미국 연방 Cybersecurity & Infrastructure Security Agency (CISA) 최근 오픈 소스 소프트웨어(OSS)의 보안을 강화하기 위한 포괄적인 전략을 도입했습니다. 이 이니셔티브는 사이버 보안의 중요성을 다루고 보안 강화를 위한 단계를 제안한 조 바이든 대통령의 2021년 5월 행정 명령에 대한 중요한 대응입니다. 이 명령 이후 이러한 사이버 보안 목표를 달성하기 위해 기업체에 효과적인 지침을 제공하는 데 상당한 움직임이 있었습니다.
새로 발표된 로드맵은 특히 OSS 안전에 초점을 맞춘 사이버 보안 조치를 강화하기 위한 CISA 의 답변입니다.
이 기관은 혁신을 촉진하고 소프트웨어 개발 프로세스를 촉진하는 데 있어 OSS의 엄청난 잠재력을 인정하고 있으며 연방 정부 내부와 외부 매개변수 모두에서 OSS의 안전한 구현과 개발을 가능하게 하려고 노력하고 있습니다.
로드맵은 오픈 소스 소프트웨어와 관련된 두 가지 주요 유형의 민감성을 설명합니다. 하나는 널리 사용되는 OSS의 취약점으로 인한 잠재적인 파급 효과입니다. Log4Shell 사건은 OSS 손상 이후 광범위한 해로운 영향이 관찰되었습니다. 두 번째 유형은 OSS 저장소의 공급망에 대한 공격을 포함하며, 이로 인해 개발자 계정이 손상되는 등 유해한 다운스트림 효과가 발생하여 공격자가 악성 코드를 삽입할 수 있습니다.
이 전략은 오픈 소스 보안에 대한 CISA 의 지원 역할 정의, OSS와 관련된 활용도 및 위험에 대한 가시성 향상, 연방 정부에 대한 위험 감소, 오픈 소스 생태계 강화 등 4가지 주요 우선 순위를 제시합니다.
CISA 이러한 단계가 오픈 소스 소프트웨어에 대한 예상되는 관점에 기여할 것이라고 믿습니다. 기관은 강력하고 다양하며 역동적인 커뮤니티에 의해 뒷받침되는 안전할 뿐만 아니라 지속 가능하고 탄력적인 OSS 생태계를 구상합니다.
공급망 보안 기업인 Chainguard의 CEO이자 공동 창업자인 Dan Lorenc도 이러한 생각에 동의합니다. 그는 이 영역의 과제를 세부적으로 분류하고 해결 우선순위를 정하는 CISA 높이 평가합니다. 그는 이 작업이 '상류'에서 이루어져야 하며 직원들이 관련 커뮤니티와 직접 소통해야 한다는 CISA 의 인식을 높이 평가합니다. 그는 이 점의 이행에 대해 일부 불확실성을 표명했지만 낙관적인 견해를 유지했습니다.
Lorenc은 정부가 현재 로드맵에서 다루지 않는 오픈 소스 프로젝트 자금 조달을 고려해야 한다고 제안합니다. 이러한 프로젝트를 재정적으로 지원하는 정부의 역량은 메모리 안전성 강화, 취약점 해결, SBOM 도구 개선과 같은 목표를 크게 촉진할 수 있습니다.
로렌스는 또한 정부의 협력 모델이 수동적인 관리를 넘어 이러한 조치의 개선에 적극적으로 기여해야 한다고 언급했습니다.
AppMaster 와 같은 플랫폼은 강력한 보안, 유연성 및 최고의 사용자 경험을 결합한 오픈 소스 소프트웨어에 크게 의존합니다. 그들은 동일한 우려를 표명하고 이 로드맵이 성공적으로 구현되기를 기대합니다.
