Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

종속성관리

"보안 위험 줄이는 종속성 관리법" 오픈SSF, 'npm 베스트 프랙티스 가이드' 발표

최근 오픈SSF(The Open Source Security Foundation, OpenSSF)가 npm 베스트 프랙티스 가이드(npm Best Practices Guide)를 발표했다. 자바스크립트와 타입스크립트 개발자가 오픈소스 종속성 관련 보안 위협을 줄이는 데 도움을 주기 위한 목적이다. 개발자들이 종속성을 점점 더 많이 공유하고 사용하는 것은 신속한 개발과 혁신에 기여할 수 있지만, 동시에 위험을 초래할 수도 있기에 주의가 요구된다.   오픈SSF 베스트 프랙티스 워킹 그룹(OpenSSF Best Practices Working Group)이 제작한 이번 가이드는 npm을 위한 종속성 관리와 공급망 보안을 중심으로 안전한 CI 환경을 설정하는 방법, 종속성 혼란을 피하는 방법, 종속성 탈취로 인한 여파 제한하는 방법과 같은 다양한 영역을 다룬다.  심각한 보안 위험이 될 수 있는 오픈소스 종속성 오픈SSF 기여자들은 블로그에서 오픈소스 종속성을 사용하는 이점이 단점을 능가하는 경우가 종종 있지만 상당한 위험이 발생할 수 있다며, “간단한 종속성 업데이트로 종속 프로젝트가 중단될 수 있다. 또한 다른 소프트웨어처럼 종속성에 취약성이 있거나 하이재킹되어 이를 사용하는 프로젝트에 영향을 줄 수 있다”라고 썼다. 리눅스 재단의 오픈소스 공급망 보안 부문 이사 데이비드 A. 휠러는 CSO에 개발자의 오픈소스 종속성 사용으로 인한 가장 큰 보안 위험이 직간접 종속성의 취약성이 지닌 파괴력을 과소평가하는 것이라고 지적했다. 휠러는 “결함은 모든 소프트웨어에서 발생할 수 있다. 주의를 기울이지 않으면 공급망에 심각한 영향을 미칠 수 있다. 종속성은 보이지 않는 경우가 빈번하며, 개발자나 조직은 스택의 모든 레이어를 볼 수 없다. 소프트웨어 재사용을 중단한다고 해서 해결되는 문제가 아니다. 소프트웨어를 현명하게 재사용하면서 취약점이 발견됐을 때 구성요소를 업데이트할 준비를 하고 있어야 한다”라고 덧붙였다. 그러나 효율적인 종속성 보안 전략...

오픈SSF 오픈소스 종속성관리 2022.09.06

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.