avguy-25.jpg

 

 

 

시높시스-1.png

 

조사에 참여한 프로젝트의 97%, 전체 코드의 78% 등 ‘오픈소스’가 모든 산업에서 널리 사용되고 있으나, 취약점을 가진 오픈소스의 비율은 81%에 이르는 것으로 나타났다.

 

시높시스(www.synopsys.com)는 30일 전세계 오픈소스 사용 현황을 분석한 ‘2022 오픈소스 보안과 리스크 분석(OSSRA)’ 연례 보고서를 발표했다. 

 

올해로 7번째 발간된 이번 보고서에는 글로벌 1위 OSS 라이선스 관리 솔루션인 ‘블랙덕 오딧 서비스(Black Duck Audit Services)’를 통해 실시한 전세계 17개 산업분야의 2,400여개의 커머셜 코드 베이스에 대한 분석이 담겨 있다. 이 보고서는 상호 연결된 소프트웨어 생태계에 대한 개발자들의 이해를 돕고, 관리되지 않는 오픈소스의 위험성, 보안 취약점, 오래된 구성요소, 라이선스 컴플라이언스 이슈에 대한 상세 정보를 담고 있다.

 

2022 OSSRA 보고서에 따르면 오픈 소스가 모든 산업에서 널리 사용되고 있으며 현재 운영되고 있는 대부분의 애플리케이션에 기반을 제공하는 것으로 나타났다. 다음은 이번 보고서의 주요 내용이다. 

 

최악의 취약점으로 꼽히는 로그포제이(Log4j) 등 오래된 오픈소스들이 여전히 표준으로 사용되고 있다. 운영 리스크/유지보수 측면에서 2,097개의 코드베이스 중 85%가 4년 이상 지난 오픈소스를 포함하고 있는 것으로 나타났다. 88%는 사용 가능한 최신 버전이 아닌 구성 요소를 사용하고 있으며, 이중 5%에 취약한 버전의 Log4j가 포함되어 있다. 

 

고위험 오픈 소스 취약점을 포함하는 코드베이스의 수는 대폭 감소했다. 올해 감사를 실시한 코드베이스 중 49%가 지난해 60%에 비해 최소 1개 이상의 고위험 취약점을 포함하고 있었고, 평가 대상 코드베이스의 81%가 적어도 하나의 알려진 오픈 소스 취약성을 포함하고 있는 것으로 조사됐다. 이는 2021년 OSSRA의 조사 결과 대비 3% 감소한 수치이다.

 

코드베이스의 절반 이상(53%)이 라이선스 충돌을 포함하였으나, 이는 2020년의 65%에 비해 상당히 감소한 수치이다. 일반적으로 2020년과 2021년 사이에 특정 라이선스 충돌이 전반적으로 감소했다.

 

소프트웨어 라이선스가 사용권을 통제하기 때문에 라이선스가 없는 소프트웨어는 오픈소스 컴포넌트의 사용이 법적 위험을 수반하는지 여부에 대한 딜레마를 일으킨다. 또한 커스터마이징 된 오픈소스 라이선스는 기술 구매자에게 바람직하지 않은 요건을 부과할 수 있으며, 종종 IP 이슈 혹은 기타 영향에 대한 법적 평가가 필요할 수 있다.

 

시높시스 사이버보안연구센터의 팀 맥키(Tim Mackey) 수석 보안전략 임원은 "SCA 소프트웨어 사용자들은 오픈소스 라이선스 문제를 줄이고 고위험 취약점을 해결하는 데 관심을 기울여왔으며 이러한 노력은 올해 라이선스 충돌과 고위험 취약점 감소에 반영됐다"고 말하며, "감사를 진행한 코드베이스의 절반 이상이 여전히 라이센스 충돌이 있었고, 절반에 가까운 코드에 고위험 취약성이 포함되어 있었다. 더 큰 문제는 위험 평가를 실시한 코드베이스의 88%가 적용 불가능한 업데이트나 패치가 있는 오래된 버전의 오픈 소스 컴포넌트를 포함하고 있다는 것"이라고 지적했다. 

 

그는 이어 "소프트웨어를 완전히 최신 상태로 유지하지 않는 데는 각각의 이유가 있지만, 조직 내 사용되는 오픈소스 코드의 최신 인벤토리를 정확하게 관리하지 않는 경우 오래된 구성요소가 고위험 공격에 노출될 수 있다. 관리를 하지 않아 잊혀지고 나면 사용 위치를 파악하여 업데이트하는데 어려움을 겪게 된다. 최근 Log4j로 촉발된 이슈가 바로 이러한 문제점을 반영하며, 소프트웨어 공급망과 소프트웨어 BOM(원재료 명세서, Bill of Materials)이 중요한 이유가 여기에 있다”고 덧붙였다. 

