Embedded Files
게시일: 2020. 7. 28 오후 1:50:10
| 입력 : 2020-07-28 16:40
[이미지 = utoimage]
그래서 7월 27일 두 개의 회사가 손을 잡았다. 오픈소스 프로젝트 관리 전문 회사인 스나이크(Snyk)와 개발 서비스 회사인 xs:code다. 두 회사는 오픈소스 프로젝트에 있는 취약점 정보를 보다 직관적으로 나타내주는 브라우저 플러그인을 개발했다. 이 플러그인의 이름은 인사이츠(Insights)이며, 개발자들이 보다 신중하게 플러그인을 고르는 데 도움이 되도록 만들어졌다.
xs:code의 창립자인 첸 라비드(Chen Ravid)는 “오픈소스의 보안 문제가 최근 IT 개발자들 사이에서 적잖은 골칫거리가 되고 있다”며 “가장 큰 문제는 오픈소스를 선택하는 개발자가 취약점에 대해서는 고려하지 않는다는 것”이라고 짚었다. “보안 문제가 눈에 보이지 않는 겁니다. 그러니 고려하지 않고, 그래서 취약한 소프트웨어들이 만들어지죠.”
현대 소프트웨어들은 오픈소스 요소에 대한 의존도가 대단히 높다. 프로그램 하나 당 평균 445개의 오픈소스 요소들을 가지고 있다는 통계가 있을 정도다. 그런데 90% 이상의 소프트웨어에서 낡고 오래된, 즉 업데이트가 4년 이상 되지 않은 오픈소스 요소들이 발견되고 있어서 문제다. 실제 많은 소프트웨어 취약점들이 오픈소스를 포함해 서드파티 디펜던시 요소들에서 나온다.
스나이크는 “한 해 동안 발견되는 취약점의 수가 2018년에 잠깐 수그러들더니 2019년부터 다시 증가하기 시작했다”며 “게다가 심각한 위험도를 가진 취약점의 수가 늘어나고 있다는 게 진짜 문제”라고 지적한다.
그 이유로 스나이크는 “오픈소스를 고르는 기준에 ‘취약점 유무’가 없다는 것”을 꼽는다. 이는 2019년 타이드리프트(Tidelift)와 더뉴스택(The New Stack)의 보고서를 통해서도 지적된 바 있는 내용이다. 당시 보고서를 통해 86%의 개발자들이 “개발자의 현재 활동 현황과 라이선스 내용을 가장 많이 참조하여 오픈소스를 선택한다”고 답했다.
xs:code는 “브라우저 플러그인을 통해 오픈소스의 평가 결과를 눈으로 볼 수 있게 만들어준다면 어떨까”하는 생각에서 이번 프로젝트르르 스나이크와 시작하게 되었다고 한다. “인사이츠는 리포지터리 분석 서비스라고 볼 수 있습니다. 개발자들이 리포지터리의 취약점들을 볼 수 있고, 그 취약점들의 심각성을 점수로 환산해 파악할 수 있습니다.”
현재로서는 개발자의 진행 상황을 점수로 나타내는 기능이 없지만, 추후에 추가하는 것을 고려하고 있다고 라비드는 설명한다. 현재 인사이츠는 여기(https://www.producthunt.com/upcoming/xs-code-insights)서 공개될 예정이다. 7월 중에 나올 것이라고 예고가 되어 있고, 구독신청을 하면 ‘얼리 액세스’ 권한이 주어진다.
3줄 요약
1. 두 회사가 손을 잡고 오픈소스 프로젝트 취약점 점검 플러그인 개발.
2. 브라우저 플러그인 형태로 배포되며, 개발자들이 오픈소스의 취약점 현황을 볼 수 있게 해줌.
3. 이 도구의 이름은 인사이츠이며, 7월 중 공개될 것으로 예고되어 있음.
Page updated
Google Sites
Report abuse