Industry Issue

Black Duck Supply Chain Edition으로 소프트웨어 공급망 보호

Software Risk Analysis
작성자
관리자
작성일
2024-05-31 15:40
조회
94

Black Duck Supply Chain Edition으로 소프트웨어 공급망 보호

 

매년 Synopsys의 "오픈소스 보안 및 위험 분석"(OSSRA) 보고서는 오픈소스 소프트웨어가 최신 애플리케이션 개발에서 중요하고 실질적인 역할을 하며 따라서 소프트웨어 공급망의 기초가 된다는 사실을 강조합니다. 상용 애플리케이션 내에서 오픈소스 소프트웨어를 사용하면 추적이 어렵고 이로 인해 발생할 수 있는 위험을 관리하기가 어렵습니다. 하지만 오픈소스 소프트웨어를 사용하는 조직의 통제 및 가시성 밖에서 개발되므로 오픈소스 소프트웨어를 선별하고 심사하는 것이 소프트웨어 공급망 보안 프로그램에서 중요한 구성 요소입니다.

 

소프트웨어 공급망 보안 문제

위협 행위자는 조직이 오픈소스 소프트웨어를 추적하고 이것이 제공하는 기회를 활용하는 데 어려움을 겪고 있음을 인식합니다. 우리는 소프트웨어 제공자뿐만 아니라 소프트웨어 소비자에게도 영향을 미치는 지속적인 공급망 공격을 목격하고 있습니다. 오픈소스 취약점을 악용하든 악성 패키지 및 악성 코드를 주입하든 이러한 공격은 사용자의 민감한 정보를 손상시키고 소프트웨어 빌더와 소프트웨어 구매자 간의 비즈니스 관계를 약화시키는 결과를 낳습니다. OSSRA 보고서는 이러한 공격이 지속되는 이유를 보여줍니다. OSSRA 보고서 2024년 에디션에서는 검사된 코드베이스의 84%에 오픈소스 취약점이 포함되어 있고 54%에는 고위험 취약점이 있는 것으로 나타났습니다. 오픈소스 소프트웨어 취약점은 조직이 부적절하게 해결하거나 전혀 해결하지 않고 있는 만연한 문제임이 분명합니다.

지난 몇 년 동안 우리는 Log4J , Curl , Apache Struts 및 OpenSSL 과 같은 세간의 이목을 끄는 취약점을 보아왔습니다. 다행스럽게도 이로 인해 대규모 공격이나 IP 손실이 발생하지는 않았지만 조직이 소프트웨어 공급망 내의 단일 취약점에 얼마나 노출될 수 있는지를 보여줍니다. 오늘날 우리는 악의적인 행위자가 소프트웨어 개발 수명주기에 멀웨어와 악성 패키지를 삽입하고 해당 위험을 최종 사용자에게 성공적으로 전달하는 훨씬 더 복잡한 소프트웨어 공급망 공격을 목격하고 있습니다. 이러한 유형의 공격은 조직 수준에서 소프트웨어를 개발할 때 타사 소프트웨어에 대한 본질적인 신뢰로 인해 성공합니다.

오늘날 조직은 소프트웨어 공급망 보안을 다루는 것이 무엇을 의미하는지에 대한 관점을 확장해야 합니다. 애플리케이션 내부의 모든 종속성에 대한 완전한 가시성이 필요합니다. 그리고 오픈소스 취약점을 넘어 현대적인 위험을 식별하는 능력을 확장해야 합니다. 전통적으로 이것은 지금까지 쉬운 일이 아니었습니다.

 

Black Duck Supply Chain Edition

Black Duck ® Supply Chain Edition을 만나보세요. 이 새로운 제품은 기존 공급망 보안 활동에 대한 확장된 가시성, 보안 제어 및 규정 준수를 제공합니다. 주요 기능 중 일부는 다음과 같습니다.

 

1. 포괄적인 오픈 소스 검색

소프트웨어 공급망의 대부분이 오픈소스로 구성되어 있기 때문에 이를 적절하게 추적하고 관리하지 못한다면 위험 관리 전략에서 큰 격차가 발생하는 것과 같습니다. 또한 필수 소프트웨어 자재 명세서(SBOM)에서는 모든 오픈소스 소프트웨어 종속성을 나열해야 합니다.