 

시높시스는 전자 설계 자동화(EDA) 및 반도체 IP 분야에서 오랜 역사를 가지고 있으며 업계에서 가장 광범위한 애플리케이션 보안 테스트 도구 및 서비스 포트폴리오를 제공하고 있다. 2022 가트너 매직 쿼런트 애플리케이션 보안 테스트 부문에서 6년 연속 1위 기업으로 선정된 바 있다. 시높시스의 애플리케이션 보안 자동화 테스팅 솔루션인 인텔리전트 오케스트레이션으로 개발 변경 사항을 신속하게 확인하고, 빠르고 쉽게 데브옵스 툴체인에 통합할 수 있도록 지원한다. 주요 애플리케이션 보안 테스팅(AST) 솔루션으로 디펜직스, 블랙덕, 커버리티(Coverity) 등이 있다.

 

피엔에프뉴스 pnfnews@pnfnews.com


  1. 시높시스, “오픈소스 사용 증가…업데이트는 잰걸음”

    조사에 참여한 프로젝트의 97%, 전체 코드의 78% 등 ‘오픈소스’가 모든 산업에서 널리 사용되고 있으나, 취약점을 가진 오픈소스의 비율은 81%에 이르는 것으...
    Date2022.06.30
    Read More
  2. 한컴, 한컴오피스 기반 전자계약 솔루션 ‘한컴싸인’ 출시

    한글과컴퓨터(이하 한컴)가 한컴오피스 기반의 올인원 전자계약 솔루션 ‘한컴싸인’을 정식 출시했다. 이번에 출시한 한컴싸인(www.hancomsign.com)은 전자서명...
    Date2022.06.30
    Read More
  3. 다쏘시스템-삼성중공업, 스마트야드 업무협약 체결

    다쏘시스템(www.3ds.com/ko)은 삼성중공업과 초격차 경쟁력을 가진 조선소 구축을 위해 디지털 전환 및 신기술 기반의 스마트야드 완성을 목표로 업무협약을 맺는다고 29일 ...
    Date2022.06.29
    Read More
  4. 한컴, 토스랩에 15억원 투자…협업툴 시장 공략

    한컴은 글로벌 SaaS 기업이자 한컴에서 지분인수 추진 중인 케이단모바일(이하 KDAN)을 통해, 협업툴 ‘잔디(JANDI)’의 운영사인 ‘토스랩’에 15억 ...
    Date2022.06.29
    Read More
  5. 탈레스, 기업 29% 데이터 유출…원격 근무 보안 위험 우려

    조사에 참여한 기업의 29%는 지난 한 해 동안 데이터 유출 피해를 경험했으며, 20%의 기업은 랜섬웨어 몸값 지불의 경험 또는 의사 있는 것으로 나타났다. 또한, 응답자의 7...
    Date2022.06.29
    Read More
  6. 이큐포올, 정보문화의 달 대통령 표창 수상…수어 번역 플랫폼 개발

    수어기술 전문 소셜 벤처기업 이큐포올(www.eq4all.co.kr)은 이인구 대표가 28일 서울 노들섬 다목적홀에서 열린 ‘제35회 정보문화의 달’ 기념식에서 대통령 ...
    Date2022.06.29
    Read More
  7. 퀸텟시스템즈, CALS로 로우코드 개발 시장 정조준

    퀸텟시스템즈는 올인원 클라우드 어플리케이션 개발도구 ‘CALS(칼스, Cloud At the Light)’로 로우코드 개발 시장 공략에 나선다고 29일 밝혔다. ‘CALS&r...
    Date2022.06.29
    Read More
  8. AIA생명, 국내 금융권 최초로 제네시스 SaaS 클라우드 컨택센터 도입

    제네시스(www.genesys.com/kr)는 AIA생명이 국내 금융권 최초로 퍼블릭 클라우드에서 운영되는 SaaS 기반 제네시스 클라우드 CXTM를 도입해 디지털 혁신을 통한 직원 및 고...
    Date2022.06.29
    Read More
  9. 세일즈포스, 기업 경쟁력 강화 정조준…시장·고객 맞춤 지원

    세일즈포스는 28일 잠실 롯데월드타워에서 기자간담회를 개최하고 국내 기업의 지속가능성 확보와 미래의 도약을 지원하기 위한 비즈니스 전략과 비전을 발표하고, LG CNS...
    Date2022.06.28
    Read More
  10. 한컴, 케이단모바일 인수…SaaS 비즈니스 강화

