Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

오픈소스

2022년 쿠버네티스 보안 현황 리포트

쿠버네티스 보안 현황 리포트의 최신 버전에서는 컨테이너, 쿠버네티스, 클라우드 네이티브 보안 분야에서 새롭게 부상하는 동향을 분석합니다. 300명 이상의 DevOps, 엔지니어링 및 보안 전문가들을 대상으로 한 설문조사 결과에 기반한 이 리포트는 컨테이너 및 쿠버네티스를 수용하는 기업들이 클라우드 네이티브 환경을 보호하기 위해 DevSecOps 이니셔티브를 구현하는 방법에 대한 새로운 조사 결과를 제공합니다. 이 리포트의 결과를 벤치마킹하여 컨테이너와 쿠버네티스 전반에 보안 제어를 적용하기 위한 노력을 가속화할 수 있는 방법을 결정하는 것이 좋습니다. 컨테이너와 쿠버네티스에 사용할 수 있는 보안 이점은 선언적 구성 및 변경 불가능한 인프라에서 애플리케이션 컨테이너에 내재된 격리에 이르기까지 다양합니다. 그러나 조직은 DevOps 기반의 클라우드 네이티브 환경에서 빠르게 실행하여 상당한 이점을 누릴 수 있도록 이러한 기능을 작동시키기 위한 지식, 툴링, 프로세스가 필요합니다. <21p> 주요 내용 - 쿠버네티스, 컨테이너 보안 주요 설문결과 - 혁신을 저해하는 보안 고려 사항 - 하이브리드 클라우드 배포 전략 - 쿠버네티스 보안 활용 사례 - 오픈소스 보안 툴 - 보안 향상을 위한 4가지 팁

컨테이너 쿠버네티스 클라우드네이티브 3일 전

오픈소스계 유니콘 코크로치DB, 마이그레이션 도구 ‘몰트’ 및 ‘서버리스’ 기능 추가 

구글 출신 직원들이 모여 만든 기업으로 유명한 코크로치 랩스(Cockroach Labs)가 분산형 SQL 데이터베이스 ‘코크로치DB(CockroachDB)’에 데이터베이스 마이그레이션 툴 ‘몰트(Molt)’를 추가했다고 21일 밝혔다. 또한 서버리스 제품도 함께 공개했다.  코크로치 랩스는 오픈소스 기술이면서 재해 발생 시 복원력이 뛰어난 데이터베이스 코크로치DB를 만들어 인기를 끌고 있다. 몰트라는 단어는 원래 탈피 혹은 털갈이라는 뜻을 가지면서 기업에서 신입사원 오리엔테이션(Model for Optimal Learning and Transfer의 약자)을 할 때 쓰는 용어이기도 하다. 코크로치 랩스는 몰트로 마이그레이션에서 발생하는 여러 장애물을 줄일 수 있다고 보고 있다. 특히 몰트는 스키마 컨버젼 툴(schema conversion tool)을 지원하는데, 사용자는 이 도구로 기존 데이터베이스와 코크로치DB 사이의 호환성 문제를 확인하고 고칠 수 있다.  데이터베이스 마이그레이션은 많은 시간과 노력이 필요한 작업이다. 그래서 기업은 호환성 및 데이터 간 불일치 등의 문제를 해결하는데 많은 자원을 투자하곤 한다. 실제로 시장조사업체 가트너는 데이터 마이그레이션 중 83%는 실패하거나 예산이나 일정 문제를 맞닥뜨린다고 설명했다. 또 다른 분석 기관 불로어 그룹(Bloor Group)이 펴낸 보고서도 데이터 마이그레이션 프로젝트 80%가 마감 일정이나 예산을 맞추지 못한다고 지적했다.  그 외에도 코크로치 랩스는 ‘코크로치DB 서버리스’를 공식 출시했다. 코크로치DB 서버리스는 주문형 관계형 데이터베이스로 포스트그레SQL 인터페이스를 이용하고, 사용량 기반으로 서비스를 확장하고 요금을 책정하는 것이 특징이다. 또한 데이터베이스 운영의 어려움과 예산을 줄이는데 도움을 줄 수 있도록 커맨드라인 인터페이스(CLI) 같은 개발자 도구와 포스트그레SQL 객체 관계형 매퍼(ORM) 소프트웨어를 제공한다. ORM은 객체 지향 패러다임을 ...

