전 세계 조직에 영향을 미치는 광범위한 소프트웨어의 취약점으로 인해 미국 정부는 13월 XNUMX일 백악관에서 오픈 소스 커뮤니티 및 주요 소프트웨어 회사와 만나 혁신적인 소프트웨어 개발 커뮤니티를 지원하는 동시에 가능성을 줄이는 방법을 찾았습니다. 일반적인 소프트웨어 구성 요소의 미래 보안 결함.
백악관 소프트웨어 보안 정상 회담은 국가 안보 및 기술을 다루는 다양한 정부 기관의 관리들과 Akamai, Amazon, Apple, GitHub, Google, Meta, Microsoft, RedHat 등 주요 소프트웨어 회사의 대표와 회원을 모았습니다. Apache Software Foundation 및 Linux Foundation과 같은 오픈 소스 소프트웨어 커뮤니티의
바이든 행정부는 성명에서 “코드와 오픈 소스 패키지의 보안 결함과 취약점을 예방하고 결함을 찾아 수정하는 프로세스를 개선하며 수정 배포 및 구현에 대한 응답 시간을 단축하는 방법을 찾는 것을 목표로 했다”고 밝혔다.
그러나 토론의 핵심은 보안 소프트웨어를 만들고 취약성에 직면하여 패치를 신속하게 처리하는 노력을 개선하면서 오픈 소스 커뮤니티의 혁신적인 개발이 계속해서 번창할 수 있는 방법입니다.
"오픈 소스 소프트웨어는 사용 범위와 지속적인 보안 유지 관리를 담당하는 자원 봉사자 수로 인해 고유한 가치를 제공하고 고유한 보안 문제를 안고 있습니다." 행정부가 밝혔다. "참가자들은 오픈 소스 커뮤니티에 효과적으로 참여하고 지원하면서 오픈 소스 소프트웨어의 보안에 변화를 가져오는 방법에 대해 실질적이고 건설적인 토론을 했습니다."
이번 정상 회담은 기업들이 엔터프라이즈 애플리케이션에서 널리 사용되는 Java 애플리케이션용 Log4j 로깅 프레임워크의 심각한 취약점을 찾고 패치하기 위해 계속해서 고군분투하는 가운데 개최되었습니다. 널리 사용되는 패키지 관리 저장소인 Maven Central Repository에 있는 Java 애플리케이션의 80% 이상이 종속성으로 Log4j — 해당 Java 애플리케이션 및 구성 요소가 취약할 수 있음을 의미합니다. 취약점이 아직 주요 손상으로 이어지지는 않았지만, 미국 관리에 따르면, 문제는 편재하기 때문에 해결하는 데 몇 년이 걸릴 것입니다.
널리 퍼진 Vulns의 오랜 역사
널리 퍼진 소프트웨어 패키지의 취약점은 새로운 것이 아닙니다. 그만큼 2014년 OpenSSL의 Heartbleed 취약점 그리고 2018 스펙터 및 멜트다운 취약점 유비쿼터스 소프트웨어 및 펌웨어에서 발견되는 보안 문제에는 긴 꼬리가 있음을 보여주었습니다.
마이크 핸리(Mike Hanley) 최고 보안 책임자(CSO)는 "세계는 오픈 소스에 의존하는 소프트웨어에서 실행되며, 이는 오픈 소스 코드의 취약점이 오픈 소스 코드에 의존하는 수십억 명의 개발자와 서비스에 글로벌 파급 효과를 미칠 수 있음을 의미합니다"라고 말했습니다. 깃허브에서, 정상회담 성명에서 말했다. "우리는 취약한 코드 한 두 줄만 눈 깜짝할 사이에 전체 시스템의 건강, 안전 및 신뢰성에 극적인 영향을 미칠 수 있음을 보았습니다."
