Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
TOPIC

오픈소스

다올티에스, 수세코리아와 총판계약 체결

다올티에스(이하 다올TS)는 수세소프트웨어솔루션스코리아(이하 수세코리아)와 총판 계약을 체결했다. 이번 총판 계약 체결로 다올TS는 수세가 보유하고 있는 기업용 리눅스와 쿠버네티스 제품군을 확보하였고, 이로 인하여 데이터센터에서부터 클라우드, 엣지에 이르는 인프라 전반의 환경에 솔루션을 공급할 수 있게 됐다고 밝혔다. 향후 다올TS는 기존에 보유한 1,000여 개에 이르는 파트너 생태계를 활용해 수세코리아와 마케팅 및 영업을 함께 공격적으로 전개함으로써 특정 벤더 중심으로 형성된 국내 리눅스, 쿠버네티스 시장에서 고객의 선택의 폭을 넓히는 데 기여한다는 계획이다. 수세코리아 최근홍 대표는 “다올TS와의 총판계약은 양사의 협력사 생태계에 더 큰 협업 공간을 마련하고, 체계적인 교육 훈련을 포함한 유기적인 지원 체계를 강화하는 계기가 될 것”이라고 밝혔다. 다올TS 홍정화 대표는 “다올TS는 오픈소스 글로벌 리더인 수세와 협력해 국내 IT업체들이 최신 트렌드에 맞춰 국내 산업을 발전시키는 데 일조하겠다”라고 말했다. editor@itworld.co.kr

다올티에스 수세코리아 2021.05.26

깃랩, 제5차 연간 글로벌 데브섹옵스 설문조사 결과 발표

깃랩은 제5차 연간 데브섹옵스(DevSecOps) 설문조사 결과를 발표하고, 데브옵스 팀이 성장함에 따라 소프트웨어 개발팀의 역할이 어떻게 변화하고 있는지 분석했다.  전세계 약 4,300명의 응답자를 대상으로 진행된 이번 설문조사에 따르면, 데브옵스 팀의 기술 도입 속도가 대폭 빨라지면서 데브섹옵스로 이행하기 위한 상당한 조치들이 취해졌으며, 향상된 릴리스 배포 속도와 첨단 자동화 기능을 수행하고 있는 것으로 나타났다. 2021년 설문조사 결과에 따르면, 코로나19 대유행으로 인해 원격근무가 광범위하게 채택되면서 팀이 쿠버네티스와 머신러닝/인공지능 및 클라우드 컴퓨팅과 같은 최첨단 데브옵스 기술 도입을 적극적으로 수용한 것으로 나타났다. 지난해에는 데브옵스의 성장과 이러한 기술 채택이 성숙단계에 이르렀지만, 진정한 데브섹옵스를 달성하기 위해서는 여전히 처리해야 할 장애물들이 남아 있는 것으로 확인되었다. 조사에 따르면, 지난해와 마찬가지로 소프트웨어 테스트 및 코드 검토가 여전히 어려운 과제로 제기되었지만, 이러한 문제를 처리하는 방법은 크게 달라졌다. 75%에 이르는 상당수의 응답자가 데브옵스 팀이 테스트 및 코드 검토를 위해 머신러닝/인공지능을 사용 중이거나 계획하고 있다고 답했으며, 이는 2020년 조사에 비해 41% 증가한 수치이다.  이러한 최첨단 기술이 광범위하게 채택되면서 소프트웨어 개발 라이프사이클에 자동화를 통합하는 방향으로 업계의 움직임이 크게 변하고 있다. 운영 팀의 과반수 이상(55%)은 라이프사이클이 완전히 또는 대부분 자동화되었다고 응답했다. 반면 2020년에는 완전히 자동화되었다고 응답한 팀은 8%에 불과했다. 올해는 84%의 개발자들이 그 어느때 보다 빠르게 코드를 배포할 것이라고 답했다. 이러한 릴리스 배포 속도의 증가는 소스 코드 관리와 CI/CD(Continuous Integration and Continuous Delivery)와 같은 도구가 추가됐기 때문이다. 응답자 중 약 12%는 데브옵스...

