생성 데이터 인텔리전스

사이버 보안

소프트웨어 종속성 데이터는 개발자에게 보안을 제공합니다.

Plato에 의해 재발행
Plato에 의해 재발행

시간

조회 수 : 214

오픈 소스 구성 요소의 보안을 측정하는 데 관심이 있는 개발자는 선택의 폭이 넓지만 여전히 애플리케이션에 사용되는 구성 요소를 감사하기 위해 정보를 사용하도록 선택해야 한다고 전문가들은 말합니다.

11월 5일 Google은 Go, Java, Python, JavaScript 및 Rust에 대한 주요 오픈 소스 리포지토리를 포함하여 XNUMX개 소프트웨어 에코시스템에서 XNUMX백만 개 이상의 구성 요소를 다루는 보안 메타데이터를 포함하는 deps.dev API 서비스를 발표했습니다. 이 데이터는 회사의 deps.dev 웹 사이트와 새로운 API를 통해 쿼리할 수 있는 데이터 세트를 통해 액세스할 수 있습니다.

개발자는 이 정보를 사용하여 패키지를 선택할 수 있고 통합 개발 환경(IDE)은 개발자가 작업할 때 보안 지표를 제공할 수 있으며 응용 프로그램 보안 도구 제작자는 현재 사용하는 소스 목록에 정보를 추가하여 보안에 대한 평결을 제공할 수 있습니다. 오픈 소스 소프트웨어 구성 요소의 유지 관리 용이성이라고 Google 오픈 소스 보안 팀의 제품 관리자인 Nicky Ringland는 말합니다.

"또한 사후 보고를 검토하고 해결해야 할 몇 가지 의존성 문제를 발견하는 것을 의미할 수도 있습니다."라고 그녀는 말합니다. "궁극적으로 보안 또는 라이선스 문제에 대해 여러 언어 에코시스템에서 잠재적으로 매우 큰 종속성 세트를 자동화되고 대규모로 확인할 수 있는 것은 전체 에코시스템에 도움이 되기를 바라는 강력한 도구입니다."

XNUMXD덴탈의 Google deps.dev 서비스 출시 소프트웨어 개발자, 애플리케이션 보안 회사 및 미국 정부가 오픈 소스 소프트웨어 에코시스템의 보안을 개선할 방법을 찾기 위해 노력함에 따라 발생합니다. Java용 Log4J 로깅 패키지의 취약점 악용 — "고유한 취약성" 미국 국토안보부의 사이버 안전 검토 위원회(CSRB)에 따르면 — 오픈 소스 패키지의 취약성을 최소화하는 것뿐만 아니라 취약한 패키지의 사용을 제거하는 것의 중요성을 강조합니다.

공동 창립자이자 최고 기술 책임자인 Brian Fox는 오픈 소스 프로젝트에 보안을 개선하고 자체 종속성을 전달하기 위한 더 많은 도구를 제공하기 위해 이미 다양한 노력이 진행 중이지만 개발자는 보안을 우선 순위로 두고 다운로드할 구성 요소를 파악하기 위해 정보를 사용한다고 말합니다. 소프트웨어 보안업체 소나타입의 이 회사는 개발자가 취약점이 있는 소프트웨어 구성 요소를 "사용"할 때 96%의 시간 동안 수정 사항이 해결된다는 사실을 발견했습니다. 이미 사용할 수 있습니다.

“즉, 문제는 실제로 우리의 오픈 소스 프로젝트가 잘 작동하는지에 관한 것이 아닙니다. Log4J 팀은 추수감사절 주말에 패치를 적용했습니다. 며칠 만에 대부분의 회사가 상업용 프로젝트에 대해 동일한 작업을 수행할 수 있었던 것보다 더 빠를 것입니다.”라고 그는 말합니다. “우리는 일을 더 잘해야 합니다. 오픈 소스를 사용하는 조직은 이러한 결정을 내리는 데 끔찍한 일을 하고 있습니다.”

종속성 데이터의 향연

Google의 deps.dev 서비스는 개발자가 오픈 소스 구성 요소에 대한 정보를 검색할 수 있는 또 다른 소스를 추가하지만 유일한 소스는 아닙니다. 소나타이프는 OSS 지수 2018년에는 서비스를 현대화하여 Google에서 다루는 14개 외에도 Ruby용 RubyGems 패키지 시스템 및 Linux용 RPM 패키지 관리자와 같은 XNUMX개의 서로 다른 생태계에서 수백만 개의 소프트웨어 프로젝트에 대한 보안 및 유지 관리 데이터에 대한 액세스를 제공합니다.