오픈소스 코크로치 DB 3일 전

글로벌 칼럼 | SW 개방성 논쟁, 명분보다 실리가 중요하다

최근 영향력 있는 산업 분석가이자 전 애플 직원인 마이클 가텐버그는 “문자 생태계를 조금이라도 개방하는 게 애플의 이익에 부합한다. 수익성이 높아서가 아니라 모든 스마트폰 사용자를 위해 해야 할 바람직하기 때문이다”라고 말했다. 하지만 애플은 이 충고를 무시해야 할 이유는 명확하다. 약 2조 5,000억 달러(시가 총액)에 달하는 기업가치다. 오해 마시라. 필자 역시 가텐버그의 주장에 공감하고 지지한다. 실제로 필자가 애플 생태계를 떠나지 못하는 가장 큰 이유 역시 애플 메시지(Apple Messages)다. 하지만 현실적으로 많은 사용자가 애플의 '닫힌 정원(Walled Garden)'에 수십억 달러를 쓰기 위해 계속 줄을 서고 있다.    오픈소스 영역에서도 비슷한 일이 벌어지고 있다. 라이트밴드(Lightbend)가 최근 아카(Akka)에 대한 라이선스를 울트라-오픈 아파치 2.0(ultra-open Apache 2.0)에서 OSI(오픈소스 이니셔티브) 승인 오픈소스 라이선스가 아닌 비즈니스 소스 라이선스(BSL)로 변경했다. 일각에서는 이를 '배신의 징조'로 해석한다. 아파치 루씬(Lucene)과 아파치 하둡의 개발자 더그 커팅은 이를 '미끼'라고 표현했다. 일리 있는 지적이다. 그러나 애플과 오픈소스 논란에서 가장 중요한 것은 따로 있다. 바로 ‘사용자가 실제로 어떤 반응을 보일 것인가’다. 그리고 아마 이를 확인하면 아마도 많은 사람이 매우 놀랄 것이다.   개방성은 약자의 도구 먼저 '메시지 서비스 표준(Rich Communication Services) vs. 애플 메시지' 논쟁을 보면서 애플보다 구글이 '덜 상업적'이라고 착각하지 말자. 구글은 오픈소스 메시징이 세계 모든 사용자를 위한 것이라고 장황하게 설명하며 애플을 상대로 공격적인 메시징 캠페인을 폈다. 그러나 산업 분석가인 사미르 카자카는 “이런 마케팅 캠페인은 결국 메세징 활용을 위한 구글의 비즈니스 전략이다”라고 지적했는데, 필자 역시 그의 주장에 동의한다. ...

개방성 오픈소스 애플 3일 전

EDB, “완전관리형 포스트그레SQL로 한국 DBMS 시장 공략”

EDB는 주력 제품인 오픈소스 포스트그레SQL 데이터관리시스템인 ‘포스트그레스 어드밴스드 서버(EPAS)’와 클라우드 기반 완전 DBaaS(서비스형 데이터베이스) 솔루션인 ‘빅애니멀(BigAnimal)’ 등으로 DBMS 교체에 나서는 국내 금융서비스 및 공공, 제조, 통신 시장 공략에 나선다고 밝혔다.   EDB 에드 보야진 CEO는 “포스트그레스(Postgres)는 혁신적인 오픈 소스 기술로 평가받고 있으며, 시장 주도권을 놓고 기존 상용 데이터베이스 공급업체에 도전하고 있다”며, “EDB는 이러한 변화를 주도하고 있다”고 말했다. 오픈소스 DBMS가 상용 DBMS와 유사 혹은 동일한 성능을 제공하고 기존 시스템의 안정적인 전환 및 TCO 절감효과, 클라우드에 최적화된 아키텍쳐 제공 등의 강점이 부각되면서 다수 도입되고 있다. 실제로 기존 상용 DBMS 시스템 운영 및 구축하던 내부 인력들이 손쉽게 EDB를 통해 오픈소스 DBMS인 포스트그레SQL에 적응하고 있으며, 기본 제공되는 MTK(Migration Tool Kit)을 통해서 스키마 및 오브젝트들에 대한 자동 전환이 가능해졌다. 또한 EDB는 유지보수 측면에서도 기존 운영하던 인력들을 짧은 기간 재교육을 통해 손쉽게 오픈소스 DBMS를 다룰 수 있도록 지원한다. EDB는 오픈소스 DB인 포스트그레SQL을 관리할 수 있는 DBMS를 기반으로 오라클DBMS와 스키마 및 오브젝트들에 대한 평균 95% 이상의 호환성을 바탕으로 안정적으로 시스템 이전 및 운영이 가능하며, 안정성, 성능, 관리, 보안 기능을 개선할 수 있도록 지원한다. EDB는 오픈소스 DB인 포스트그레SQL에 성능, 관리, 보안 기능, 전문 기술 지원 서비스 등을 더한 데이터관리시스템인 ‘포스트그레스 어드밴스드 서버(EPAS)’와 클라우드로 기반의 완전 관리형 포스트그레스 DBaaS 솔루션인 ‘빅애니멀(BigAnimal)’ 등을 주력 제품으로 국내 금융, 공공, 제조 기업 고객들에게 공급하고 있다. EDB는 기업의 다양한 요...