깃랩 2021.05.21

수세, ‘수세 리눅스 엔터프라이즈’ 및 ‘수세 랜처’ 업데이트 발표

수세소프트웨어솔루션스(이하 수세)는 수세콘 디지털 2021(SUSECON Digital 2021)을 개최하고, 최신의 리눅스, 쿠버네티스, 클라우드, 엣지, 하이브리드 IT 솔루션의 중요 업데이트를 발표했다. 특히 수세의 ‘랜처 랩스(이하 랜처)’의 인수 이후 첫 주요 기술 세션이 포함됐다.  수세의 멜리사 디 도나토 CEO는 “이번 발표는 수세 리눅스 엔터프라이즈 및 수세 랜처 쿠버네티스 관리 기술, 엣지 및 하이브리드 IT 환경의 새로운 클라우드 솔루션, 그리고 수많은 오픈소스 프로젝트를 판도를 바꿔 놓을 향상된 기능이 포함됐다”며, “수세의 오픈소스 기술에 대한 혁신 의지를 보여줄 것”이라고 말했다. 엔터프라이즈 리눅스 및 쿠버네티스 관리는 최근 IT 기술의 근간을 이루고 있으며, 수세의 두 제품군인 ‘수세 리눅스 엔터프라이즈(SLES)’와 ‘수세 랜처(SUSE Rancher)’가 해당된다.  수세 리눅스 엔터프라이즈 서버15 SP3(SLES 15 SP3)는 ‘오픈 수세 립(openSUSE Leap)’과 ‘수세 리눅스 엔터프라이즈’간 바이너리 호환성을 제공한다. 수세는 상업용 리눅스 배포판과CentOS 사용자가 립으로 전환하도록 돕기 위한 프로그램을 제공할 예정이다.  SLES 15 SP3에서 도입되는 ‘수세 리눅스 엔터프라이즈 베이스 컨테이너 이미지(SLE BCI)’는 타사 제품에 종속적인 락인없이 즉시 사용할 수 있는 개방형의 유연하고 안정적인 컨테이너 이미지 및 애플리케이션 개발 도구를 제공한다. 규제 시장의 요구 사항을 충족하기 위해, 수세는 특별히 강력한 인증을 받은 ‘SLE BCI’를 제공할 계획이다. SLES 15 SP3에는 최신형 인텔, AMD, IBM Z, 파워 하드웨어 플랫폼을 위한 지원 업데이트, ARM 칩셋, 향상된 데이터베이스 지원 및 성능, STIG 준수 및 암호화 지원을 위한 강화된 보안 및 데이터 보호 기능이 포함된다. ‘수세 랜처(SUSE Rancher) 2.6’은 관리 클러스터의 수에 관...

수세 2021.05.20

깃옵스가 '아직' 주류로 부상할 준비가 되지 않은 이유

깃옵스(Gitops)는 2017년 처음 고안된 이후, 특히 요즘 유행하는 분산 컨테이너 전반에 배포되고 쿠버네티스(Kubernetes)에 의해 조율되는 마이크로서비스를 구축하는 기업에서 데브옵스, 코드형 인프라, CI/CD 원칙과 같은 현대 소프트웨어 개발 방식의 자연스러운 발전 방향으로 부상했다. 그러나 업계에서 깃옵스가 애자일 및 데브옵스가 지금까지 이룬 규모의 주류 기술로 채택되기 위해서는 업계가 극복해야 할 여러 중대한 문화적, 기술적 장애물이 아직 남아 있다.   깃옵스란 무엇인가? 깃옵스는 데브옵스를 더욱 확장해 코드를 인프라로 다뤄 애플리케이션과 기반 인프라가 코드로 취급되고 버전 제어 시스템(주로 깃)에 저장되어 개발자와 운영자에게 단일 진실 공급원(single source of truth)을 제공할 수 있도록 한다. 제대로 구현되면 모든 변경 사항이 선언형 코드를 통해 푸시되고, 바람직한 상태로부터 이탈되는 경우 자동화된 단계를 통해 교정된다. 이론적으로는 흠잡을 데가 없지만, 펠로톤(Peloton), 볼보(Volvo), 티켓마스터(Ticketmaster), 저스트 잇 테이크어웨이닷컴(Just Eat Takeaway.com) 등 깃옵스 방식을 테스트 중인 것으로 알려진 기업 가운데 어느 한 곳도 현재 단계에 대해 본지와의 인터뷰에는 응하지 않았다.  IDC의 데브옵스 솔루션 부문 연구 책임자인 짐 머서는 “깃옵스 이니셔티브를 도입 중인 기업과 대화를 해본 적이 없다. 내가 대화를 나눈 기업은 깃옵스라는 말을 들어본 적도 없는 경우가 대부분”이라고 말했다. 2018년 컨테이너 기술 전문업체 애플라틱스(Applatix)를 인수한 후 깃옵스 조기 도입 기업이 된 핀테크 업체 인튜이트(Intuit)의 내부 개발자 플랫폼 부문 제품 관리 책임자인 무쿨리카 카파스는 “깃옵스의 성숙도는 여전히 초기 단계”라고 말했다. 그보다는 소규모 클라우드 네이티브 기업이 소프트웨어 제공 프로세스를 개선하기 위한 깃옵스의 가능성을 탐색하기...