Black Duck을 사용하면 종속성, CodePrint™, 스니펫, 바이너리 및 컨테이너 분석의 조합을 사용하여 모든 오픈소스 구성 요소를 쉽게 식별하여 언어나 패키지 관리자에 관계없이 모든 단일 종속성을 표면화할 수 있으므로 사용가능한 오픈소스 소프트웨어에 대한 가장 포괄적인 이해를 얻을 수 있습니다.

 

2. 타사 SBOM 가져오기 및 분석

대부분의 상용 및 기업 소프트웨어팀은 외부 공급업체의 타사 코드를 사용합니다. 보안팀은 이러한 타사 아티팩트에 대해 자체 분석을 수행할 수 있지만 소프트웨어 공급업체가 자체 SBOM을 제공하면 훨씬 쉽습니다.

Black Duck을 사용하면 보안팀은 외부 SBOM을 가져오고 그 안에 포함된 오픈소스, 상용 및 사용자 지정 구성 요소를 자동으로 분류할 수 있습니다. 이는 오픈소스 종속성을 넘어 소프트웨어 공급망 가시성을 확장하고 위험에 대한 모든 종속성을 분석하는 데 도움이 됩니다.

 

3. 멀웨어 탐지

공격자들은 더욱 교묘해지고 있으며 오픈 소스 생태계에 악성 패키지를 삽입하고 심지어 애플리케이션에 직접 삽입하여 빌드 환경을 손상시킬 수도 있습니다. 이러한 유형의 멀웨어를 포착하려면 ReversingLabs와의 파트너십을 통해 내장된 멀웨어 분석 기능을 제공할 수 있는 특수한 형태의 분석이 필요합니다. 

 

4. 지속적인 위험 식별 및 모니터링

소프트웨어 개발 생명 주기(SDLC)에 들어갈 때 보안이 유지된다고 해서 개발 파이프라인에서도 보안이 유지된다는 의미는 아닙니다. Black Duck은 생성하거나 가져온 SBOM의 종속성을 지속적으로 분석하고 오픈소스 취약점, 암호, 멀웨어 및 악성 패키지를 모니터링하여 필요한 인사이트를 신속하게 제공합니다.

 

5. IP 위험 및 라이선스 준수 관리

거의 모든 타사 소프트웨어, 특히 오픈소스 소프트웨어에는 일종의 IP 또는 라이선스 의무가 포함됩니다. 이러한 의무를 준수하지 않으면 특히 소프트웨어를 배포하는 조직의 경우 비용이 많이 드는 결과를 초래할 수 있습니다.

AI 코딩 도우미 활용하는 방법을 포함하여 코드 베이스에 입력한 방식에 관계없이 애플리케이션의 라이선스 부여, 배포 또는 배포 방법과의 충돌에 대한 지침을 제공합니다.

 

6. 산업 SBOM 표준 지원

대부분의 소프트웨어 제공업체는 다양한 산업 분야의 광범위한 고객에게 서비스를 제공합니다. 이들 고객 각각은 공급업체에 대한 고유한 SBOM 요구 사항을 갖고 있는 경우가 많습니다.

Black Duck은 기본 제공되는 맞춤형 SBOM 내보내기 템플릿을 제공하므로 고객은 반복 가능한 방식으로 적절한 수준의 가시성을 결정하고 해당 요구 사항을 충족하도록 SBOM을 조정할 수 있습니다.

 

더 알아보기

Black Duck Supply Chain Edition은 소프트웨어 공급망에 대한 완전한 가시성을 제공하여 해당 가시성에 따라 조치를 취하고 간소화된 SBOM 생성을 통해 이를 지속할 수 있는 기능을 제공합니다. 이를 통해 귀하는 안전한 애플리케이션을 구축하고 소프트웨어 공급망 위험을 관리 및 식별하기 위해 실사를 수행하고 있으며 고객과의 신뢰를 구축하고 있음을 보여줄 수 있습니다.

 

Black Duck 더 알아보기 CLICK!!!

 

원문 게시일: 2024.04.09

원문 기고자: Mike McGuire

출처: https://www.synopsys.com/blogs/software-security/secure-the-supply-chain-black-duck-supply-chain-edition.html

/about-us/inquiry/
https://www.youtube.com/@softflow2018
https://blog.naver.com/softflow_group
#