EDB 포스트그레sql DBMS 6일 전

글로벌 칼럼 | 티(tea), 오픈소스 무료 노동을 끝내자

오픈소스에는 모두가 알고 있지만 아직 충분히 해결되지 않은 문제가 있다. 바로 공정성이다. 그동안 인터넷과 인터넷의 모든 혁신의 근간이 되어온 오픈소스 프로젝트는 주로 자발적인 노동력 기여로 운영됐다. 그러나 이처럼 오픈소스가 개발자에 대한 보상이 거의 또는 전혀 이루어지지 않는 상태로 만들어지고 유지되면, 이는 개발자에게 불공정할 뿐만 아니라 사용자를 잠재적인 위험에 드러낼 가능성이 있다. 실제로 그동안 많은 사용자가 사이버보안 문제에 취약한 상태로 방치되곤 했다.   필자는 대다수의 개발자가 인류 전체에 유익한 소프트웨어 인프라를 만드는 일 대신 페이스북, 애플, 아마존, 넷플릭스, 구글 등 대형 IT 업체의 광고 수익을 늘리는 일에 집중하고 있기 때문에 현대 기술의 성장이 정체됐다고 믿는다. 그 결과 자금난에 시달리는 소규모 오픈소스 개발자 집단에 더는 연봉과 인터넷 운영 유지 가운데 양자택일을 강요할 수는 없는 상태에 이르렀다. 그리하여 필자는 이 문제를 해결하기 위해 ‘브루투포웹쓰리(brew2 for web3)’의 일종인 티(tea) 제작에 나서고 있다.   오픈소스에서 공정성이 중요한 이유 필자는 오픈소스와 블록체인 분야에서 개발해 왔다. 특히 패키지 관리자가 개발 스택에 상주하는 홈브루(Homebrew)의 제작을 통해, 오픈소스에 대한 경제적 인센티브를 바꾸는 데 도움을 줄 방법을 찾았다. 맥스(이 글의 필자 중 한 명)는 오픈소스 소프트웨어 패키지 관리 시스템 홈브루(일명 ‘브루’)를 만들었고, 이는 사상 최대의 기여를 끌어낸 오픈소스 소프트웨어 프로젝트로 성장했다. 세계 최대 IT 기업이 제품 구축의 근간으로 홈브루를 사용하지만 홈브루 개발이나 홈브루에 기여한 개발자에 대해 직접적으로 자금을 지원하지는 않는다. 팀(이 글의 또 다른 필자)은 블록체인 개발 분야의 오랜 리더로서 이키가이 자산 운용(Ikigai Asset Management)은 물론 비영리 단체인 DEVxDAO의 창립자이기도 하다. DEVxDAO는 DAO(탈...

tea 오픈소스 2022.09.16

“러스트 언어 보안성 높인다”…재단에 자체 보안팀 배치

러스트 재단이 러스트(Rust) 언어의 보안 수준을 평가하고 강화하기 위해 자체적으로 보안팀을 지원하겠다고 밝혔다.    이번에 새로 생기는 러스트 보안팀은 전문 인력으로 구성됐으며, 러스트 커뮤니티를 지원하고, 프로그래밍 언어의 안정성을 높이는 데 도움을 줄 예정이다. 러스트는 기본적으로 메모리 안정성을 보장하기 때문에 보안성이 높다고 여겨지곤 하는데, 러스트 재단 이사장 벡 럼불은 “러스트 역시 다른 언어와 마찬가지로 보안 취약성이 존재할 수 있다”라며 “적극적인 사전 조치로 러스트 언어를 지속 가능하게 만들고 외부 공격으로부터 보호하겠다”라고 밝혔다.  러스트 보안팀은 오픈SSF 알파-오메가 이니셔티브(OpenSSF Alpha-Omega Initiative)와 제이프로그(JFrog)에서 지원받고 있다. 오픈SSF 알파-오메가 이니셔티브는 리눅스 재단 주도 하에 오픈소스 소프트웨어의 공급망 보안 기술을 지원하는 프로그램이다. 제이프로그는 데브옵스 플랫폼 전문 업체다. 두 프로젝트는 러스트 재단에 전문 인력을 배치하고 필요한 자원을 지원하면서 러스트 보안성을 높이는 작업에 착수한다. 초기에는 보안 감사를 진행하고 예상 위협을 모델링하면서 현 상황에서 효율적으로 보안성을 높일 방안을 찾을 예정이다. 또한 카고(Cargo) 패키지 매니저와 크레이트(Crates) 레지스트리 같은 러스트 개발 환경에서 보안성을 확보할 수 있도록 지원할 계획이다.  오픈SSF는 올해 초 ‘오픈소스 보안 모빌리제이션 방안’을 발표하고 메모리 안정성을 지원하지 않는 C나 C++ 같은 언어를 러스트나 고(Go)로 대체해서, 근본적인 보안 취약성을 제거해야 한다고 조언한 바 있다. 오픈SSF 알파-오메가 이니셔티브는 구글과 마이크로소프트에게 금전적인 후원을 받고 있으며, 오픈소스 소프트웨어 프로젝트의 보안성을 높이는 활동을 주도하고 있다.  editor@itworld.co.kr