깃옵스 Gitops 컨테이너 2021.05.12

레드햇, ‘레드햇 엔터프라이즈 리눅스 플랫폼 8.4’ 발표

레드햇(www.redhat.com)은 엔터프라이즈 리눅스 플랫폼의 최신 버전인 ‘레드햇 엔터프라이즈 리눅스(Red Hat Enterprise Linux) 8.4’를 발표했다.  레드햇 엔터프라이즈 리눅스는 데이터센터에서 엣지에 이르기까지 오픈 하이브리드 클라우드 기반의 리눅스 플랫폼이다. 엣지 배포를 위한 경량 프로덕션급 운영체제인 레드햇 엔터프라이즈 리눅스 8.4는 플랫폼의 역할을 개선하고 새로운 리눅스 컨테이너와 배포 및 관리 기능을 추가해 엣지 컴퓨터의 요구 사항에 맞춰 확장할 수 있다. 레드햇 엔터프라이즈 리눅스 8.4는 레드햇 엔터프라이즈 리눅스의 개방형 표준 기반 컨테이너 엔진인 포드맨(podman) 업데이트를 시작으로 이러한 이미지의 표준화와 제어를 유지할 수 있도록 한다. 포드맨은 데이터 센터나 원격 엣지 위치에 상관없이 단일 지점에서 오픈 하이브리드 클라우드의 컨테이너 관리를 지원한다. 또한 자동 컨테이너 업데이트 기능을 제공해 엣지에서 컨테이너화된 워크로드를 보다 쉽고 안전하게 실행하도록 돕는다.   레드햇 엔터프라이즈 리눅스 8.4는 다양한 용도로 배포 가능한 맞춤형 운영체제 이미지를 생성하는 이미지 빌더(Image Builder) 도구에 새로운 기능을 추가한다. 엣지 컴퓨팅 워크로드의 경우, 이미지 빌더는 이제 베어메탈용 설치 미디어 생성을 지원한다. 컨테이너 내부에서 실행할 수 있는 레드햇 유니버설 베이스 이미지(UBI, Red Hat Universal Base Image)는 레드햇 엔터프라이즈 리눅스 유저스페이스 콘텐츠로, 새롭게 업데이트되었다. UBI는 컨테이너가 애플리케이션 단에서 레드햇 엔터프라이즈 리눅스와 동일한 수준의 향상된 보안과 효율성을 비롯한 프로덕션급 특성을 유지하도록 지원한다. 엣지 컴퓨팅의 경우, UBI를 경량 마이크로 이미지로 사용할 수 있어 적은 컴퓨팅 자원으로 표준화된 클라우드 네이티브 애플리케이션을 구축하는데 이상적이라고 업체 측은 설명했다. 레드햇 엔터프라이즈 리눅스 8....

레드햇 2021.04.28

PHP 백도어 공격에서 드러난 오픈소스의 허점, 효과적인 코드 검증이 필요하다

정체 불명의 공격자들이 PHP 프로젝트 중앙 코드 리포지토리에 침입, 인터넷의 웹사이트 대부분을 구동하는 런타임에 백도어를 집어넣을 목적으로 악성코드를 추가하는 사건이 발생했다. 공격 집단은 2명의 유명한 PHP 개발자를 가장했지만 코드 커밋(commit) 자체가 그다지 은밀하지는 않아서 몇 시간 만에 다른 개발자의 리뷰를 통해 발각됐다.   다행히 백도어가 소프트웨어 제품의 정식 릴리스에 진입해 일반 사용자에게도 배포된 최근 솔라윈즈(SolarWinds) 침해나 다른 공급망 공격과 같은 광범위한 영향은 없었다. 그러나 사고는 PHP를 유지하는 조직인 PHP 그룹(PHP Group)이 코드 인프라의 운영 방식을 재검토하는 계기가 됐다. 오픈소스 코드는 주요 인터넷 서비스의 중심에 위치하며 현대 애플리케이션 코드베이스의 대부분을 차지한다. 자원 봉사자에 의해 제한적인 리소스로 운영되는 경우가 많은 오픈소스 프로젝트를 대상으로 한 공급망 공격의 수는 지난 몇 년 동안 가파르게 증가했다. 또한 전문가들은 방어가 어려운 만큼 공격자 사이에서 공급망 공격 벡터의 인기가 앞으로 더 높아질 것으로 예상하고 있다. PHP 리포지토리에 무슨 일이 최근 PHP 창안자이자 코어 개발자인 라스무스 러도프의 이름으로 git.php.net의 php-src 리포지토리에 "[skip-ci] Fix typo"라는 이름의 코드 커밋이 푸시됐다. 2시간 후 다른 PHP 기여자가 코드에 오타가 있다는 코멘트를 남겼고, 이후 다른 개발자가 코드의 역할이 무엇인지를 물었다. 이 질문은 보안 전문가인 한 개발자의 관심을 끌었다. 개발자는 '문자열이 'zerodium'으로 시작하는 경우 useragent HTTP 헤더 내에서 PHP 코드를 실행하는 코드'라고 답을 남겼다. 기본적으로 이 코드는 백도어(backdoor)였다. 공격자가 HTTP 헤더에 특정 문자열이 포함된 요청을 보내는 간단한 방법으로 실행이 가능하며, 그러면 감염된 이 PHP 버전을 실행하는 모든 웹 서버에서 임의의 코...

PHP 공급망공격 2021.04.07

큐브리드, 알투비솔루션과 전략적 업무 협약 체결

큐브리드는 실시간 데이터 동기화 전문기업 알투비솔루션과 전략적 업무 협약을 체결했다고 밝혔다. 큐브리드는 이번 협약을 통해 알투비솔루션의 CDC(Change Data Capture) 솔루션 ‘엑스로그(X-LOG)’와 자사의 DBMS 솔루션 ‘큐브리드(CUBRID)’를 연동하고 공동 고객 발굴에 협력할 계획이다. 양사의 솔루션을 사용하는 기업 및 조직에서는 원격 DBMS간 테이블 데이터를 고속으로 이관하고, 실시간으로 양방향 정합성을 검증할 수 있다. ETL 및 ESB 툴과 달리 DB 테이블을 직접 사용하지 않고, 로그를 캡처해 이관하는 방식을 통해 실제 DB에는 부하를 주지 않아 속도와 안정성을 향상시킬 수 있다. 알투비솔루션의 엑스로그는 또한 이기종 DBMS를 지원해 오픈소스 DB로 정확하고 손쉽게 전환할 수 있다. 큐브리드 정병주 대표는 “솔루션 연동을 통해 레거시 시스템을 클라우드로 전환하고자 하는 수요에 효과적으로 대응할 수 있을 것으로 기대한다”며, “기존에 큐브리드가 폭넓은 입지를 다져온 공공, 국방 시장에서의 원격 센터간 이관 및 내외부망 데이터 이관 사업을 비롯해, 알투비솔루션의 주력 분야인 금융, 제조, 리테일 등 다양한 시장에서 공동 레퍼런스를 적극 발굴하고자 한다”고 말했다. 알투비솔루션 장석주 대표는 “금융 마이데이터 사업 등 최근 빅데이터 DB의 활용이 늘어나고 있는 상황에서 리소스를 가장 효과적으로 활용하고자 하는 고민도 깊어지고 있다”며, “클라우드 전환에 유리한 기능적 이점을 가진 큐브리드와의 협력으로 신규 고객 발굴에 박차를 가할 계획”이라고 밝혔다. editor@itworld.co.kr