찾는 것을 목표로 한 정상 회담 정부와 업계를 위한 방법 보안 기능을 개발자 도구 및 서비스에 통합하고 패키지를 저장 및 배포하는 데 사용되는 플랫폼의 무결성을 보장하는 등 오픈 소스 코드의 보안을 개선하기 위해 협력합니다. 초기 노력은 인기 있고 중요한 오픈 소스 소프트웨어 프로젝트 및 패키지의 보안을 개선하고 개발자와 회사가 종속성을 추적할 수 있도록 소프트웨어 BOM 채택을 가속화하는 방법에 중점을 둘 것입니다.
Akamai의 최고 보안 책임자인 보아즈 겔보드(Boaz Gelbord)는 “이 모든 것은 오픈 소스 소프트웨어 사용에 대한 가시성을 높이기 위한 공동의 노력에서 시작됩니다. "정부와 민간 부문 조직은 오픈 소스 기술에 대한 의존도를 드러내는 도구에 투자해야 하며, 결정적으로 생태계 전체의 보안을 강화하기 위해 위험을 완화하고 억제하기 위한 조치를 취해야 합니다."
브라이언 벨렌도르프(Brian Behlendorf) 전무이사는 "독립적인 오픈 소스 개발의 혁신적이고 표준을 설정하는 노력을 유지하는 것과 산업과 정부가 의존하는 핵심 인프라의 일부가 되는 프로젝트 및 제품에 대한 안전한 개발 관행을 시행하는 것 사이의 균형이 될 것"이라고 말했다. 오픈 소스 보안 재단(OpenSSF).
"공급망의 시작 부분에는 원시적이고 때로는 지저분하지만 종종 훌륭한 소프트웨어로 이어지는 그룹에서 코드를 작성하는 매우 혁신적인 프로세스가 있습니다."라고 그는 말합니다. "그것은 중요하며 업스트림 핵심 개발자에게 가치를 창출하지 않는 관료주의나 요구 사항에 의해 속박되어서는 안 됩니다."
그러나 OpenSSF는 핵심 개발자에서 패키지 관리자, 궁극적으로 소프트웨어 구성 요소 또는 라이브러리를 사용하는 개발 팀에 이르기까지 체인의 각 단계에 보다 안전한 개발 프로세스를 추가해야 한다는 점을 인식하고 있습니다.
Behlendorf는 "수백만 개의 소프트웨어 프로젝트와 개발자가 있는 세상에서 지금 중요한 것은 이 사슬을 따라 비공식적이고 신뢰도가 높은 프로세스를 보다 엄격하고 자동화 가능한 도구와 관행으로 확장하는 것을 돕는 것입니다."라고 말합니다.
업계는 이미 오픈 소스 소프트웨어와 자체 소프트웨어 제품에 대한 투자를 시작했습니다. 지난 XNUMX월 비슷한 회담에서 구글과 마이크로소프트는 소프트웨어 보안 및 사이버 보안 노력에 수십억 달러 지출 약속 앞으로 XNUMX년 안에. 예를 들어 Google은 개발자와 기업이 혜택을 누릴 수 있도록 보호 기능을 통합하는 보이지 않는 보안 이니셔티브에 전념했으며 OpenSSF와 협력하여 개발자를 위한 도구. Akamai는 오픈 소스 커뮤니티가 소프트웨어의 취약점을 탐지하고 공격을 억제합니다., 그러나 작업이 이제 시작임을 인식했습니다.
Akamai의 Gelbord는 “이 행정 명령이 올바른 방향으로 나아가는 것이지만, 끊임없이 진화하는 위협 환경에서 성공하려면 오픈 소스 커뮤니티를 지원하기 위해 더 많은 조치가 필요합니다.
지난해 바이든 행정부는 행정명령을 발표했다 과거 행정부보다 더 자세하다고 널리 찬사를 받은 사이버 보안에 관한 것입니다. 또한 행정부는 XNUMX월에 사이버 공간 및 디지털 정책국 창설 미 국무부 내에서 이 문제에 대한 국제 외교를 주도합니다.
