50년간의 오픈소스 소프트웨어 공급망 보안: Multics부터 xz 공격까지
2025-04-07
이 글에서는 지난 50년간 오픈소스 소프트웨어 공급망 보안이 직면한 과제를 살펴봅니다. 1974년 Multics 시스템 보안 평가에서 발견된 잠재적인 백도어부터 2024년 xz 압축 라이브러리 백도어 공격까지 문제는 여전히 지속되고 있습니다. Go 프로그래밍 언어의 핵심 개발자인 Russ Cox는 자신의 경험과 업계 사례를 바탕으로 소프트웨어 공급망 공격 및 취약성의 정의, 소프트웨어 공급망의 복잡성, 방어 강화 방법에 대해 논의합니다. 여기에는 소프트웨어 인증, 재현 가능한 빌드, 취약성의 신속한 발견 및 수정, 취약성 예방 전략 등이 포함됩니다. 이 글에서는 오픈소스 소프트웨어의 자금 부족 문제를 강조하고 xz 공격을 예로 들어 악의적인 행위자에 대한 프로젝트의 취약성을 설명합니다. 결론적으로 저자는 진화하는 위협에 대처하기 위해 오픈소스에 대한 자금 지원 증가와 보안 강화를 촉구합니다.
기술