큐브리드 알투비솔루션 2021.04.07

"자바스크립트, 새로운 자바인가" 자바스크립트의 자바 대체 논쟁

자바는 '한 번 쓰고 어디서나 실행(Write once, run anywhere)'하는 프로그래밍 언어의 대명사다. 이런 자바를 자바스크립트가 대체할까?   답은 보는 관점에 따라 다르다. 또한 웹어셈블리(WebAssembly)와 같은 기술이 등장하면서 새롭게 부상하는 “한 번 쓰고 어디서나 컴파일(write once, compile anywhere)”하는 패러다임이 자바에 새로운 힘을 부여할 수도 있다. 자바는 JVM이 동작하는 곳 어디서나 실행되면서 많은 운영체제와 모바일 및 임베디드 기기를 포함한 하드웨어 플랫폼 간에 이식성을 제공한다. 그러나 뉴트랄리노(Neutralino) 자바스크립트/타입스크립트 프레임워크의 저작자 샬리타 수랑가는 브라우저 내 애플리케이션의 중심이었던 자바스크립트는 이제 일렉트론(Electron) 프레임워크와 같은 기술을 통해 데스크톱 애플리케이션에서, 리액트 네이티브(React Native)와 같은 프레임워크를 통해 모바일 애플리케이션에서, 그리고 Node.js와 데노(Deno)를 통해 웹 백엔드에서도 동작한다고 강조했다. 또한 노드MCU(NodeMCU)와 같은 도구를 통해 IoT와 로봇 개발에서도 자바스크립트를 사용할 수 있다. 디지털 제품 제조업체인 99x의 소프트웨어 엔지니어이자 아파치 프로젝트 관리 위원이기도 한 수랑가는 “요즘은 자바로 할 수 있는 일은 무엇이든 자바스크립트로도 할 수 있다”라고 말했다. 수랑가는 최근 미디엄(Medium)에 “한 번 쓰고 어디서나 실행하는 언어라고 하면 이제 자바가 아닌 자바스크립트”라고 주장하는 글을 게시했다. 자바스크립트, 웹 브라우저에서 서버와 기기로 수랑가는 자바스크립트를 불멸의 언어로, 자바를 서서히 죽어가는 언어로 선언했지만 수랑가의 말이 자바스크립트가 프로그래밍 언어로서의 자바를 대체할 것이라는 의미는 아니다. 이보다는 자바가 빛을 발하는 모든 곳에서(데스크톱 애플리케이션, 웹 서버, 웹 클라이언트, 모바일 앱, 스마트 TV 애플리케이션) 이제 자바스크립트가 ...

자바스크립트 자바 2021.03.30

레드햇, AWS 레드햇 오픈시프트 서비스 ‘ROSA’ 출시

레드햇(www.redhat.com)과 아마존웹서비스(AWS)는 AWS 콘솔에서 제공되는 새로운 매니지드 서비스인 ‘AWS 레드햇 오픈시프트 서비스(Red Hat OpenShift Service on AWS, 이하 ROSA)’의 출시를 발표했다.  레드햇 오픈시프트 고객들은 ROSA를 활용해 AWS에서 보다 쉽게 컨테이너화된 애플리케이션을 구축과 확장, 관리할 수 있다. 또한, 인프라를 수동으로 확장 및 관리할 필요 없이 익숙한 레드햇 오픈시프트 콘솔과 기능, 도구를 활용해 보다 간편화된 쿠버네티스 클러스터를 생성할 수 있다. ROSA는 온프레미스 환경의 레드햇 오픈시프트의 워크로드를 AWS로 이동하는 과정을 간소화하고 AWS서비스와의 긴밀한 결합을 제공한다. ROSA를 통해 고객들은 AWS에서 바로 레드햇 오픈시프트 라이선스 취득과 청구서 발행 및 지원 서비스를 받을 수 있다. ROSA를 사용하는데 드는 추가 비용은 없으며, 실제 사용한 컨테이너 클러스터 및 노드에 대해서만 비용을 지불한다.  ROSA를 통해 고객은 익숙한 레드햇 오픈시프트 API와 도구를 사용하여 빠르고 쉽게 쿠버네티스 클러스터를 생성할 수 있으며 AWS 콘솔 내에서 모든 AWS 서비스를 활용할 수 있다. ROSA는 복잡한 다년 계약이 필요 없는 새로운 레드햇 라이선스를 통해 레드햇 오픈시프트를 종량 요금제로 제공하고 고객의 비즈니스 요구사항에 맞춰 AWS에서 레드햇 오픈시프트를 활용할 수 있게 지원한다. 또한, ROSA는 SOC-2와 ISO-27001, PCI를 비롯한 주요 컴플라이언스 인증을 준수한다. 레드햇 호스트 플랫폼 부문 부사장인 사티시 바라크리쉬난은 “ROSA는 기업이 별도의 기술 스트림을 관리할 필요 없이 레드햇 오픈시프트를 AWS에서도 활용할 수 있게 한다”며, “이를 통해 IT팀은 기반 인프라를 관리할 필요 없이 가치 제공에 집중할 수 있다”라고 밝혔다.  editor@itworld.co.kr

