개발자 / 보안 / 오픈소스

해커원, 오픈소스 프로젝트에 버그바운티 플랫폼 무료 제공

Lucian Constantin | IDG News Service 2017.03.06
오픈소스 프로젝트는 이제 프로페셔널 버전의 해커스온 플랫폼에 무료로 접속해 자체 보안 프로그램을 실행할 수 있게 됐다.

가장 유명한 취약점 조직이자 버그바운티 플랫폼인 해커원(HackerOne)은 오픈소스 프로젝트에 자사의 프로페셔널 서비스를 무료로 제공하기로 결정했다.

해커원 대변인은 한 블로그에서 "오픈소스는 이제 우리 혈관을 통해 실행된다. 이것이 해커온이 있는 이유"라고 말했다. 이 대변인은 "해커원은 원래부터 제품과 접근 방식 자체가 오픈소스와 협력적인 소프트웨어 개발 문화에 기반을 두고 있으며, 이제 이를 위해 돌려줄 차례가 됐다"고 설명했다.

해커온은 기업들이 보안 연구원과 쉽게 상호 작용하고 보고서를 분류하고 보상해주는 플랫폼이다.

지금까지 자체적으로 버그바운티 프로그램을 구축하고 유지하기 위한 필수적인 자원을 보유한 기업은 아주 소수에 불과하며 대부분 기금을 통해 지원받는 오픈소스 프로젝트에 이런 제도가 있을 리 만무하다.

새로운 해커온 커뮤니티 에디션(HackerOne Community Edition)은 전담 고객 지원을 제외한 프로페셔널 서비스의 혜택을 모두 누릴 수 있다. 이 서비스에는 취약점 제출, 조정, 중복 탐지, 분석, 바운티 프로그램 관리가 포함된다.

오픈소스 프로젝트가 이 자격을 얻으려면 OSI(Open Source Initiative)에서 인정하고 승인된 라이선스 또는 3개월 이상된 코드를 게시하는 것과 같은 기본적인 요구 사항을 충족해야 한다. 또한 적용되는 프로젝트들은 취약점 제출 정책을 게시하고 보안 프로그램을 홍보해야 하며, 1주일 이내에 새로운 보고서에 응답해야 한다.

해커온은 이미 루비 온 레일즈(Ruby on Rails), 디스코스(Discourse), 장고(Django), 깃렙(GitLab), 브레이브(Brave), 센트리(Sentry) 등 36개의 오픈소스 프로젝트에서 사용되고 있다. 이들 프로젝트는 해커온 플랫폼을 통해 현재까지 1,200개 이상의 취약점을 해결했다.

일부 다른 오픈소스 프로젝트는 해커원이 운영하고 페이스북과 마이크로소프트가 후원하는 인터넷 버그바운티(Internet Bug Bounty) 프로그램에 포함되어 있다. 이 프로그램은 PHP, 파이썬(Python), 펄(Perl), 아파치(Apache), 엔진x(Nginx)와 같은 오픈소스 소프트웨어 패키지나 인터넷 인프라에서 매우 중요한 오픈SSL(OpenSSL)에서 중요한 취약점을 발견한 버그 바운티들에게 보상을 제공한다.

해커원의 대변인은 "해커원의 가장 기본적인 목표는 안전한 인터넷을 만드는 데 일조하는 것이다"며, "우리는 오픈소스가 사람들이 매일 사용하는 수많은 제품과 서비스의 근간을 이루고 있음을 알기 때문에 오픈소스 프로젝트가 간단하고 효율적이며 생산적인 보안 프로그램을 운영하는데 최대한 많은 지원을 할 수 있기를 원한다"고 말했다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.