.png)
오늘날 기업들은 DevOps 라는 개념을 점점 더 많이 수용하고 있습니다. 즉시 사용 가능한 무료 오픈소스를 통해 기업들은 개발 비용과 시간을 절약하고 품질을 향상시킬 수 있습니다. 이는, 새로운 아이디어를 창출하고 확장할 수 있는 기회로도 이어집니다. 이렇게 많은 이점들로 보아, 애플리케이션의 85%가 오픈소스로 구성되어 있다는 것은 놀라운 일도 아닙니다. 하지만 오픈소스 사용은 양면적인 문제를 가지고 있습니다. Sonatype의 연구에 따르면 JAVA 에코시스템 내의 1/10에는 알려진 보안 취약점이 있고, Javascript 내에는 모든 구성요소의 51% 이상이 취약점을 갖고 있습니다. 이는 기업들이 직면한 보안 문제의 심각성을 보여줍니다. 또, 얼마나 많은 오픈소스가 사용되고 있는지에 대한 투명성이 매우 부족합니다. 따라서 오픈소스 및 DevOps는 적절한 통제가 반드시 필요합니다.
대부분의 기업은 이 문제를 해결하고 있지 못합니다만 지금은 행동으로 옮겨, 변화해야 하는 시기입니다. 다행히도 알려진 취약점 및 소프트웨어 공급망의 보안 부실과 관련된 많은 문제는 올바른 도구를 사용해 쉽게 해결할 수 있습니다. 오늘날 기업에서 소비하는 아티팩트가 증가하는 속도는 수작업을 통해 아티팩트의 상태를 파악하는 속도를 앞섭니다. 기계는 인간이 몇 시간에 걸려 결론을 도출할 문제를 수초 이내에 완료할 수 있습니다.
이제 아래의 "자동화"를 통해 보안 위협으로부터 벗어나고 혁신을 주도한 사례를 살펴보세요.
Endress+Hauser (Endress and Hauser)는 44개국에 100개의 회사 네트워크사를 보유하고 있으며 2017년에 21억 유로의 순매출을 달성한 프로세스 자동화 기업입니다. Endress and Hauser의 소프트웨어 개발 선임 Lars는 기존 워크플로우에서 오픈소스 컴포넌트와 라이브러리 사용시에 겪었던 많은 문제들을 인지하고 있었습니다.
“너무 많은 라이브러리가 다운로드 되어 사용되고 있었습니다. 컴포넌트나 라이브러리 사용에 대한 추적이나 모니터링이 없었습니다. 어느 라이브러리가 어디에 사용되었는지에 대한 단서 하나 남기지 않고 누구나 다운로드 할 수 있었습니다.”
Lars가 느낀 문제점의 원인은 수동 추적 프로세스의 사용이었습니다. “우리는 애플리케이션 수백개를 수동으로 추적하는 프로세스를 설정하였습니다. 15개의 라이브러리를 평가하고 나선 멈췄죠. 라이브러리 소비량이 너무 많아 처리하거나 측정할 방법이 없다고 판단했기 때문입니다.”
Endress and Hauser는 라이브러리 소비 추적과 모니터링에 대한 어려움에 당면해 있었습니다. 이를 해결하기 위해 다양한 솔루션을 검토하기 시작했고, 결국 Nexus Lifecycle을 수용했습니다. 오픈소스의 소프트웨어 라이센싱과 컴포넌트 취약성 관리하는데 Nexus Lifecycle이 최적의 솔루션임을 확인했기 때문입니다. Endress and Hauser는 Nexus Lifecycle이 다른 솔루션들과 비교해서 최소의 false positive를 보여준다는 것을 알아냈습니다.
“우리가 작업하려고 했던 일, 즉 프로덕션에 도달하기전에 모든 심각한 위험요소를 제거하는데 있어서 최고의 사용자 인터페이스였기 때문입니다.”
Lars가 오픈소스 소비 및 관리에 있어서 가지고 있었던 문제들은 Nexus Platform의 사용과 함께 사라졌습니다. Nexus Lifecycle은 개발 단계뿐만 아니라 프로덕션 단계에서도 배포된 컴포넌트를 자동적으로 추적하고 모니터 할 수 있게 합니다.
“우리는 멀티플 빌드를 위해 같은 라이브러리에 엑세스 할 수 있습니다. 어떤 버전이 어느 앱에 나타나는지에 이르기까지 전체 라이브러리를 통해 볼 수 있습니다.”
Sonatype Nexus Platform을 보안 파이프라인에 통합하면 프로덕션 단계전에 심각한 위험 요소가 제거됩니다.