레드햇 2021.03.26

인피니언, 오픈소스 소프트웨어 스택 포함하는 TPM 2.0 솔루션 제공

인피니언 테크놀로지는 포괄적인 TSS(TPM Software Stack) 호스트 소프트웨어를 포함하는 옵티가(OPTIGA) TPM 2.0 솔루션을 제공한다고 밝혔다.  인피니언은 인텔 및 프라운호퍼 보안 정보 기술 연구소와 공동으로 최신 FAPI 표준을 구현한 오픈소스 소프트웨어를 개발했다. 인피니언의 플러그-앤-플레이 옵티가 TPM 2.0을 사용해서 IoT 시스템 통합 업체들이 커넥티드 제품의 보안을 크게 향상시킬 수 있다고 업체 측은 설명했다. TSS-FAPI를 통합한 소프트웨어는 로우 레벨(low-level) 보안 규격에 대한 전문성을 필요로 하지 않으며 소스 코드 개발 작업을 16배까지 단축할 수 있도록 한다. 따라서 개발 비용과 시간을 절약할 수 있다. 또한 레벨 4 이상의 하드웨어 기반 안전이 요구되는 산업용 애플리케이션을 위한 IEC 62443 표준에 따라 산업용 디바이스 인증을 수월하게 한다. TCG(Trusted Computing Group)에서 국제 표준으로 최근에 발표한 FAPI 규격을 관련 툴 및 플러그인과 함께 TSS 스택에 구현했다. 이 TSS 스택은 오픈소스 소프트웨어로 리눅스 기반 시스템에 TPM 2.0을 원활하게 통합할 수 있도록 하며, 디바이스 인증, 데이터 암호화, 소프트웨어 업데이트, 원격 디바이스 관리를 위한 리눅스 소프트웨어 지원을 포함한다. 또한 FAPI(Feature API)는 사용자 인증, SSO(Single Sign-On), 이메일 암호화/서명 용 범용 인터페이스로서 PKCS#11 표준의 기본 지원을 가능하게 한다. FAPI는 최신 첨단 산업용 모범 사례에 따라 암호화 기능, 시스템 통합, 보안 메커니즘의 자동화 처리를 위한 디폴트 구성을 제공한다. 옵티가 TPM이 커넥티드 디바이스의 민감한 데이터를 위한 금고 역할을 해 사이버 공격으로 인한 데이터 소실과 생산 중단의 위험성을 낮춘다고 업체 측은 설명했다. 인피니언 TPM은 정보 보안 제품 평가 CC(Common Criteria) 인증을 받았다....

인피니언 2021.03.25

새로운 무료 소프트웨어 서명 서비스 '시그스토어', 오픈소스 생태계 강화 기대

리눅스 재단(Linux Foundation)이 소프트웨어 개발자가 자신의 릴리스 및 기타 소프트웨어 아티팩트에 디지털 서명하는 데 사용할 수 있는 무료 서비스를 출범했다. 이 프로젝트는 최근 몇 년 사이 전례 없이 많은 공격에 직면한 오픈소스 소프트웨어 공급망의 보안과 감사 가능성을 강화하는 데 목표를 두고 있다.   새로운 서비스의 기반 코드인 시그스토어(sigstore)는 구글, 레드햇, 그리고 퍼듀 대학과의 협력으로 개발됐으며, 앞으로 커뮤니티에 의해 유지 관리된다. 모든 서명 이벤트는 위조 방지 기능이 있고 모니터링을 통해 잠재적 악용을 발견할 수 있는 퍼블릭 로그에 저장된다. 시그스토어 작동 방법  시그스토어는 오픈ID(OpenID) 인증 프로토콜을 사용해 인증서와 ID를 연계한다. 이는 개발자가 자신의 이메일 주소 또는 기존 오픈ID ID 제공업체가 있는 계정을 사용해 소프트웨어에 서명할 수 있음을 의미한다. 예를 들어 마이크로소프트나 애플과 같은 특정 소프트웨어 생태계의 유지 관리자에 의해 신뢰된 인증 기관(CA)으로부터 인증을 받아야 하는 기존 코드 서명과는 다르다. 기존 코드 서명 인증서를 받기 위해서는 ID 확인이 포함된 특수한 절차를 거치거나 개발자 프로그램에 가입해야 한다. 시그스토어 서명 클라이언트는 단기간 유지되는 키 쌍을 생성하고, 리눅스 재단이 운영하는 시그스토어 PKI(public-key infrastructure)에 연결한다. PKI 서비스는 성공적인 오픈ID 연결을 확인하고 소프트웨어 서명에 사용될 키 쌍을 기반으로 인증서를 발급한다. 서명 이벤트는 퍼블릭 로그에 기록되고 이후 키를 폐기할 수 있다. 이는 기존 코드 서명과 또 다른 차이점이다. 각 서명 이벤트에서 새 키 쌍과 인증서가 생성되기 때문이다. 궁극적인 목표는 특정 ID가 특정 시간에 하나의 파일에 서명했다는 공개적 증거를 남기는 것이다. 이 정보를 사용해 정책 및 실행 메커니즘을 만드는 도구를 구축하는 것은 커뮤니티의 몫이다. 구글 오...

