CASE STUDY
고객사별 OpenMSA™ 도입 사례와 결과를 확인해보세요.

OSC Tech News

다양한 소식을 전합니다.
OSC Korea 월간 뉴스레터 받아보기 💌

OSC Korea의 Ellen이 매월 넷째주 화요일 전해드리는 IT 소식!

IT 관련 종사자가 궁금해하는, 알아야하는 정보들을 담았어요.
Opensource, DevOps, Cloud, MSA 그리고 IT 트렌드까지!
한 달에 한 번만 메일함으로 찾아갈게요😊
OSC 월간 뉴스레터 받아보기💌

개인정보 수집 및 이용

뉴스레터 발송을 위한 최소한의 개인정보를 수집하고 이용합니다. 수집된 정보는 발송 외 다른 목적으로 이용되지 않으며, 서비스가 종료되거나 구독을 해지할 경우 즉시 파기됩니다.

Blog

2021년 소프트웨어 공급망 현황 보고서 : 오픈 소스 보안 및 종속성 관리가 중심

2021. 09. 15 2021 State of the Software Supply Chain: Open Source Security and Dependency Management Take Center Stage
원문보기

Sonatype에서 발행한 2021년 소프트웨어 공급망 현황 보고서를 요약해서 소개하려고 합니다.

지난 1년간 Java (Maven Central), JavaScript(npmjs), Python (PyPI), 및 .Net (nuget) 에코시스템에서10만여 개의 어플리케이션, 그리고 4백만개의 컴포넌트를 연구분석한 결과가 발표되었습니다. (Sonatype은 전세계적으로 10만여개의 오픈소스 저장소를 관리하고 있기 때문에 가능한 일입니다)

 

1년사이에 상위 4개의 오픈소스 에코시스템을 통해 공급되는 컴포넌트는 37,451,682개로 20% 증가했고 2.2조회 다운로드를 기록하여 수요는 73% 증가했다고 하네요

 

오픈소스 공급망 공력은 650% 증가했는데 수많은 오픈소스 프로젝트들이 있지만 이중 상위 6%만 활용되고 있다고 합니다. 

그런데 29%의 인기있는 프로젝트에서 보안취약점이 나온 반면 그 외 비인기 프로젝트에서는 6.5%만 나왔다고 하니 인기 있는 프로젝트일수록 취약성이 노출될 가능성이 많다고 볼 수 있겠습니다.

 

많이 사용되는 오픈소스 프로젝트가 오히려 보안취약점을 많이 가지고 있으니 현명하게 최적의 오픈소스를 선택하는 프로세스를 자동화하는 방안이 표준화될 필요가 있을 것 같습니다.

평균 업데이트 시간(MTTU)이 빠른 프로젝트는 취약점을 가질 확률이 1.8배 적었고 많이 사용되는 오픈소스 프로젝트는 그렇지 않은 경우보다 2.8배 취약점이 많았기 때문에 인기도로 보안을 평가할 수는 없다고 하겠습니다. 

 

오픈소스 의존성관리는 개발팀마다 많은 차이점이 있는데 소프트웨어 의존성을 업데이트할 때 최적의 선택을 하지 못하는 경우가 69%나 되었다고 합니다. 새로운 버전이 일반적으로 낫지만 항상 최상의 선택은 아니기 때문이죠

통상 25%의 컴포넌트만 관리하고 그 외에는 관리되지 않아서 보안 위험에 노출되어 있다고 합니다. 자동화를 통해 최적의 업그레이드를 진행한다면 한 해 $192,000를 절감할 수 있다고 합니다. 예를 들어 20개의 개발팀이 있는 중견기업이 일년에 160 Man Days를 절감할 수 있다는 것이죠

대부분 결함이 있는 컴포넌트를 잘 관리한다고 생각하지만 실제로는 최적의 의사결정을 도와주는 가이드가 없다 보니 최적의 선택을 하지 못하는 경우가 많다고 합니다.

2021년 소프트웨어 공급망 현황 보고서 전문은 original link에서 확인하실 수 있습니다.

BENEFITS
2021. 09. 15 2021 State of the Software Supply Chain: Open Source Security and Dependency Management Take Center Stage

Latest posts