Endress+Hauser가 Nexus Platform을 선택한 이유를 물었을 때마다 Lars는 주저 없이 대답했습니다.
“우리의 목표는 Nexus Lifecycle의 자동화 평가 없이 어떠한 애플리케이션도 프로덕션 단계로 넘어가지 못하게 하는 것입니다. Nexus Lifecycle은 작업을 더 쉽게 만들어 줄 뿐만 아니라, 우리의 보안 프로세스를 단순화해줍니다. “
Lars는 Nexus Platform에 대한 만족감을 나타내며 결론지었습니다.
1992년에 설립한 Discovery Health는 남아프리카 의료보장 제도의 선두적인 역할을 하고 있습니다. 현재 320만 명이 넘는 가입자들에게 관리형 케어 서비스를 제공하고 있으며 남아프리카의 전체 의료 시장에서 38%의 시장 점유율을 차지하고 있습니다.
Discovery Health의 시스템 설계자인 Nick Alexander는 Nexus Lifecycle을 발견하기 이전에 직면하고 있었던 과제들을 설명했습니다.
“우리는 Nexus Repository 관리자들 내에서 개발자들이 사용할 수 있는 소프트웨어 컴포넌트들을 수동으로 제한하려고 했습니다. 우리는 어떤 아티팩트를 사용할 수 있는지 결정하기 위한 수동 승인 과정이 있었습니다. 시간이 많이 걸리는 작업인데, 결국 어느 순간부터는 새로운 컴포넌트가 사용 승인을 요청하는 경우 무조건 승인 거부될 정도까지 성능이 저하되었습니다. 보안이나 라이선스 위험에 대한 특정 컴포넌트들을 식별하거나 분석할 시간 또한 없었습니다.”
Alexander는 “개발 생명 주기 전반에 걸쳐 컴포넌트 취약성들을 모니터링 할 수 있는 가시성 또한 적었습니다. 자동화가 없다면, 유지하는 것은 힘든 일이었습니다.”라고 말했습니다.
Discovery Health는 ‘오픈소스 컴포넌트 소비정책 자동화하기’라는 도전 과제가 있었습니다. 그리고 Nexus Lifecycle을 도입해 수동 과정에 대한 리스크와 해커로부터 공격받을 가능성을 줄였습니다.
Next Lifecycle을 사용하는 중요한 요인은 모든 팀이 지속적으로 또한 자동적으로 새로 고쳐지는 컴포넌트 데이터에 액세스할 수 있다는 것입니다. 개발 파이프라인이나 프로덕션에 걸쳐 컴포넌트가 사용되어지는 어디에서든, 모든 팀 일원은 가장 최신의 컴포넌트 정보에 액세스하고 거버넌스 정책을 준수할 수 있습니다.
Alexander는 “전이 종속성(transition dependencies)이 프로젝트에 포함되었을 수 있기 때문에, 우리의 실제 보안 위험에 대한 가시성이 매우 적다.” 고 말했습니다.
“우리는 이제 배포단계와 프로덕션에서 Nexus Lifecycle 알림을 사용합니다. 만일 우리가 배포단계에서 컴포넌트만을 분석했다면, 프로덕션 단계에서 컴포넌트와 관련된 새로운 취약점들이 꽤 오랜 시간 남아있었을 것입니다. Nexus Lifecycle이 없었다면, 우리는 취약성에 대한 가시성이 거의 없었을 것입니다.”
Nexus Lifecycle의 사용은 팀 전체에서 유기적으로 증가하기 시작했습니다. 1,000개의 애플리케이션 서버 인스턴스를 옮기는 기존의 Discovery Health의 수동 컴포넌트 거버넌스는 실용적이지 않고 오류가 발생하기 쉬웠습니다. Discovery Health는 Nexus Lifecycle을 사용하면서 모든 이점을 누릴 수 있게 되었습니다.
“우리 애플리케이션에서는 오픈소스 취약점에 대한 지속적인 모니터링과 알림이 필요합니다. 그리고 그것을 Nexus Repository와 Nexus Lifecyle이 제공합니다.”
OSCKorea에서는 지난 3월 “여러분의 소프트웨어공급망은 안전하십니까?’ 라는 제목으로 웨비나를 진행했습니다. 이후, 참석자분들께 Nexus Platform에 대한 정보를 공유드리고있습니다. 지난 메일이 궁금하신 분들은 아래 링크를 클릭하시어 웨비나 다시보기 영상, 발표자료와 제공된 요약 내용을 살펴보시길 바랍니다.
지난 메일 다시보기 : https://stib.ee/q615
.png)