시그스토어 리눅스재단 서명 2021.03.15

토픽 브리핑 | 오픈소스의 시대, 중요한 것은 "소스 코드"가 아닌 "사람"

오픈소스가 10년만에 세상을 바꿨다. 2010년대 들어서면서, 클라우드, 빅데이터, 머신러닝, 프로그래밍 언어 등은 오픈소스를 기반으로 급속하게 발전했으며, 엔터프라이즈 IT는 대부분 오픈소스로 전환했다. '오픈소스는 암이다'라고 주장했던 마이크로소프트는 이제 오픈소스의 가장 큰 기여자가 됐다.  클라우드는 오픈소스 세상을 만드는 촉진제가 됐고, 대부분 오픈소스로 이뤄진 빅데이터 기술은 데이터 과학자라는 새로운 직업을 창출하기도 했다. 오늘날 많은 개발자는 오픈소스인 비주얼 스튜디오 코드를 편집기로 사용하고, 오픈소스인 타이프스크립트(TypeScript)를 사용해 웹 애플리케이션을 구축하며, 깃허브를 이용해 코드를 저장한다. 특히 현재 전 세계 최고 성능 슈퍼컴퓨터 500대가 모두 리눅스를 구동한다.   도커에서 데이터과학까지, 오픈소스가 '또 한 번' 세상을 바꾼 방법 MS, 오픈소스 자바 진영에 합류 “TOP500 슈퍼컴퓨터 모두 리눅스 구동” 오픈소스의 가치 증명 아마존, 애플, 구글, 삼성···프로젝트 CHoIP 발족 "오픈소스 스마트홈 표준 위해 뭉쳤다" 2020 베스트 오픈소스 소프트웨어 25선 이렇게 오픈소스는 프로그래밍 언어와 애플리케이션 플랫폼, 머신러닝과 데이터 인프라, 하드웨어까지 전 세계에서 가장 중요한 신기술의 동력이 됐다.  오픈소스가 지금처럼 널리 사용된 적이 없다는 사실에도 불구하고 현재 “오픈소스 지속 가능성’ 위기에 대한 논의가 진행되고 있다. 오픈소스는 지속될 수 없다는 경고는 오픈소스가 탄생한 이래로 계속 되어왔다. 지난 몇 년 동안 이에 대해 많은 논의가 있었고, 일부 타당한 측면도 있었다.  '공유지의 비극'이라는 유명한 개념은 오픈소스 지속가능성을 거론할 때 줄기차게 제시되어 온 주장이다. 또한 오픈소스의 문제점 가운데 하나는 중요한 오픈소스 소프트웨어가 상대적으로 적은 인원으로 관리되고 있으며, 기여자에게는 금전적 보상 방법이 많지 않다는 점이다. 예를 들어, 파이...

오픈소스 2021.03.12

IDG 블로그 | 클라우드는 오픈소스에 독일까 약일까

필자는 오래 전 몇몇 재능있는 개발자와 함께 일하면서 오픈소스의 개념을 알게 됐다. 당시에 오픈소스는 무료 소프트웨어라고 불렸으며, 간단한 유틸리티와 관련 코드가 대부분이었다. 어느 시점에 ‘오픈소스’란 용어가 무료 소프트웨어를 대체했는데, 이 새로운 움직임에서 사업성을 찾던 좀 더 비즈니스 지향적인 그룹의 생각을 반영한 개념으로 재탄생한 것이다. 이를 통해 리눅스, MySQL, 몽고DB, 퍼펫 등등이 태어났다. 이들은 모두 오늘날에도 널리 사용되며, 이어서 오픈소스 소프트웨어를 선호하는, 최소한 사용은 하는 기업이 등장했다.   오픈소스의 매력은 무료라는 것 이상이다. 오픈소스 기술을 선택한 기업은 어떤 솔루션 업체가 다른 업체에 인수되어 지원이 끊어지는 위험을 방지하고자 한다. 이런 일이 일어나도, 코드를 가져와 자체적으로 진행할 수 있다. 퍼블릭 클라우드를 이용하는 기업은 이미 오픈소스 소프트웨어를 클라우드 서비스의 일부로 이해한다. 크게 두 가지가 있는데, 첫째는 클라우드에서 구동하는 서드파티 소프트웨어 시스템이다. 둘째는 오픈소스의 특정 버전으로, 클라우드 네이티브 솔루션으로 재구축되어 이름도 바뀌었지만, 기능적으로는 오픈소스 코드에 의존한다. 이런 소프트웨어를 사용하는 것은 무료이지만, 클라우드 기반 서비스이므로 스토리지나 컴퓨트 자원을 사용하는 비용은 내야 한다. 이 때문에 일부 골수 무료 소프트웨어 지지자로부터 비난을 받는다. 게다가 오픈소스 커뮤니티도 불만인데, 클라우드 서비스 업체는 오픈소스 소프트웨어를 이용해 금전적 이득을 얻으면서 실질적으로 오픈소스 시스템에 가치를 더하거나 이들 시스템의 차세대 개발을 지원하지는 않기 때문이다.  오늘의 주제는 바로 이 지점에 있다. 퍼블릭 클라우드 서비스 업체는 매출이 중요하고, 오픈소스 커뮤니티는 오픈소스의 핵심 가치를 지키고자 한다. 이 두 가지 목적이 공존할 수 있을까? 쿠버네티스 컨테이너 오케스트레이션 시스템을 오픈소스 프로젝트로 전환한 것은 대성공이었다. 클라우드 ...

