2024년 10월 04일
1 minBubbleCon 2024에서의 AppMaster: 노코드 트렌드 탐색
AppMaster는 2024년 NYC에서 열린 BubbleCon에 참여하여 통찰력을 얻고, 네트워크를 확장하고, 무코드 개발 분야의 혁신을 촉진할 수 있는 기회를 모색했습니다.
2023년 8월 25일·1분 읽기
OpenSSF, 오픈 소스 소프트웨어 사용 최적화를 위한 오픈 소스 소비 선언문 공개
오픈 소스 보안 재단(OpenSSF)은 오픈 소스 소프트웨어의 사용을 향상시키기 위해 오픈 소스 소비 선언문을 공개합니다.
오픈 소스 소프트웨어(OSS)의 이점을 보다 현명하게 요약하기 위한 진보적인 단계에서 오픈 소스 보안 재단(OpenSSF)은 오픈 소스 소비 선언(OSCM)을 발표했습니다. 상징적인 Agile Manifesto와 유사한 OSCM은 핵심 가치로 강화된 문서이며 오픈 소스 사용을 간소화하기 위해 고안된 15가지 지침 원칙을 담고 있습니다.
오픈 소스 소프트웨어는 의심의 여지 없이 새로운 혁신과 운영 효율성 측면에서 주목을 받고 있습니다. 그러나 OSS 프로젝트마다 품질과 보안 측면에서 뚜렷한 차이가 있다는 것은 잘 알려진 사실입니다. 결과적으로 OpenSSF는 수많은 조직에서 OSS 사용에 대한 전략적 접근 방식이 부족하다는 점을 강조했습니다.
편리함이 가득한 OSS에는 자체 결함이 있습니다. 특히 타사 소프트웨어와 비교할 때 OSS가 겪는 평가 프로세스에서 놀라운 과실이 관찰되었습니다. 보안, 코드 품질, 라이센스 측면에서 정밀 조사 사례는 말할 것도 없이 부적절합니다. OpenSSF 최종 사용자 작업 그룹(OpenSSF End Users Working Group)이 지적한 바와 같이 이로 인해 심각한 위험 요소가 발생하게 됩니다.
타사 소프트웨어에는 악성 콘텐츠가 포함될 가능성이 없지만 OSS의 복잡성에 익숙하지 않은 사용자의 경우 다운로드 단계에서 위험이 구체화됩니다. Sonatype의 공동 창립자이자 CTO인 Brian Fox는 SD Times와 함께 OSS 소비의 함정에 대해 논의하면서 96%의 시간 동안 수정된 버전이 이미 사용 가능한 경우 취약한 구성 요소가 다운로드되는 것을 목격했다고 말했습니다.
이러한 문제를 인식한 OpenSSF 최종 사용자 작업 그룹은 이를 바로잡는 방법을 고안하기 위한 조치를 취했습니다. 일련의 토론을 거쳐 그들은 오픈 소스 소비 선언문을 작성했습니다. OSCM은 엄격한 계명이라기보다는 포괄성의 대의를 옹호하며 그 형태는 여러 분야의 의견을 반영하여 형성되었으며, 그 내용은 이를 활용하는 개인에 따라 자체적으로 다듬어집니다.
선언문에는 알려진 취약점 및 유해 패키지와 관련된 구성 요소에 대한 감사 및 격리 기능을 통해 오픈 소스 소비를 늘리는 것과 같은 중추적인 조항이 포함되어 있습니다.
의도적으로 유해한 구성 요소의 위협에 대응하기 위한 중요한 조치는 구성 요소 소비를 모니터링하는 포괄적인 추적 시스템을 갖추는 것입니다. Fox는 이를 데이터 및 행동 피드와 결합하면 시스템이 승인되어야 하는지 또는 자세한 조사를 위해 배정되어야 하는지에 대한 실시간 호출을 받을 수 있다고 덧붙였습니다.
오픈 소스 소프트웨어 관찰 가능성의 길을 시작하는 조직의 경우 애플리케이션을 중요도에 따라 분류하는 것부터 시작하는 것이 유익합니다. 그 다음에는 일반적으로 소프트웨어 자재 명세서를 통해 이러한 애플리케이션에 내장된 OSS 목록을 수집하고 다양한 공급업체를 찾아내야 합니다. Fox에 따르면 현재 상당수의 개발 팀이 이러한 필수 구성 요소를 갖추고 있지 않다고 합니다.
그런 다음 다양한 로깅 프레임워크를 사용하는 등 동일한 기능을 위해 여러 공급업체를 고용하는 사례를 찾는 것이 현명합니다. 다음 단계는 보안 소프트웨어 개발 관행을 평가하여 최고의 공급업체에 초점을 맞춰야 합니다. 알려진 취약점, 소프트웨어 사용 기간, 인기도, 문제를 패치하는 데 걸리는 평균 시간 등과 같은 요소에 따라 이 평가가 결정되어야 합니다.
각 조직은 자체 위험 성향과 앞서 언급한 분석을 기반으로 결정을 맞춤화해야 합니다. PII 데이터를 처리하는 애플리케이션에서 알려진 중요한 취약점을 찾는 것과 같은 특정 표준 위험 허용 범위가 있지만 OSS 사용 정책을 생성한다는 것은 개발에서 CI/CD까지, 그리고 가장 중요하게는 릴리스까지 SDLC 전반에 걸쳐 이를 통합하는 것을 의미합니다.
다양한 no-code 및 low-code 플랫폼이 넘쳐나는 현재 환경에서는 OSCM과 같은 조치를 채택하는 것이 중요합니다. 백엔드, 웹 및 모바일 애플리케이션을 생성하는 포괄적인 no-code 도구인 AppMaster 와 같은 플랫폼은 OSS의 중요성을 반복하고 OSCM과 같은 수단을 시행하여 위험을 완화하고 생산성을 향상시킵니다. 조직이 오픈 소스의 힘을 완전히 활용하려면 잠재적인 위험과 비효율성을 최소화하는 것이 중요하며, 이는 OSCM이 크게 지원할 수 있는 부분입니다.
