWS는 ‘건강식’ 같은 자사의 소프트웨어보다 ‘지방 덩어리’ 같은 파트너의 소프트웨어를 선호하는 고객을 관리하는 데 실패했다. 과거에는 그랬다. 하지만 지금은 다르다. AWS는 현재 개선된 파트너십을 통해 시장을 계속 놀라게 만들고 있다. 최근 AWS와 몽고DB는 긴밀한 전략적 파트너십을 발표했는데, 확장된 제품 통합부터 공동 마케팅과 공동 영업 프로그램을 위한 공동 개발 전략까지 모든 것을 포함한다. 이번 발표는 의미가 매우 큰데, 두 업체는 수년 동안 경쟁 서비스의 호환성을 놓고 싸웠기 때문이다. AWS가 이전의 경쟁자와 좋은 협력관계를 맺은 것은 몽고DB만이 아니다. AWS와 컨플루언트 역시 올해 1월 전략적 협업 계약을 체결했다고 발표했다. 앞으로도 더 많은 사례가 나올 것으로 보인다. AWS는 아직 고쳐야 할 점이 많지만, 사실 AWS에 붙어 있던 오래 된 딱지는 이제 갈아야 할 시점이다.   우리가 원하는 AWS 필자의 경험으로 보면, 외부의 업계 관계자는 AWS가 어떻게 운영되는지 잘 알지 못한다. 그래서 AWS가 파트너나 고객이랑 어떻게 협력하는지도 이해하기 어렵다. 필자는 AWS를 떠나 몽고DB로 옮긴 후, AWS의 내부 역학 중 일부를 설명하려 했다. 이 역학이 파트너십에 접근하는 것을 가능하게도 만들고 어렵게도 만든다. 요약하자면, AWS에서 일하는 직원 모두는 리더십 원칙 하에 움직이지만, 팀은 의도적으로 작은 규모로 유지하고 자율적으로 운영된다. 이 때문에 리더쉽 원칙을 사...

AWS 파트너 리더십원칙 2022.03.17

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.