오픈소스 러스트 보안 2022.09.14

"보안 위험 줄이는 종속성 관리법" 오픈SSF, 'npm 베스트 프랙티스 가이드' 발표

최근 오픈SSF(The Open Source Security Foundation, OpenSSF)가 npm 베스트 프랙티스 가이드(npm Best Practices Guide)를 발표했다. 자바스크립트와 타입스크립트 개발자가 오픈소스 종속성 관련 보안 위협을 줄이는 데 도움을 주기 위한 목적이다. 개발자들이 종속성을 점점 더 많이 공유하고 사용하는 것은 신속한 개발과 혁신에 기여할 수 있지만, 동시에 위험을 초래할 수도 있기에 주의가 요구된다.   오픈SSF 베스트 프랙티스 워킹 그룹(OpenSSF Best Practices Working Group)이 제작한 이번 가이드는 npm을 위한 종속성 관리와 공급망 보안을 중심으로 안전한 CI 환경을 설정하는 방법, 종속성 혼란을 피하는 방법, 종속성 탈취로 인한 여파 제한하는 방법과 같은 다양한 영역을 다룬다.  심각한 보안 위험이 될 수 있는 오픈소스 종속성 오픈SSF 기여자들은 블로그에서 오픈소스 종속성을 사용하는 이점이 단점을 능가하는 경우가 종종 있지만 상당한 위험이 발생할 수 있다며, “간단한 종속성 업데이트로 종속 프로젝트가 중단될 수 있다. 또한 다른 소프트웨어처럼 종속성에 취약성이 있거나 하이재킹되어 이를 사용하는 프로젝트에 영향을 줄 수 있다”라고 썼다. 리눅스 재단의 오픈소스 공급망 보안 부문 이사 데이비드 A. 휠러는 CSO에 개발자의 오픈소스 종속성 사용으로 인한 가장 큰 보안 위험이 직간접 종속성의 취약성이 지닌 파괴력을 과소평가하는 것이라고 지적했다. 휠러는 “결함은 모든 소프트웨어에서 발생할 수 있다. 주의를 기울이지 않으면 공급망에 심각한 영향을 미칠 수 있다. 종속성은 보이지 않는 경우가 빈번하며, 개발자나 조직은 스택의 모든 레이어를 볼 수 없다. 소프트웨어 재사용을 중단한다고 해서 해결되는 문제가 아니다. 소프트웨어를 현명하게 재사용하면서 취약점이 발견됐을 때 구성요소를 업데이트할 준비를 하고 있어야 한다”라고 덧붙였다. 그러나 효율적인 종속성 보안 전략...

오픈SSF 오픈소스 종속성관리 2022.09.06

글로벌 칼럼ㅣ한때 잘 나갔는데…‘헤로쿠’가 시들해지는 이유

한때 애플리케이션 배포의 대명사였던 ‘헤로쿠(Heroku)’는 투자 부족으로 다른 배포 옵션을 많이 제공하지 않고 있다.  ‘헤로쿠’에 관해 이야기할 때면 항상 ‘하지만’이 붙는다. 이를 감안하고 보도록 하자. 필자는 지난 15년 동안 헤로쿠가 ‘마법 같은’ 개발자 경험을 제공한다는 이야기를 많이 들었다. 이스라엘 민족이 광야에서 살아남을 수 있도록 하늘이 내려 준 열매처럼 말이다.  하지만…   헤로쿠는 ‘현실’보다 ‘신화’ 속에서 더 크게 보인다. 헤로쿠가 다른 서비스 및 제품에 미친 영향이 크지 않다고 말하려는 건 아니다. 하지만 왜 헤로쿠가 아닌, 쿠버네티스가 애플리케이션을 구축하고 확장하는 기본 방법으로 자리 잡고 있을까? 일각에서는 헤로쿠가 시대를 앞서갔다고 주장한다. 아마도? 아니면 그 마법 같은 개발자 경험의 대가가 오늘날의 복잡한 엔터프라이즈 컴퓨팅에서 작동하기에 너무 제한적일지도 모른다.  개발자 경험의 황금기 최근 헤로쿠는 무료 플랜을 폐지한다고 발표했다. 왜? 알고 보니, 무료 계층을 관리하는 데 너무 많은 작업이 필요했다. 2010년 말 헤로쿠를 인수한 세일즈포스의 부사장 겸 헤로쿠 총괄 책임자 밥 와이즈는 “자사의 제품, 엔지니어링, 보안팀은 헤로쿠 무료 플랜의 사기와 남용을 관리하기 위해 엄청난 노력을 기울이고 있다”라고 말했다. 이 회사는 크립토 사기꾼과 두더지 잡기 게임을 계속하는 대신, (아마도 있어야 할 만큼 많지 않은) 고객에게 더 나은 투자를 하기를 원하고 있다.  필자가 팔로우하는 사용자에 한정되긴 하지만 (필자는) 애플리케이션 배포에 혁명을 일으킨 방법을 칭찬하는 것 외에는 헤로쿠에 관한 다른 언급을 들어본 적이 없다. 헤로쿠 이전에는 애플리케이션을 구축하고 배포하는 데 시간이 오래 걸렸다. 헤로쿠를 사용하면 배포가 깃(git) 푸시만큼 쉽다.  2014년과 2017년 사이 헤로쿠에서 엔지니어링을 이끌었던 제이슨 워너가 주장하는 것처럼 문제는 “헤로쿠가 ...

