기술나눔

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

원천:https://thehackernews.com/2024/06/실용적인-지침-보안-을-위한-방법.html

소프트웨어 생산 조직이 공급망을 보호하고 소프트웨어의 무결성을 보장해야 한다는 규제 및 법적 압력이 증가하는 것은 놀라운 일이 아닙니다. 지난 몇 년 동안 소프트웨어 공급망은 공격을 대폭 증가시킬 수 있는 기회를 보는 공격자에게 점점 더 매력적인 표적이 되었습니다. 예를 들어 2021년의 Log4j 취약점을 살펴보세요. Log4j(Apache에서 유지 관리하고 수많은 다양한 애플리케이션에서 사용되는 오픈 소스 로깅 프레임워크)는 수천 개의 시스템을 위험에 빠뜨리는 취약점의 소스였습니다.

Log4j의 통신 기능은 취약하므로 공격자가 로그에 악성 코드를 삽입하여 시스템에서 실행될 수 있는 기회를 제공합니다. 이 사실이 발견된 후 보안 연구원들은 수백만 건의 공격 시도를 확인했으며 그 중 다수가 성공적인 서비스 거부(DoS) 공격으로 바뀌었습니다. Gartner의 일부 새로운 연구에 따르면 2025년까지 기업 조직의 거의 절반이 소프트웨어 공급망 공격의 표적이 될 것입니다.

그렇다면 소프트웨어 공급망이란 무엇입니까? 첫째, 소프트웨어 결과물의 개발 및 전달에 기여하는 조직 내부 및 외부의 모든 코드, 사람, 시스템 및 프로세스의 합계로 정의됩니다. 소프트웨어 공급망 보안을 그토록 어렵게 만드는 것은 최신 애플리케이션 개발의 복잡성과 고도로 분산된 특성 때문입니다. 조직에서는 전례 없는 수의 오픈 소스 종속성뿐만 아니라 광범위한 코드 저장소 및 아티팩트 레지스트리, CI/CD 파이프라인, 애플리케이션 구축 및 배포를 위한 인프라 리소스에 의존하는 글로벌 개발자 팀을 고용합니다.

보안과 규정 준수는 항상 기업 조직의 최우선 관심사였지만, 조직의 소프트웨어 공급망을 보호하는 것은 점점 더 어려워지고 있습니다. 그러나 많은 조직이 DevSecOps 관행을 구현하는 데 상당한 진전을 이루었으며, 이들 중 다수는 여전히 무엇을 해야 할지 파악하는 초기 단계에 있습니다.

이것이 바로 우리가 이 글을 정리한 이유입니다. 다음 내용이 완전한 목록은 아니지만 소프트웨어 공급망 보안 노력을 올바른 방향으로 이끌 수 있는 4가지 기본 원칙은 다음과 같습니다.

보안을 적용할 때 소프트웨어 공급망의 모든 측면을 고려하십시오.

코드 베이스의 80% 이상이 하나 이상의 오픈 소스 취약점을 포함하고 있다는 점을 고려하면 OSS 종속성은 자연스럽게 소프트웨어 공급망 보안의 핵심 초점이 되었습니다. 그러나 최신 소프트웨어 공급망에는 보안 상태가 간과되거나 조직 내에서 널리 이해되지 않아 적절하게 관리되지 않는 다른 엔터티가 포함되어 있습니다. 이러한 엔터티는 코드 리포지토리, CI 및 CD 파이프라인, 인프라, 아티팩트 레지스트리이며, 각 항목에는 보안 제어 및 정기적인 규정 준수 평가가 필요합니다.

CI/CD 및 CIS 소프트웨어 공급망 보안 벤치마크를 위한 OWASP Top-10과 같은 프레임워크입니다. 이러한 프레임워크를 준수하려면 최소 권한의 원칙을 적용하고, 컨테이너 및 코드형 인프라에서 취약성과 잘못된 구성을 검색하고, 빌드를 격리하고, 애플리케이션 보안 테스트를 통합하고, 비밀을 적절하게 관리하는 세밀한 RBAC가 필요합니다.

