대부분의 소프트웨어 개발자는 개발 주기에 오픈 소스 소프트웨어 패키지를 포함하며, 이러한 패키지의 무결성을 암묵적으로 신뢰하는 경우가 많습니다. 그러나 오픈 소스 소프트웨어에는 심각한 취약점과 의도적으로 숨겨진 위협이 포함되어 있는 경우가 많으며, 이로 인해 이러한 패키지를 사용하는 제품이 손상되고 위협적인 공급망 공격과 같은 조작에 취약해질 수 있습니다.
사이버 위협의 수와 심각도가 계속 증가함에 따라 전통적인 DevOps 소프트웨어 개발 방법론은 보안을 더욱 중시하는 DevSecOps라는 접근 방식으로 전환하기 시작했습니다. DevSecOps는 초기 계획 및 설계 단계부터 개발, 테스트 및 그 이후까지 전 과정에 보안 사례를 적용할 것을 강조합니다. 물론 이러한 사고 방식은 개발 주기에서 사용하는 모든 오픈 소스 소프트웨어에도 동일하게 적용되어야 합니다.
Kaspersky는 이러한 보안 우선 접근 방식을 오픈 소스 소프트웨어에 적용하는 데 유용한 데이터 피드인 Kaspersky® Open Source Software Threats Data Feed 를 설계했습니다. 이는 바이너리 없이 텍스트로만 구성된 데이터 세트로, Kaspersky가 알고 있는 수백만 개의 오픈 소스 패키지에 내재된 위협과 취약점을 찾아냅니다.
이 데이터 피드에서는 다음과 같은 위협 유형을 다룹니다.
- 취약점이 있는 패키지
- 악성 코드가 포함된 패키지
- 암호화폐 채굴기, 해킹 도구 등 리스크웨어를 포함한 패키지
- 정치적 슬로건을 포함하거나 특정 지역에서 기능이 변경되는 손상된 패키지
이 피드는 정기적으로 검사를 실시하는 다음 리포지토리*의 패키지에 대한 정보를 제공합니다.
- Pypi
- Npm
- Nuget
- Maven
- Composer
- Go
- Rpm
- Debian
모든 리포지토리의 모든 패키지는 다음 취약점 권고 사항에 자동으로 매칭됩니다.
- GitHub 보안 권고
- CVE MITRE
- Debian 보안 권고
- CentOS 보안 경고
- RedHat 보안 권고(이 권고에 대한 교차 링크만 제공됨)
패키지 목록과 함께 다음과 같은 유용한 컨텍스트도 제공됩니다.
- 취약점 관련:
- 생태계와의 연결
- 시스템 영향
- 취약한 버전 목록
- 자동화를 위한 취약 버전 CPE
- 취약점이 패치된 권장 버전 목록
- OS 버전 지원(*nix 패키지용)
- 취약점 권고의 교차 링크
- 실제 공격 사례에서 사용되는 익스플로잇의 해시
- 악성 및 손상된 패키지 관련:
- 생태계와의 연결
- 시스템 영향: 맬웨어, 해킹 도구, 기타
- 심각도
- 손상된 패키지 버전 목록
- 손상된 패키지 버전의 해시
- CWE(공통 취약점 목록): 현재는 맬웨어 패키지에만 해당
오픈 소스 소프트웨어 위협 데이터 피드의 권장 사용 사례는 패키지 이름, 패키지 버전 등과 같은 하나 또는 여러 매개변수를 기준으로 피드의 패키지를 개발에 사용된 패키지와 일치시키는 것입니다.
피드는 JSON 형식으로 제공됩니다.
NB: Kaspersky는 텍스트 기반 피드만 제공하므로 일치 작업은 고객의 도구로 수행해야 합니다. 따라서 이 피드를 비롯한 모든 Kaspersky 데이터 피드는 Kaspersky 제품 채택을 주저할 수 있는 국가를 포함한 전 세계의 모든 기업 및 기관에서 100% 안전하게 사용할 수 있습니다.
더 알고 싶으시면 아래 문의하기 버튼을 클릭하고 Kaspersky® Open Source Software Threats Data Feed에 대한 추가 정보가 필요하다고 표시해 주십시오. Kaspersky 담당자가 곧 연락드리겠습니다.