라이선스 오픈코어 이중라이선스 2021.03.10

OSBC “국내에서 가장 많이 사용하는 오픈소스는 제이쿼리”

OSBC(www.osbc.co.kr)는 ‘OSBC 오픈소스 웨비나 2021’에서 오픈소스 검증 서비스를 통해 8년간 축적한 빅데이터를 분석하고 도출한 통계를 공개했다. OSBC의 분석에 의하면 2013년부터 2020년까지 8년간 국내에서 가장 많이 사용해 온 오픈소스 프로젝트는 제이쿼리(Jquery)가 13.69%로 비중이 가장 높았고, 부트스트랩(Bootstrap)이 4.84%, 그 외 아파치(Apache) 계열 프로젝트가 뒤를 이었다.   사용된 오픈소스를 라이선스로 분류해보면 87.19%가 소스코드 공개 의무사항이 없는 퍼미시브(Permissive) 계열로 나타났고, 소스코드 공개 의무사항이 있는 카피레프트(Copyleft)는 10.62%, 상용코드는 3.19%로 저조한 편이었다. 가장 많이 사용된 오픈소스 라이선스는 아파치 2.0 라이선스와 MIT 라이선스로 전체 식별 라이선스 대비 약 30%의 높은 비중을 차지했으며, 5.26%의 BSD 3.0, 3.44%의 GPL 2.0 등이 그 뒤를 이었다. 소스코드 공개 의무사항이 있는 GPL 계열의 오픈소스 라이선스는 평균 4~6위의 상위권을 차지했다. OSBC의 전재웅 차장은 “국내에서도 다양한 퍼미시브 계열의 오픈소스를 주로 사용하는 것은 자연스러운 현상”이라며, “하지만 소스코드 공개 의무사항이 존재하는 GPL 계열의 오픈소스 사용이 여전히 상위권을 차지하기에 오픈소스 사용 내역과 라이선스 위반 여부를 확인하는 것은 오픈소스를 사용함에 있어서 여전히 중요하다”라고 강조했다. editor@itworld.co.kr

OSBC 2021.03.08

오픈소스 저장소 사용 시의 또 다른 위험, '의존성 혼동'이란 무엇인가

의존성 혼동(Dependency confusion)이란 소프트웨어 개발 도구가 공개 및 비공개 저장소에서 서드파티 패키지를 끌어오는 기본 방식에서 새롭게 발견된 논리적 결함이다. 공격자들은 이 문제를 이용해 개발 환경을 속일 수 있다. 즉, 비공개 저장소에 호스팅된 커스텀 패키지 대신에 커뮤니티 저장소에 게시된 악성 패키지를 끌어오도록 만드는 것이다. 소프트웨어 공급망의 복잡성 시놉시스(Synopsys)의 2020년 연구에 따르면, 기업이 사용하는 상용 애플리케이션 가운데 99% 이상에 오픈소스 코드가 들어 있으며, 이런 코드는 기업의 전체 코드에서 최소한 70%를 차지한다. 이는 모든 프로그래밍 언어에 이용 가능한 서드파티 구성요소와 패키지로 구성된 거대한 생태계 덕분이다.  자바(Java)에는 중앙 저장소가 있고 자바스크립트(JavaScript)에는 npm이 있으며, 파이썬(Python)에는 PyPI(Python Package Index, 파이썬 패키지 인덱스), 루비(Ruby)에는 루비젬(RubyGems)이 있는 식이다. 이들은 모두 커뮤니티에서 유지 관리하는 공개 저장소로서 패키지가 의존성으로 정의될 때 개발 도구는 이 곳으로부터 패키지를 끌어온다. 패키지 사이의 관계가 복잡하다는 것은 한 구성요소를 애플리케이션 내에 의존성으로 끌어올 경우 수십 개 내지 수백 개의 다른 애플리케이션을 가져오는 결과를 낳을 수 있다는 의미다. 이런 점은 특히 저장소의 감시가 잘 이루어지지 않을 경우, 공격자들이 악용할 소지가 있다고 보안 연구원들이 오래 전부터 경고해 왔다. 과거에 해커들은 정상적인 패키지 개발자들을 해킹해 패키지에 악성코드를 주입했다. 그 결과, 해당 패키지를 의존성으로 갖고 있는 다른 많은 정상적인 패키지도 피해를 입었다. 공격자들은 개발자들이 애플리케이션 의존성을 정의할 때 이름을 잘못 입력하기를 기대하면서 정상적인 이름과 비슷한 이름의 구성요소를 업로드하기도 했다. 이런 공격을 '타이포스쿼팅(Typosquatting)'이라고 한다....