SBOM은 제로데이 및 기타 구성 요소 문제를 해결하는 데 중요합니다.

국가의 사이버 보안 태세를 강화하기 위해 백악관이 2021년 중반에 발표한 행정 명령 14028의 일부에 따라 소프트웨어 생산자는 연방 고객에게 소프트웨어 재료 명세서(SBOM)를 제공해야 합니다. SBOM은 본질적으로 소프트웨어를 구성하는 모든 구성 요소에 대한 가시성을 제공하도록 설계된 공식 기록입니다. 이는 소프트웨어를 구축하는 데 사용되는 모든 오픈 소스 및 타사 라이브러리, 종속성 및 구성 요소에 대한 자세한 기계 판독 가능 목록을 제공합니다.

조직이 EO 14028에 따라 의무화되었는지 여부에 관계없이 소프트웨어 아티팩트에 대한 SBOM을 생성하고 관리하는 것은 귀중한 관행입니다. SBOM은 구성요소 문제나 제로데이 취약점을 해결하는 데 없어서는 안 될 도구입니다. 검색 가능한 저장소에 저장되면 SBOM은 특정 종속성의 존재에 대한 맵을 제공하고 보안 팀이 영향을 받는 구성 요소에 대한 취약성을 신속하게 추적할 수 있도록 합니다.

정책을 코드로 사용하여 소프트웨어 개발 수명주기 관리

최신 애플리케이션 개발 세계에서 견고한 가드레일은 보안과 규정 준수를 손상시키는 오류와 의도적인 조치를 제거하는 데 필수적인 도구입니다. 소프트웨어 공급망 전반에 걸친 적절한 거버넌스는 조직이 올바른 일을 쉽게 수행하고 잘못된 일을 수행하는 것을 극도로 어렵게 만들었다는 것을 의미합니다.

많은 플랫폼과 도구가 신속하게 실행할 수 있는 기본 정책을 제공하는 반면, Open Policy Agent 업계 표준을 기반으로 하는 Policy-as-Code를 사용하면 완전히 사용자 정의 가능한 정책을 작성하고 실행할 수 있습니다. 공급업체, 버전, 패키지 URL, 라이선스 등의 기준에 따라 액세스 권한부터 OSS 종속성 사용 허용 또는 거부에 이르는 정책을 관리합니다.

SLSA를 사용하여 소프트웨어 아티팩트에 대한 신뢰를 확인하고 보장하는 기능

사용자와 소비자는 소프트웨어가 신뢰할 수 있는지 어떻게 알 수 있습니까? 소프트웨어 아티팩트의 신뢰성을 결정할 때 누가 코드를 작성했는지, 누가 코드를 작성했는지, 어떤 개발 플랫폼을 기반으로 작성되었는지 알고 싶을 것입니다. 내부에 어떤 구성 요소가 있는지 아는 것도 알아야 할 사항입니다.

출처(소프트웨어의 출처 및 관리 연속성에 대한 기록)를 확인한 후에는 소프트웨어를 신뢰할지 여부를 결정할 수 있습니다. 이를 위해 SLSA(Supply Chain Level of Software Artifacts) 프레임워크가 만들어졌습니다. 이를 통해 소프트웨어 생산 조직은 소프트웨어 공급망의 모든 측면에서 정보를 캡처하고, 아티팩트 및 해당 빌드의 속성을 확인하고, 보안 문제의 위험을 줄일 수 있습니다. 실제로 소프트웨어 생산 조직은 SLSA 프레임워크 요구 사항을 채택 및 준수해야 하며, 소프트웨어 공급망 전체에서 소프트웨어 아티팩트에 대한 인증된 주장(메타데이터)인 소프트웨어 증명을 검증하고 생성하는 방법을 구현해야 합니다.