안녕하세요. 오픈소스 통합 관리 솔루션 기업 엘에스웨어의 오픈소스 사업본부입니다.
오늘은 오픈소스 보안 취약점인 CVE와 빠르고 정확한 SCA 솔루션 블랙덕의 오픈소스 식별 기능에 대한 내용을 알아보겠습니다.
CVE란?
CVE는 Common Vulnerabilities and Exposures의 줄임말로 <공개적으로 알려진 컴퓨터 보안 결함 목록>을 뜻합니다. CVE는 1999년 비영리 연구 개발 기관인 MITRE Corporation에서 미국 연방 정부의 후원을 받아 소프트웨어와 펌웨어의 취약점을 파악하고 분류하여 보안 관리의 지표가 되는 무료 식별 코드를 만들기 위해 제작한 프로그램입니다. MITRE는 CVE 데이터베이스와 웹사이트를 운영 및 관리하며, 미국 연방 정부는 이 CVE 표준에 따라 국가 취약점 데이터베이스인 NVD(National Vulnerability Database)를 관리하고 있습니다.
CVE의 목적은 알려진 보안 취약점을 식별하는 방식을 표준화하는 데에 있습니다. CVE 리스트에는 상태 지표, 표준 식별 코드, 권고 정보 등 간략한 설명에 대한 참조로 구성되어 있으며, 위험이나 영향, 수정 등 상세한 기술 정보는 포함되어 있지 않습니다. 보안관리자는 공통으로 정의된 CVE 식별 코드, 즉 CVE ID를 통해 특정 보안 취약점과 관련한 정보를 획득하고, 보안 경고에 효과적으로 대응할 수 있습니다.
CNA와 CVE 등록 방식
CNA는 MITRE에서 지정하는 CVE 넘버링 기관(CVE Numbering Authorities)으로 1차 CNA인 MITRE의 관여 없이 취약점을 찾아서 <CVE – 2024(연도) – NNNNN(고유번호)> 형식의 CVE ID를 할당하는 역할을 수행합니다. 현재 애플, 구글, 마이크로소프트 등을 비롯하여 전 세계에 약 352개의 기관 등이 지정되어 있으며, 국내에는 네이버, LG전자, 한국인터넷진흥원, 금융보안원 등이 CNA 기관으로 활동하고 있습니다.
CNA는 직접 보안 취약점을 발굴할 뿐만 아니라 버그 현상금을 제공하여 보안 취약점을 취합하기도 합니다. 오픈소스를 비롯한 소프트웨어나 펌웨어에서 악용할 수 있는 보안 취약점을 발견한 이용자는 CNA에 해당 보안 취약점을 보고합니다. 만약 오픈소스 소프트웨어에서 보안 취약점을 발견한 경우에는 오픈소스 커뮤니티에 제출해야 합니다. CNA는 전달된 보안 취약점 정보에 고유 식별 번호인 CVE ID를 할당하고 참조 정보와 간략한 설명을 작성하여 CVE 웹사이트에 게시합니다. 웹사이트에 게시된 CVE는 국제 보안 취약점 식별 코드의 역할을 수행하게 됩니다.
보안 취약점 식별 1위 블랙덕
오픈소스의 보안 취약점을 식별하고 정보를 얻으려면 NVD의 CVE 항목을 살펴보는 것이 좋습니다. 하지만 실제로 취약점이 공개되고 CVE에 등록되기까지 시간이 걸려서 빠르게 취약점 정보를 확인하여 시기 적절하게 보안 위협에 대응하기에 어려운 경우가 있습니다. 또한, CVE에는 보안 취약점에 대한 상세 기술 정보를 포함하지 않다는 단점이 있습니다.
하지만 오픈소스 SCA 솔루션 블랙덕은 Synopsys 내부 보안 연구팀이 식별한 자문 보고서를 통해 오픈소스 보안 취약점 정보를 CVE 목록보다 며칠 혹은 몇 주 일찍 제공합니다. 또한, 블랙덕이 제공하는 보안 취약점 정보에는 상세 기술 정보와 업그레이드 & 패치 지침 등 취약점에 대한 세부적인 조치 가이드라인이 포함되어 있습니다. 그리고 이러한 정보는 블랙덕과 실시간으로 연동되는 포세라 포털 위드 블랙덕에서 가독성 좋은 형태로 확인할 수 있습니다. 즉, 포세라 포털 위드 블랙덕을 사용하는 것만으로 자사 제품의 오픈소스 보안 취약점을 빠르게 식별하고 늦지 않게 보안 위협에 대응할 수 있습니다.
오픈소스를 사용하는 기업과 오픈소스 관리자라면 SCA 솔루션 블랙덕과 포세라 포털 위드 블랙덕을 통해 빠르고 정확한 오픈소스 보안 취약점 정보를 식별하는 것이 필요합니다. 포세라 포털 위드 블랙덕에 대해 자세한 정보가 필요하다면 아래 네임카드를 눌러서 홈페이지를 방문해 주세요.
엘에스웨어
📍서울특별시 금천구 서부샛길 606 대성디폴리스 A동 18층
📞 02-6919-0321
📧 opensource@lsware.com
'오픈소스' 카테고리의 다른 글
| 오픈소스 저작권 표시 및 라이선스 고지 의무와 고지 방법 (2) | 2024.04.19 |
|---|---|
| 오픈소스 라이선스 양립성 :: 오픈소스 사용 시 필수 체크 사항 (1) | 2024.04.12 |
| SBOM :: 안전한 오픈소스 활용의 첫걸음 (0) | 2024.03.28 |
| 구글의 안드로이드 오픈소스 프로젝트 AOSP와 Apache 라이선스 (1) | 2024.02.15 |
| 오픈소스 소프트웨어 관련 용어 알아보기 :: OSS, OSD, SCA, SBOM, SPDX (1) | 2024.02.07 |