헤로쿠 PaaS 애플리케이션 배포 2022.08.31

쿠버네티스용 오픈소스 보안 플랫폼 ‘쿠버스케이프'에 취약성 검사 기능 추가

쿠버네티스 보안 전문 업체 ARMO가 오픈소스 기반 보안 플랫폼 쿠버스케이프(Kubescape)에 취약성 검사 기능을 추가했다.    ARMO는 “사용자는 코드 저장소와 컨테이너 이미지 레지스트리를 스캔하면서 보안성을 높일 수 있을 것”이라며 “렌즈(Lens), 프로메테우스(Prometheus), 플루럴(Plural), 시보(Civo), 깃허브 액션, 깃랩, 비주얼 스튜디오 같은 서드파티 데브옵스 및 쿠버네티스 툴을 통합해 사용할 수 있다”라고 설명했다.  새롭게 추가된 코드 저장소 스캔 기능은 YAML 파일과 헬름(Helm) 차트에 대한 검사를 소프트웨어 개발 수명 주기 초기부터 진행한다. 쿠버네티스 클러스터를 설치하기 전에 미리 보안 검사를 하고 그 결과를 클라우드 환경에서 확인하는 식이다. 또한 ‘교정 지원’이라는 기능을 이용하면, 히스토리, 트렌드, 드리프트를 살펴보고, 예외 사항을 설정하고, 어디서 문제가 생겼는지 확인하고 고칠 수 있다. 컨테이너 이미지 레지스트리 스캔 기능은 엘라스틱 컨테이너 레지스트리, 구글 컨테이너 레지스트리, 쿠웨이(Quay) 등에 대한 보안 취약성을 클러스터 가동 전에 검사한다.  ARMO는 이런 기능 덕에 개발 프로세스 초기나 타사 레지스트리 이용 중에 나타나는 취약성을 탐지해 프로덕션 환경에서 발생하는 보안 문제를 방지할 수 있다고 설명한다. 또한 쿠버스케이프는 컨테이너 이미지가 생성되거나 클러스터가 배포된 후 발생할 수 있는 CI/CD 파이프라인의 새로운 취약성도 지속적으로 검색한다. 여기에 스웨거로 오픈 API를 제공해 서비스를 보다 편리하게 제공할 예정이다.  ARMO는 이번에 취약성 검사 기능을 추가하면서 쿠버스케이프의 헬름 컴포넌트를 오픈소스화했다. 향후에는 백엔드 코드와 서비스를 전부 오픈소스로 공개해 누구나 쿠버스케이프용 자체 클라우드 솔루션 및 UI를 구성하고 데브옵스 툴을 만들 수 있도록 지원할 계획이다. 이번 취약성 도구와 별개로 ARMO는 문의 시...

쿠버네티스 쿠버스케이프 컨테이너보안 2022.08.18

구글의 오픈소스 기여 규모 전략이 의미하는 것

구글이 오픈소스 프로젝트에 얼마나 매진하는지는 깃허브 기여자 수에서 드러난다. 반면 AWS의 전략은 오픈소스를 더 사용하기 쉽게 만드는 것이다. 둘 중 승자는 누구인가?   구글의 오픈소스 사랑은 공공연하다. 필자는 이 회사의 오픈소스 부문 책임자 크리스 디보나가 더 많은 일을 해야 한다고 언급한 적 있기는 하지만 구글만큼 오픈소스에 많이 기여하는 회사가 없다는 것이 현실이다. 오픈소스 기여 지수(Open Source Contributor Index; OCSI)에서 알 수 있다. 2022년 7월 깃허브의 오픈소스 프로젝트에 기여한 총직원 수에서 구글은 마이크로소프트를 앞질렀다.   물론 드루팔(Drupal; PHP 기반의 오픈소스 CMS 서비스) 등의 큰 프로젝트를 포함하지 않는 깃허브의 데이터일 뿐이다. 또한 직원들의 회사 정보 입력 여부나 간단하게는 리포지토리 위생(repository hygiene) 상태에 따라 달라질 수 있다. 그렇다. 오픈소스 기여 데이터를 물어보기에 적절한 질문이 아니다. 진짜 질문은 ‘오픈소스 기여가 중요한지 여부’여야 한다.  진입로에 들어선 후에는 어디로? 일반적으로 오픈소스는 ‘다른 것이 섞이지 않은(unalloyed)’ 제품으로 간주된다. 그리고 오픈소스는 유익하다. 예를 들면 커뮤니티 중심의 쿠버네티스를 제공하는 것은 코드로 협업하는 좋은 방법이다. 또한 채용하거나 일자리를 구하기에도 좋다. 아울러 유료 제품의 대안을 무료로 배포해 경쟁사를 약화시키는 중요한 방법이기도 하다. 하지만 이 지점에서 오픈소스가 무너질 수도 있다. 필자는 지난 2017년 ‘오픈소스 진입로(open source on-ramps)’에 관해 이야기한 바 있다. 진입로는 클라우드 서비스를 보완하는 오픈소스화 관행이다. 특히 구글은 이 작업을 매우 잘 수행했다. 브루킹스 연구소(Brookings Institution)의 연구원 알렉스 잉글러는 “구글과 페이스북이 각각 텐서플로우와 파이토치라는 ...