오픈소스 의존성혼동 Dependency confusion 2021.03.04

파이썬 성능 개선을 위한 6가지 프로젝트

파이썬(Python)은 세련되고 편리하지만 파이썬을 사용하는 누구나 알고 있듯이 CPU 집약적인 작업에서 C, 자바 또는 자바스크립트보다 속도가 훨씬 더 느리다. 그러나 느린 속도를 이유로 파이썬을 외면하기에는 다른 많은 장점이 아깝다. 그래서 이 언어의 성능을 근본적으로 높이기 위한 여러 프로젝트가 등장했다.   동일한 하드웨어에서 파이썬의 속도를 더 높이는 방법은 크게 2가지인데, 각각 장단점이 있다.    파이썬에 사용되는 기본 런타임(C파이썬 구현)의 대안을 만드는 방법이다. 큰 작업이지만 결과적으로 C파이썬을 대체할 수 있다. 기존 파이썬 코드를 다시 써서 특정 속도 최적화 기능을 활용할 수 있다. 즉, 프로그래머 측에서 더 많은 작업이 필요하지만 런타임을 변경할 필요는 없다. 지금부터 파이썬 성능을 높이는 6가지 방법을 알아보자. 각 방법은 앞의 2가지 접근 방법 가운데 하나 또는 두 가지의 조합을 사용한다. 파이파이(PyPy) C파이썬의 대안 중에서는 파이파이가 단연 가장 눈에 띈다(예를 들어 쿠오라(Quora)는 프로덕션에서 파이파이를 사용함). 파이파이는 기존 파이썬 코드와의 호환성도 뛰어나므로 기본 런타임이 될 가능성도 가장 높다. 파이파이는 언어의 속도를 높이기 위해 구글 크롬의 V8 자바스크립트 엔진과 마찬가지로 JIT(Just-In-Time) 컴파일을 사용한다. 과거에는 파이썬 3보다 파이썬 2에 더 친화적이었지만 최신 버전의 파이파이는 파이썬 2.7 외에 파이썬 3.6과 3.7도 지원한다. 파이파이는 넘파이(NumPy)와 같이 파이썬 성능을 높이는 데 사용되는 일반적인 라이브러리와의 통합이 오랫동안 원활하지 않았다. 그러나 최근 릴리스에서는 이 문제가 많이 해결됐다. 파이파이의 또 다른 제약은 제대로 된 성능 향상을 얻기 위해서는 어느 정도 워밍업 시간이 필요하므로 서버와 같은 장기 실행 프로그램에는 적합하지만 단발성 스크립트에서는 효과가 떨어진다는 점이다. 또한 실행 파일의 크기가 C파이...

파이썬 파이파이 PyPy 2021.03.04

메가존클라우드-수세코리아, 클라우드 오픈소스 시장 공략 위해 협력

메가존클라우드는 수세 소프트웨어 솔루션즈 코리아(이하 수세코리아)와 파트너십을 체결했다고 밝혔다. 수세코리아는 SAP 애플리케이션용 수세 리눅스 엔터프라이즈 서버(SUSE Linux Enterprise Server for SAP Applications)를 통해 SAP의 중요 업무 워크로드를 안정적으로 운영, 관리할 수 있도록 지원하는 고가용성 플랫폼을 제공한다.  메가존클라우드는 수세와의 파트너십을 통해 기존 사업 영역에서 OS 영역을 포함한 전 SAP 사업 영역을 지원할 예정이다.  메가존클라우드는 현재 ‘SAP on 클라우드’ 서비스를 통해 SAP 애플리케이션을 다양한 클라우드로 제공하고 있으며, 20여 개의 ‘SAP on 클라우드’ 고객사를 확보하고 있다고 밝혔다. 이뿐만 아니라 컨테이너 관리 서비스인 랜처에 대한 대형 고객 사례를 확보함에 따라 검증된 랜처 기술 역량을 이번 파트너십을 통해 보다 본격적으로 확장하겠다고 덧붙였다. 수세와 메가존클라우드의 파트너십에 따라 ‘SAP on 클라우드’ 고객에게는 수세 구독서비스(SUSE Subscriptions) 구매를 비롯한 운영체계(OS), 고가용성(HA)에 대한 효율적인 기술지원으로 간편하게 관리 가능한 클라우드 환경을 제공할 예정이다. 메가존클라우드는 SAP 서비스를 클라우드로 전환 또는 신규 구축하는 과정에서 수세 기업용 리눅스를 운영체제로 지누스, 와이솔, 잇츠한불 등 다수의 고객사례를 확보했다. 수세코리아 최근홍 지사장은 “기업용 리눅스 OS를 이끌어오던 수세가 메가존클라우드와 SAP on 클라우드, 멀티 쿠버네티즈 관리 플랫폼 선도 전략에 함께 하게 돼 양사가 가진 솔루션과 고객 기반 및 혁신 지원 역량을 결합함으로써 시너지를 극대화할 수 있을 것으로 기대한다”라고 말했다. 메가존클라우드 이주완 대표는 “이번 수세와의 파트너십은 단순히 클라우드 인프라뿐만 아니라, 수세와 함께 클라우드 기반 애플리케이션에 대한 전문성을 확보해 국내뿐만 아니라 글로벌 시장을 공략하고자...

메가존클라우드 수세코리아 2021.03.04

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.