    한글과컴퓨터(이하 한컴)가 글로벌 SaaS(Software as a Service) 기업 ‘케이단 모바일(KDAN Mobile, 이하 KDAN)’의 지분인수에 나선다. 한컴은 싱가포르에 설립...
    Date2022.06.28
    Read More
  11. 큐브리드, 캄보디아 ‘PVS’와 CMT 개발 협력

    큐브리드가 캄보디아 소프트웨어 기업 PVS와 개발 협력을 체결했다고 28일 밝혔다. PVS(Phnom Voar Software)는 캄보디아의 소프트웨어 개발 및 테스팅 서비스 제공업체로 ...
    Date2022.06.28
    Read More
  12. 웹케시그룹, 특성화고 30명 장학금 전달

    웹케시그룹이 지난 24일 서울 영등포구 웹케시그룹 본사에서 '제2회 미래교육 우수 재능 학생 장학금 전달식'(이하 장학금 전달식)을 가졌다고 밝혔다. 이번 장학...
    Date2022.06.28
    Read More
  13. 보다폰, 오라클 OCI 전용 리전 도입…고객 서비스 강화

    오라클이 통신기업인 보다폰(Vodafone)과 유럽 내 IT 인프라의 현대화 및 신속한 클라우드 이전을 위한 전략적 파트너십을 체결했다고 27일 밝혔다. 이를 통해 보다폰은 완...
    Date2022.06.27
    Read More
  14. 포티넷코리아-KT, SD-WAN 전략적 파트너십 체결

    포티넷 코리아(www.fortinet.com/kr)는 KT와 ‘SD-WAN에 기반을 둔 국내 데이터 서비스 시장 활성화’를 위한 전략적 파트너십을 체결했다고 24일 밝혔다. 이번 ...
    Date2022.06.24
    Read More
  15. 안랩, 환경경영 박차…‘환경경영방침’ 발표

    안랩(www.ahnlab.com)이 친환경 경영 의지를 담은 전사적 환경전략 방향인 ‘환경경영방침’을 발표했다. 안랩은 환경경영방침에는 ▲국내외 환경 관련 법규 준수 ...
    Date2022.06.24
    Read More
  16. 웹케시그룹, 부산 IT센터 오픈…지역 상생 기여

    웹케시그룹은 23일 부산시 동구에서 ‘웹케시그룹 부산 IT센터’ 개소식을 개최했다고 밝혔다. 웹케시그룹은 이번 IT센터 오픈이 부산·경남 지역의 경제 ...
    Date2022.06.24
    Read More
  17. 오라클, OCI 전용 리전 서비스 및 컴퓨트 클라우드@커스터머 공개

    오라클이 새로운 기업용 OCI 전용 리전(OCI Dedicated Region) 서비스 출시 및 컴퓨트 클라우드 앳 커스터머(Compute CloudCustomer)를 사전 공개했다. 이를 통해 고객은 자...
    Date2022.06.23
    Read More
  18. PTC-현대무벡스, 제조/물류 스마트솔루션 협약

    PTC코리아가 현대그룹 계열사 현대무벡스와 손잡고 ‘제조/물류 부문 스마트솔루션 협력을 위한 양해각서 23일 체결했다고 밝혔다. 이번 협력을 통해 PTC는 IIoT 플랫...
    Date2022.06.23
    Read More
  19. 사이벨리움, ‘글로벌 인포섹 어워드 2022’ 3개 부문 수상

    쿤텍(www.coontec.com)은 자동차 사이버 보안 위험 평가 솔루션 기업 ‘사이벨리움’이 지난 RSA 컨퍼런스 2022에서 개최된 제10회 ‘글로벌 인포섹 어워드&...
    Date2022.06.23
    Read More
  20. 한컴-신세계, 메타버스 공동사업 업무협약 체결

    한글과컴퓨터(이하 한컴)와 신세계는 메타버스 플랫폼 공동사업을 위한 업무협약(MOU)을 체결하고, 메타버스 플랫폼(이하 플랫폼) 구축 및 운영을 위한 전략적 협력 체계를 ...
    Date2022.06.23
    Read More
Board Pagination Prev 1 2 3 4 5 6 7 8 9 10 ... 55 Next
/ 55

서비스 링크

X
Login

브라우저를 닫더라도 로그인이 계속 유지될 수 있습니다. 로그인 유지 기능을 사용할 경우 다음 접속부터는 로그인할 필요가 없습니다. 단, 게임방, 학교 등 공공장소에서 이용 시 개인정보가 유출될 수 있으니 꼭 로그아웃을 해주세요.

아이디가 없으신 분은

회원가입 후 이용하실 수 있습니다.

X