본문 바로가기
Black Duck

[시높시스] 2024 OSSRA Report :: 오픈소스 보안 및 위험 분석 보고서

엘에스웨어 오픈소스 2024. 3. 7. 10:59

안녕하세요. 엘에스웨어 오픈소스 사업본부 블로그에 오신 걸 환영합니다.


엘에스웨어는 오픈소스 전문 보안 솔루션 기업으로 글로벌 1위 오픈소스 SCA 도구인 블랙덕을 보유한 Synopsys(시높시스)의 공식 파트너사입니다.


오늘은 Synopsys의 연례 보고서인 <2024 오픈소스 보안 및 위험 분석 보고서(2024 OSSRA : 2024 Open Source Security and Risk Analysis Report)>를 소개합니다.


2024 OSSRA 보고서


올해로 9번째를 맞이하는 <2024 OSSRA 보고서>는 상용 소프트웨어의 오픈소스 보안, 규정 준수, 라이선스, 코드 품질 위험의 현황에 대해 심층적으로 다루고 있습니다. 이 보고서의 목적은 오픈소스 보안 및 라이선스 위험 환경에 대한 이해도를 높이는 데 도움을 주는 것에 있습니다. 


Synopsys 블랙덕 감사팀은 인수합병 거래 중 소프트웨어 위험을 식별하는 것을 목적으로 매년 수천 개의 코드 베이스를 분석합니다. 이때, 2023년 한 해 동안 자동차, 빅데이터, 사이버 보안, 금융, 의료, 제조 등 17개의 산업에 걸쳐 1,067개의 상용 코드 베이스를 분석한 감사팀의 데이터를 바탕으로 이번 2024 OSSRA 보고서가 만들어졌습니다. 


OSSRA 보고서는 소프트웨어에서 오픈소스가 차지하는 비중과 이를 제대로 관리하지 않을 경우의 잠재적인 위험성을 강조합니다. 오픈소스는 오늘날 기업과 소비자가 의존하는 모든 애플리케이션의 기반입니다. 오픈소스를 효과적으로 식별, 추적, 관리하는 것은 성공적인 소프트웨어 보안 프로그램의 핵심이자 소프트웨어 공급망 보안을 강화하는 핵심 요소입니다. 


2024 OSSRA 보고서 주요 내용


1) 오픈소스의 비중 증가
2023년 분석된 전체 1,067개의 코드 베이스 중 96%가 오픈소스를 포함하고 있으며, 77%의 코드 베이스는 오픈소스였던 것으로 조사됐습니다. 그리고 오픈소스의 보급과 AI 생성 코드의 증가로 소프트웨어에서 오픈소스의 비중이 점차 증가하고 있습니다. 이에 따라 오픈소스의 모든 구성요소를 식별하는 것에 중요성도 함께 증가하고 있습니다. 

2) 라이선스 규정 준수 문제
전체 코드 베이스의 절반 이상인 53%는 라이선스 충돌이 있는 코드를 사용하고 있었습니다. 그리고 31%는 식별할 수 있는 오픈소스 라이선스가 아예 없거나 커스텀 라이선스를 보유하고 있었습니다. 라이선스 규정 준수에 관한 문제는 법률적 리스크로 이어져 기업에 큰 타격을 줄 수 있으므로 꼭 관리되어야 할 중요한 부분입니다.

3) 고위험 취약점의 증가
코드 베이스 중 취약점이 하나 이상 포함된 비율은 84%로 전년과 비슷했지만, 고위험 취약점이 있는 코드 베이스의 비율은 2022년 48%에서 2023년 74%로 급격하게 증가했습니다. 치명적인 보안 관련 취약점은 오픈소스로 인한 리스크 중 가장 큰 부분을 차지합니다. 이를 제대로 관리하는 것이 오픈소스를 올바르게 활용하는 것의 시작이 될 수 있습니다.

4) 최신 업데이트의 부재
취약점 위험도가 평가된 900개 이상의 코드 베이스 중 91%가 최신 버전보다 10 버전 이상 뒤처진 구성 요소를 포함하고 있었습니다. 오픈소스를 안전하게 유지하기 위해서는 전체 코드를 파악하고 코드를 최신 상태로 유지하는 방법을 개선해야 합니다.  


오픈소스 보안 및 위험에 대처하는 방법


소프트웨어의 높은 비중을 차지하는 오픈소스의 보안을 높이고 위험에 대응하기 위해서는 SBOM을 통한 관리와 자동화된 관리 도구를 사용하는 것이 중요합니다.


오픈소스를 사용하는 기업과 관리자는 제품 내 코드에 포함된 오픈소스에 대한 가시성을 확보하고, 오픈소스 구성 요소를 식별할 수 있도록 소프트웨어 자제 명세서, SBOM(Software Bill of Materials)을 준비해야 합니다. 오픈소스의 버전, 라이선스 및 출처 정보에 대한 정보를 포함한 SBOM을 통해 잠재적인 위험을 예측하고 대응할 수 있습니다.


그리고 방대한 양의 오픈소스를 효율적으로 관리하기 위해서는 자동으로 소스코드를 식별하는 SCA 도구 블랙덕과 라이선스부터 보안 취약점까지 통합으로 관리하는 포세라 포털 위드 블랙덕이 필요합니다. 프로젝트 내의 오픈소스의 구성 요소는 물론 라이선스 충돌과 치명적인 보안 취약점을 포털 내에서 확인하여 오픈소스의 활용도를 더욱 높일 수 있습니다. 

2024 OSSRA 보고서는 아래 링크를 통해 확인할 수 있으며, 오픈소스 통합 관리가 필요하다면 엘에스웨어를 방문해 주세요. 

🔻NEW! 2025 OSSRA 보고서 다운로드🔻
https://bit.ly/44UGvRM 

 

 




엘에스웨어
📍서울특별시 금천구 서부샛길 606 대성디폴리스 A동 18층
📞 02-6919-0321
📧 opensource@lsware.com 

'Black Duck' 카테고리의 다른 글

[블랙덕] 2025 OSSRA Report :: 오픈소스 보안 및 위험 분석 보고서  (0) 2025.04.01
[시높시스 기고문] 오픈소스 구성요소 구버전 코드의 위험 :: 2024 OSSRA 보고서  (1) 2024.03.21
[시높시스 기고문] 오픈소스 소프트웨어: 현대 소프트웨어 개발의 중추  (0) 2024.01.17

'Black Duck' Related Articles

티스토리툴바