다음과 같은 기타 서비스 OpenText의 Debricked, 또한 자체 종속성 데이터 세트에 대한 보기를 제공하고 프로젝트에 태그를 지정하고 인기 측정, 기여자 활동 및 보안을 제공합니다.

이 데이터는 모든 개발자가 더 나은 결정을 내릴 수 있게 해주어야 하지만 도구 제작자에게는 소프트웨어 프로그래머를 위한 지침을 개선할 수 있는 또 다른 데이터 소스를 제공해야 한다고 Google의 Ringland는 말합니다.

"API에 대한 우리의 의도는 빠른 일회성 스크립트에서 편집기 플러그인 또는 빌드 시스템 통합과 같은 복잡한 도구에 이르기까지 모든 것에 사용할 수 있도록 하는 것입니다."라고 그녀는 말합니다. "IDE에서 CI/CD 시스템, 감사 대시보드에 이르기까지 모든 것에서 이 데이터에 대한 실질적인 욕구를 확인하고 개발자, CISO, 오픈 소스 관리자 등에 중요한 보안 정보를 제공하게 되어 기쁩니다."

개발자가 소프트웨어 종속성 데이터를 사용하여 더 나은 선택을 할 수 있도록 돕는 데 중점을 둔 Endor Labs는 이미 deps.dev를 소스 중 하나로 사용하고 있지만 보다 간소화된 데이터베이스 액세스를 높이 평가했습니다. Endor Labs 는 응용 프로그램이 오픈 소스 라이브러리를 사용하지만 해당 라이브러리의 취약한 기능을 사용하지 않는 경우와 같이 오탐을 최소화하기 위해 이러한 데이터를 광범위한 분석과 결합합니다.

회사는 또한 다음을 통해 자체 종속성 정보에 더 쉽게 액세스할 수 있도록 할 계획입니다. 드로이드GPTEndor Labs의 CEO이자 공동 창립자인 Varun Badhwar는 위험 데이터를 대화식으로 검색할 수 있게 해주는 ChatGPT 기반 서비스라고 말합니다. 목표는 오픈 소스 종속성을 선택하고 관리하는 작업량을 줄이는 것입니다. 잘못된 종속성을 선택하면 기술 부채로 알려진 많은 양의 향후 작업이 생성될 수 있기 때문입니다.

Badhwar는 "대부분의 코드가 실제로 사용되지 않음에도 불구하고 개발자가 오픈 소스 코드의 취약점을 지속적으로 패치하고 수정하라는 요청을 받을 때 일반적으로 기술적 부채가 발생합니다."라고 말합니다. "OSS로 기술 부채를 줄이는 방법은 더 나은 종속성을 선택하고 실제로 중요한 위험의 우선 순위를 지정하는 것입니다."

SBOM + 종속성 데이터 = 더 나은 소프트웨어 보안

종속성 데이터는 개발자와 도구 제작자가 개발 도구에서 점점 더 많이 생성되는 소프트웨어 SBOM(bill-of-materials)과 데이터를 결합하기 시작하면서 실제로 유용해지기 시작할 것입니다.

SBOM은 조직과 개발 팀이 XNUMX개의 서로 다른 암호화 라이브러리를 사용하는지 또는 XNUMX개의 로거를 사용하는지 등 오픈 소스 라이브러리 사용을 조명하여 도움을 줄 수 있다고 Sonatype의 Fox는 말합니다.

Fox는 “모두 같은 일을 하는 15개, XNUMX개의 서로 다른 구성 요소를 사용하고 있다는 사실을 깨닫는 순간 충격을 받습니다.”라고 말합니다. SBOM과 보안 데이터를 결합함으로써 "내 포트폴리오 전체를 보고 이에 대해 추론할 수 있습니다."

Endor Labs의 Badhwar는 기업이 소프트웨어 선택을 간소화하는 방법에 대해 더 나은 선택을 할 수 있도록 보안 데이터를 추가하고 공개적으로 사용 가능한 Security Scorecard와 같은 도구 또는 상용 서비스가 도움이 될 수 있다고 말합니다.

"노력이 여러 팀에 걸쳐 시작되고 많은 엔지니어링 노력이 필요하며 오탐 보안 경고에 대한 개발 노력을 줄이기 시작함에 따라 회사는 [이러한] 도구를 사용하여 더 나은 ROI를 찾을 것입니다."라고 그는 말합니다.

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.