오픈소스 구글 AWS 2022.08.17

‘협업’ 기능에 특화된 오픈소스 프로젝트 8선

오늘날 디지털 워크스페이스의 핵심은 ‘협업’이다. 게다가 수많은 팀이 원격으로 이동하면서 혁신적인 협업 도구의 필요성은 그 어느 때보다 커지고 있다. 다음 8가지 오픈소스 기술을 활용하면 분리 근무, 재택 근무, 하이브리드 업무 환경 등을 지원하면서 협업을 한층 강화할 수 있다.      짓시 코로나19 팬데믹은 끝날 수도 있고 끝나지 않을 수도 있지만 어찌 됐든 이제 원격근무와 화상통화는 하나의 일상으로 자리 잡았다. 짓시(Jitsi)는 브라우저-측 코드와 서버-측 브릿지를 모두 제공하는 오픈소스 프로젝트다. 이를 통해 줌(Zoom)이나 구글 미트(Google Meet)를 사용할 필요 없이 통화를 호스팅할 수 있다.    줄립 대부분의 팀은 실시간으로 그리고 비동기적으로 업무를 논의할 방법이 필요하다. 줄립(Zulip)은 이에 적합한 메시징 플랫폼이다. 슬랙(Slack)의 오픈소스 대안인 줄립을 사용하면 코드를 제어할 수 있다. 주요 스마트폰 및 데스크톱 플랫폼용 맞춤형 앱도 제공된다.  매터모스트 매터모스트(Mattermost)는 팀 간의 커뮤니케이션을 지원하는 또 다른 자체 호스팅 메시지 도구다. 특히 소프트웨어 개발 과정에서 쓰면 좋다. 매터모스트는 커뮤니티에서 활용되는 메시지를 안전하기 관리하기 위한 서버를 구축한다. 매터모스트의 차별점은 체크리스트, 코딩 검토 등 전문 기능이 포함된 소프트웨어 개발 지침서를 제공한다는 것이다. 아울러 웹 애플리케이션 및 모바일 도구로도 사용할 수 있다.    신닷인 공유 공간이 필요한 프로젝트라면 신닷인(Cyn.in)이라는 오픈소스 프로젝트에 주목해보자. 신닷인은 ‘워룸(war room; 프로젝트를 진행하는 모든 사람을 한데 모아 의사소통하고 논의하는 곳)’에서 경험할 수 있는 공유 액세스를 복제한다. 여기에 커뮤니티 에디션은 위키 및 협업 파일 저장소 등의 데이터 공유 기능을 제공하는데, 추적 도구를 제공해 콘텐츠를 잠그고 액세...

협업 오픈소스 원격근무 2022.08.17

앵귤러 15 버전 11월 출시..."독립형 컴포넌트 안정성 높인다"

앵귤러 개발팀이 올 11월 출시되는 앵귤러 15에 독립형 컴포넌트 API의 안정성을 높이고 애플리케이션 빌드 과정을 단순화하겠다고 밝혔다. 여기에 UI 로직의 구성 방식도 변경할 예정이다.    앵귤러 15는 웹 개발을 위한 타입스크립트 프레임워크로 구글이 만드는 기술이다. 지난 6월 개발자 프리뷰 버전으로 공개된 앵귤러14는 독립형 컴포넌트를 처음으로 선보여 NG모듈(NgModules)에 대한 의존성을 줄인 바 있다. NG모듈은 컴파일러뿐만 이나라 인젝터(injector) 오브젝트를 조정하는 역할을 한다. 독립형 컴포넌트는 보일러 플레이트의 사용을 줄이면서 애플리케이션 빌드를 좀 더 쉽게 만들어주는데, 앵귤러 15는 이에 대한 안정성을 높이는 것에 집중했다.  또한 앵귤러 15는 UI 로직 구성을 도와주는 디렉티브 컴포지션(directive composition) API를 지원한다. 앵귤러 컴파일러로 이용할 수 있는 해당 기능은 타입스크립트의 시멘틱 요소를 강화한다. 구글의 앵귤러 개발팀 엔지니어 민코 게체프는 “해당 API가 UI 로직을 재사용하는 방식을 새롭게 제시할 것”이라고 표현했다. 웹 환경을 위한 머티리얼 디자인 컴포넌트(Material Design Components, MDC)의 안정성을 엥귤러 15에서 높인 것도 눈에 띈다.  그 밖에 앵귤러 15에 추가되는 주요 기능은 다음과 같다.    웹 페이지 성능 및 코어 웹 바이탈(Core web vitals) 점수를 높이는 이미지 디렉티브(directives) 앵귤러 데브툴스(DevTools)의 의존성 주입 디버깅 기능 프리뷰로 제공 새 앵귤러 워크스페이스 생성 시 필요한 ng new을 위한 앵귤러 CLI 아웃풋의 간소화  비동기 스택 트레이스를 위해 존(Zone).js 디버깅 기술을 업데이트. 이 과정에서 크롬 데브툴 개발팀과 협업해 만든 새로운 비동기 스택 태깅 API 활용 새 업데이트와 더불어, 앵귤러 개발팀은 ...

