Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

소나타입

"사례로 본" 보편적인 공급망 공격 유형 6가지

요즈음 소프트웨어 공급망 사건이 보안 세계를 떠들석하게 만들고 있다. 이 보안 사건들은 서로 유사하기는 하지만 공급망 공격(Supply Chain Attack) 유형이 모두 동일한 것은 아니다.     공급망 공격은 공격자가 소프트웨어 제작 공정(소프트웨어 개발 수명주기)에 간섭하거나 이를 하이재킹해 결과적으로 최종 제품 또는 서비스의 다수의 소비자에게 해로운 영향을 주는 사례를 모두 아우른다.  이는 소프트웨어 구축에 쓰인 코드 라이브러리나 개별 컴포넌트가 손상됐을 때, 소프트웨어 업데이트 코드가 트로이목마에 감염됐을 때, 코드 서명 인증서가 도난 당했을 때, 또는 심지어 서비스 소프트웨어(SaaS)를 호스팅하는 서버가 훼손된 경우도 공급망 공격에 속한다.  소프트웨어 공급망 공격에 의해 공격자는 업스트림 또는 미드스트림 공정에 개입해 다운스트림의 다수의 사용자에게 악의적인 활동을 펼치고 영향을 준다. 따라서, 개별적인 보안 침해와 비교할 때 성공적인 공급망 공격은 훨씬 더 큰 파급 효과를 갖는다.  이번 기사에서는 최근 실제적이고 성공적이었던 소프트웨어 공급망 공격의 6가지 기법을 조사한다.  1. 업스트림 서버 훼손: 코드코브 공급망 공격(Codecov supply chain attack)  대다수의 소프트웨어 공급망 공격에서 공격자는 업스트림 서버 또는 코드 리포지터리에 침투해 악성 페이로드를 주입한다(예를 들어, 악성코드 라인이나 트로이목마에 감염된 업데이트). 그 후 페이로드는 다운스트림의 여러 사용자에게 배포된다. 그러나 기술적 관점에서 볼 때 항상 이런 식은 아니다.  코드코브 공급망 공격은 업스트림 서버 훼손 사례 가운데 하나다. 이 사건은 솔라윈즈(SolarWinds) 침해와 유사하지만 두 공격 사이에는 극명한 차이가 있다. 솔라윈즈 공급망 침해는 정당한 업데이트 코드인 ‘SolarWinds.Orion.Core.BusinessLayer.dll’을 변경했던 정교한...

공급망공격 코드코브 솔라윈즈 2021.06.03

인섹시큐리티, 소나타입의 ‘넥서스 플랫폼’ 국내 출시 

인섹시큐리티(www.insec.co.kr)는 소나타입(www.sonatype.com)의 오픈소스 관련 보안 취약점, 라이선스 위반, 악성코드 탐지 솔루션인 ‘넥서스(nexus) 플랫폼’을 국내 출시한다고 밝혔다. 넥서스 플랫폼은 AI(인공지능)/ML(머신러닝) 및 전문 연구원들이 상시 분석한 오픈소스 소프트웨어의 최신 취약점 정보를 제공한다. 또한 기존 기업 및 기관의 SDLC(소프트웨어개발라이프사이클)에 연동돼 오픈소스의 취약점을 식별한다.   넥서스 플랫폼은 ▲SDLC(소프트웨어개발라이프사이클)에서 내부 정책에 어긋나거나 라이선스 위반, 보안 취약점이 존재하는 오픈소스의 유입을 방지하는 ‘넥서스 방화벽(Nexus Firewall)’ ▲저장소 아티팩트 및 라이브러리, 릴리즈를 식별하여 안전한 패키지만 제공하는 ‘넥서스 저장소(Nexus Repository)’ ▲SDLC의 모든 단계와 연동하여 지속적으로 보안위협을 식별하고 개발 정책을 적용하여 문제를 찾는 ‘넥서스 라이프사이클(Nexus Lifecycle)’ ▲시중에 사용중인 프로덕션 앱 내 OSS(오픈소스소프트웨어) 구성 요소를 검사하고 취약점을 식별하는 ‘넥서스 오디터(Nexus Auditor)’ 등으로 구성된다. 넥서스 플랫폼은 다양한 경험과 경력을 가진 전문가를 구성해, 기존에 공개된 취약점 데이터베이스보다 방대한 오픈소스 취약점 정보를 분석해 제공하며, 지속적인 실시간 검사를 통해 공개된 취약점 데이터베이스에 조회하는 것보다 10배 이상 빠른 신속하게 새로운 오픈소스 취약점을 발견하고 진단 결과를 제공하여 조치할 수 있도록 지원한다. 또한 넥서스 플랫폼은 명시된 구성요소가 아닌 실제 포함된 요소를 검사해, 모든 임베디드 종속성을 검사하고 취약점을 식별한다. 또한 파일 이름 및 패키지 매니페스트(Package Manifest)가 아닌 ABF(Advanced Bianry Fingerprints)로 구성요소를 식별한다. 넥서스 인텔리전스(Nexus Intelligence) 기반 검사를 ...

인섹시큐리티 소나타입 2020.08.13

“오픈소스, 비즈니스 앱 개발 주도”...설문 조사 발표

오픈소스 소프트웨어의 인기가 상승하고 있다는 것을 보여주는 최고의 사례는 아마도 마이크로소프트가 새로 오픈 테크놀로지  사업부를 개설했다는 것이 될 것이다.  여기에 최근 소프트웨어 개발 툴 업체인 소나타입(Sonatype)이 설문 조사 결과를 통해 새로운 데이터를 발표했다. 소나타입의 최고 마케팅 책임자인 찰스 골드는 “설문 조사 결과는 우리가 고객으로부터 듣고 본 것을 확인시켜 주었으며, 오픈소스가 기업 자체 앱 개발의 중추가 되고 있다”고 밝혔다. 응답자 80%가 오픈소스 사용 매년 실시하는 오픈소스 소프트웨어 개발 설문조사의 일부로, 소나타입은 조직이 어떻게 오픈소스 소프트웨어를 채택하고 사용, 지원하는지 이해할 수 있도록, 2,500명의 개발자, 아키텍처, 모든 산업계의 규모별 위치별 IT 관리자에게 질문했다.   설문 응답자의 약 80%는 오픈소스 툴을 이용하고 있다고 답했으며, 이중 절반은 오픈소스 개발 인프라스트럭쳐 스택을 표준화하고 있다. 반면에 전체 2/3은 오픈소스 프로젝트에 기여하고 있다.    하지만 소나타입은 조직이 빠른 속도로 오픈소스 소프트웨어를 도입하는 반면, 많은 경우 올바른 내부 통제와 프로세스를 갖고 있지 않다고 지적했다. 정책 부족 실제로 오픈소스 사용 기업의 49%만이 오픈소스 정책을 가지고 있으며, 63%는 공유하는 기업의 기준도 없거나 자사에서 수행하지 않는다고 답했다. 한편, 49%는 자체에 효과적인 라이선스 정책을 없다고 말했다. 32%만이 제품 애플리케이션에서 사용되는 구성 요소의 상세한 기록을 유지하고, 대부분은 부품과 의존성이 업데이트되고 있는 것으로 나타났다.   소나타입은 “오픈소스 구성 요소에 대한 의존도는 매년 증가하지만, 가시성, 제어 및 엔터프라이즈 전반에 걸쳐 사용 관리에 대한 제한은 조직을 지체시키고 있다”고 밝혔다. 물론...

오픈 소스 비즈니스 앱 소나타입 2012.04.25

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.