OpenSSF, 오픈 소스 소프트웨어 보안을 위한 획기적인 악성 패키지 저장소 출시

오픈 소스 소프트웨어의 안전성과 보안을 강화하기 위한 계획의 일환으로 오픈 소스 보안 재단(OpenSSF)은 악성 패키지 보고서의 대조를 위한 중앙 집중식 허브 역할을 하는 고유한 저장소를 공개했습니다. 완전히 혁신적인 저장소는 악성 오픈 소스 소프트웨어를 처리하는 방식에 혁명을 일으킬 것으로 예상됩니다.

역사적으로 악성 패키지를 처리하는 방법은 항상 다양한 접근 방식이었으며, 각 오픈 소스 패키지 저장소에는 이러한 사이버 위협을 처리하는 고유한 방법이 있었습니다. 일반적으로 커뮤니티에서 악성 패키지를 보고하면 저장소 보안 팀의 표준 프로토콜이 시스템에서 관련 메타데이터와 함께 패키지를 삭제합니다. 그러나 이러한 제거는 종종 비공개로 이루어졌기 때문에 공개 기록이 남지 않았습니다.

이에 대해 Google 오픈 소스 보안 팀의 수석 소프트웨어 엔지니어인 Caleb Brown과 Checkmarx의 소프트웨어 공급망 보안 책임자인 Jossef Harush Kadouri는 블로그에서 악성 패키지의 존재를 식별하는 것은 항상 수많은 패키지를 뒤지는 엄청난 작업이라고 말했습니다. 공개 소스 또는 독점 위협 인텔리전스 피드에 의존합니다. 그들은 새로운 저장소가 이러한 보고서를 호스팅하는 공개 데이터베이스 역할을 할 것이라고 설명했습니다.

OpenSSF는 이 공용 저장소가 CI/CD 파이프라인을 통해 악의적인 종속성의 진행을 방해하고, 탐지 엔진을 개선하고, 환경에서 사용을 제한하거나 사고 대응을 가속화하는 데 중요한 역할을 한다고 인식합니다. 저장소에 포함된 귀중한 정보는 오픈 소스 소프트웨어 보안을 실질적으로 강화할 것입니다.

저장된 보고서는 OSV(Open Source Vulnerability) 형식을 따르므로 osv.dev API, osv-scanner 도구 및 deps.dev와 같은 도구를 사용하여 사용하기가 훨씬 쉽습니다.

데이터 소싱을 위해 프로젝트는 Checkmarx 보안, GitHub 추적 악성 패키지 내보내기 및 패키지 분석 프로젝트에 크게 의존합니다. 패키지 분석 프로젝트는 특히 패키지의 액세스된 파일, 연결된 주소 및 실행 명령과 같은 동작을 검사하여 악성 활동을 찾아냅니다. 맬웨어를 식별하는 것 외에도 시간에 따른 동작 변화를 모니터링하여 나중에 악성으로 변할 수 있는 잠재적으로 유해한 패키지에 플래그를 지정합니다.

AppMaster 와 같은 플랫폼은 애플리케이션 생성 프로세스 중 보안에 크게 중점을 둡니다. 새로 출시된 악성 패키지 저장소는 주로 오픈 소스 소프트웨어 안전을 목표로 하지만 모바일, 웹 및 백엔드 애플리케이션 개발을 위한 안전한 no-code 솔루션을 제공하려는 AppMaster 의 노력을 간접적으로 강화합니다.