앵귤러 오픈소스 타입스크립트 2022.08.12

마이크로소프트, 자사 이모티콘 깃허브에 오픈소스로 공개

마이크로소프트가 자체 개발 이모티콘의 대부분을 모든 개발자가 자유롭게 변경할 수 있게 깃허브와 피그마(Figma)에 오픈소스로 공개했다.   그러나 사용자 개인이 자신만의 이모티콘을 디자인해 윈도우에서 사용하게 되거나, 모든 이모티콘이 오픈소스로 풀리는 것은 아니다. 클리피(Clippy) 이모티콘과 마이크로소프트 로고가 들어간 몇 가지 이모티콘은 제외된다. 마이크로소프트 디자인 및 리서치 부사장 존 프리드먼은 블로그를 통해 저작권과 상표권이 등록된 이미지는 퍼블릭 도메인으로 공개할 수 없다고 밝힌 것도 같은 맥락이다. 프리드먼은 마이크로소프트가 보유한 1,538개 이모티콘을 모두 공개하는 것이 쉽지 않은 작업이라고 강조했다. 폰트 세트에 굵은 글꼴, 기울임꼴, 일반 글꼴이 모두 포함되는 것처럼, 이모티콘 역시 다양성을 허용하려면 SVG, PNG, JPG 형식으로 만들어져야 하고, 벡터, 평면, 흑백 버전을 지원해 확장성과 유연성을 갖춰야 한다. 프리드먼은 “제작자 커뮤니티의 무한한 상상력을 통해 기존 이모티콘의 경계를 허물고 디자인을 재구성하면서 예측할 수 없는 곳으로 발전해 나갈지를 기대하고 있다”라고 밝혔다. editor@itworld.co.kr 

이모티콘 이모지 클리피 2022.08.11

윈드리버 - 보안 위협으로부터 리눅스 시스템 보호하기

오픈 소스 리눅스는 임베디드 시스템 및 장치를 개발하는 개발자 사이에서 인기가 많다. 그러나 배포되는 상호 연결된 임베디드 시스템 장치들의 수가 계속해서 증가하면서 리눅스 소프트웨어의 취약점이 그 어느 때보다 널리 확산되고 있다. 취약점을 식별하고 필요한 업데이트를 수행하여 위협을 완화하는 일은 장치 개발자 및 제조업체가 전부 감당하기 어려운 경우가 많다.  본 백서는 모니터링, 평가, 통보, 치료 등 리눅스 취약점 해결을 위한 검증된 4단계 프로세스에 대해 설명한다. 또한 기업이 취약점을 내부적으로 모니터링하고 수정하는 데 따르는 비용을 따져보고, 배포된 장치 및 시스템을 지속적으로 보호할 때 숙련된 보안팀과의 협업을 선택하는 것이 왜 보다 현명한 선택일 수 있는지 설명한다. <6p> 주요 내용 - 보안이 취약한 세상 - 틈에 주의하라 - 핵심 4단계 : 모니터링, 평가, 통보, 치료 - 보호 비용 - 윈드리버 리눅스 보안 대응 프로세스

오픈소스 리눅스 임베디드 2022.08.05

마이크로소프트의 오픈소스 SBOM 생성기 살펴보기

솔라윈즈(SolarWinds) 해킹 사건 이후, 기업은 CI/CD를 도입하는 과정에서 확인해야 할 것이 많아졌다. 사용자에게 배포하는 소프트웨어를 의도한 대로 구축하려면 어떻게 해야 하는가? 코드의 의존성이 모두 원하는 형태로 나타났는가? 서드파티 모듈을 사용하면 기대한 결과를 얻을 수 있는가? 같은 질문을 던져야 하는 것이다.    겹겹이 쌓인 코드와 의존성으로 시스템은 점점 복잡해지고 있다. 거기다 현대 시대의 개발자는 공개된 소스코드를 활용한다. 남이 만든 코드이지만 사람들은 그 소스코드를 있는 그대로 신뢰한다. 하이퍼텍스트라는 용어를 고안한 걸로 유명한 옥스포드대 교수 테드 넬슨의 표현처럼, 모든 기술이 이제 서로 심층적으로 얽히고설켜 있는 것이다. 이때 소스코드의 신뢰를 확인하기 위한 방안으로 SBOM이 떠오르고 있다.    SBOM이 필요한 이유 솔라윈즈 해킹 사건이 일어난 후 미국 행정부는 국가 사이버 보안을 높이겠다는 행정명령을 따로 발표하고 미 국립 표준기술연구소(National Institute of Standards and Technology)에게 관련 지침을 개발 및 배포하라고 지시했다. 해당 지침은 소프트웨어 공급망, 모듈 네트워크, 코드 개발에 사용되는 구성요소의 보안을 강화하는 방안을 골자로 하고 있으며, 현재 외부에 공개된 상태다. 이 문서는 기업에게 코드와 함께 소프트웨어 명세서(Software Bill of Material, SBOM)를 함께 제시하라고 요청하고 있다.  사실 SBOM은 새로운 것이 아니다. 마이크로소프트를 포함한 많은 기업이 기술 상세 정보를 사용자에게 제공하고 있었다. 대신 표준화된 문서는 없었으며, 기업마다 그 구조가 다 달랐고, 기계가 판독할 수 없는 형태이기도 했다. 그래서 마이크로소프트는 SBOM 스키마 표준을 개발하기 CISQ(Consortium for Information and Software Quality)라는 그룹과 협력했다. 미 정부가 SBO...

SBOM 오픈소스 2022.08.01

"C++의 기술적 부채 털자" 구글, 개발언어 '카본' 공개

‘C++’을 대체하기 위해 개발 중인 오픈소스 프로그래밍 언어 ‘카본(Carbon)’은 C++과 동일한 수준의 성능 그리고 호환성을 지원하는 한편, 기술적 부채와 고질적인 문제를 해결할 계획이다.  전 세계에서 가장 많이 쓰이는 프로그래밍 언어 중 하나인 ‘C++’의 후계자가 필요한 시점이라고 생각하는가? 구글의 개발자 그룹은 그렇다고 보고 있다.     해당 그룹은 C++과의 상호 운용성을 제공하는 동시에, 이 레거시 언어를 개선하는 데 있어 알려진 문제를 해결하는 실험적 프로그래밍 언어 ‘카본’을 개발하고 있다. 개발팀에 따르면 카본은 C 또는 C++이 수십 년간 쌓아온 기술적 부채를 상속하지 않으면서 최신 제네릭 시스템, 간단한 구문, 모듈식 코드 구성 등의 기반으로 시작해 앞서 언급한 장애물을 극복하려고 시도 중이다.  현재 카본은 사용 가능한 상태는 아니다. 카본 개발팀은 C++이 퍼포먼스 크리티컬 소프트웨어 구축에 지배적인 프로그래밍 언어이며, 방대한 코드 기반이 있다고 말했다. 이에 카본은 ‘진화’보다는 ‘후속 접근 방식’을 제시하며, 기존 C++ 코드 기반 및 C++ 개발자를 위한 마이그레이션을 지원할 것이라고 전했다.  카본은 지난주 캐나다 토론토에서 열린 개발자 컨퍼런스 ‘C++노스(CPP North)’에서 공개됐다. 카본의 리소스는 해당 프로젝트의 깃허브 리포지토리에서 액세스할 수 있다. 개발팀은 C++ 후계자로서의 요건을 다음과 같이 언급하면서, 카본의 접근 방식이 C++ 생태계 위에 구축될 수 있다고 밝혔다.    C++과 동일한 수준의 성능 C++과의 원활한 상호 운용성 완만한 학습 곡선 비슷한 표현식 확장 가능한 마이그레이션  카본은 타입스크립트가 자바스크립트, 코틀린이 자바와 비슷한 것처럼 C++과 유사하게 설계됐다. 개발팀은 카본이 퍼포먼스 크리티컬 소프트웨어, 소프트웨어 및 언어 발전을 지원하고, 안전하며 읽기 및 쓰기가 쉬운 코드를 ...

C++ 카본 구글 2022.08.01

깃가디언, 오픈소스 소프트웨어 위험 탐지 프로젝트 ggcanary 출범

코드 보안 플랫폼 제공업체 깃가디언(GitGuardian)이 침해된 개발자 및 데브옵스 환경을 탐지하기 위한 새로운 오픈소스 카나리아 토큰 프로젝트를 발표했다. 설명에 따르면 기업 보안 팀은 깃가디언의 카나리아 토큰(ggcanary)을 사용해서 아마존 웹 서비스(AWS)의 비밀 정보 형식으로 카나리아 토큰을 만들어 배포할 수 있으며, 공격자가 토큰을 변조하는 즉시 경보를 트리거할 수 있다. 깃가디언의 이번 발표는 소프트웨어 공급망 및 데브옵스 툴과 관련한 위험에 대처하기 위한 여러 표준과 이니셔티브가 등장하는 업계 추세를 반영한다.     ggcanary의 특징은 “고도로 민감한” 침입 탐지 보도자료에서 깃가디언은 클라우드 및 현대 소프트웨어 개발 방식의 도입이 지속되면서 기업이 모르는 사이 공격 표면이 확장되고 있다고 말했다. 또한 인터넷에 대면한 자산과 기업 네트워크가 적절히 보호되지 않을 경우 공격자는 지속적 통합 및 지속적 배포(CI/CD) 파이프라인과 같은 소프트웨어 공급망 구성요소를 진입점으로 노리게 된다고 덧붙였다.   깃가디언의 연구에 의하면 공격자가 첫 액세스 권한을 획득한 후 취하는 일반적인 행동은 횡적 이동에 사용할 수 있는 하드 코딩된 유효한 인증 정보를 찾는 것이다. 깃가디언은 ggcanary 프로젝트가 기업에서 침해를 더 신속하게 탐지하도록 설계됐다면서 다음과 같은 특징을 설명했다.   테라폼(Terraform)에 의존. 하시코프(HashiCorp)가 개발한 인기 있는 코드형 인프라 소프트웨어 툴을 사용해서 AWS 카나리아 토큰을 생성하고 관리 AWS 클라우드트레일(CloudTrail) 감사 로그를 사용해서 공격자가 카나리아 토큰에서 수행한 모든 유형의 작업을 추적하는 고도로 민감한 침입 탐지 조직의 내부 경계, 소스 코드 리포지토리, CI/CD 툴, 티켓팅, 메시징 시스템(지라, 슬랙, 마이크로소프트 팀즈 등)에 최대 5,000개의 활성 AWS 카나리아 토큰을 배포할 수 있는 확장성 A...

오픈소스 데브옵스 카나리아토큰 2022.07.29

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.