ClickCease 업데이트하고 싶지만 패키지가 없습니다.

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

업데이트하고 싶지만 패키지가 없습니다.

조아오 코레이아

2024년 2월 26일 - 기술 에반젤리스트

 

-공급망 취약점을 수정하고 싶지만 사용 중인 환경에 사용할 수 있는 업데이트가 없는 경우

-오픈소스 패키지의 유지 관리는 대부분 자발적으로 이루어집니다.

-구형 패키지를 사용하는 것은 새 버전을 아예 사용하지 않는 것만큼이나 위험합니다.

 

공급망 공격은 개별 개발자 라이브러리 손상부터 전체 GitHub 리포지토리 및 업데이트 프로세스 탈취에 이르기까지 모든 형태와 형태로 나타납니다. 이러한 위협은 소프트웨어 공급망에 내재된 복잡성과 취약성을 강조했습니다. 그러나 그에 못지않게 시급하지만 덜 논의된 측면은 다양한 Linux 배포판에서 Java 종속성을 패키징하고 릴리스하는 고된 프로세스입니다.

이 문제는 주로 자발적으로 실행되는 핵심 Java 패키지에서 라이브러리를 별도로 패키징하는 데서 비롯됩니다. 이 모델은 커뮤니티 정신에 기반을 두고 있지만 새 버전(종종 중요한 보안 수정 사항이 포함된)에 대한 액세스가 지연되거나 더 심각한 시나리오에서는 관리자가 패키지를 완전히 포기하는 등 심각한 위험을 낳습니다. 이러한 중단은 더 이상 사용되지 않거나 액세스할 수 없는 라이브러리 또는 더 위험한 경우 오래된 버전이 리포지토리에 남아 보안 취약성의 시한폭탄이 될 수 있습니다.

예를 들어, 드비앙의 거대한 환경에서 유사한 상황을 생각해 보겠습니다. nodejs 모듈이 각각 별도의 패키지로 제공되는 상황을 예로 들어보겠습니다. 이러한 접근 방식은 유지 관리가 필요한 패키지가 계속 늘어나면서 작업량과 보안 감독 가능성이 기하급수적으로 증가하는 결과를 초래합니다.

전체 오픈 소스 커뮤니티의 공통 관심사인 기존 코드를 유지 관리하고, 필요에 따라 업데이트하고, 문제를 해결하고, 수많은 배포판과 환경에 적절하게 패키징된 파일을 배포하는 것은 거의 극복할 수 없는 문제입니다. 여기에 최선을 다하는 자원봉사에 기반한 프로세스가 더해지면 시한폭탄이 되어 어느 순간 누군가는 특정 배포판의 특정 패키지를 적시에 업데이트할 시간이 없을 것이고, 바로 그 시점이 인프라를 사용하고 기반을 두고 있는 바로 그 순간이 될 수 있습니다.

 

(xkcd 2347: 종속성)

 

위험: 단순한 코드 그 이상

 

이 디지털 고양이와 쥐의 게임에는 단순한 시스템 무결성 이상의 위험이 도사리고 있습니다. 우리는 스파이 활동, 개인 및 기업 데이터의 도난, 재정적 손실의 위험과 씨름하고 있습니다. 

공급망 공격 벡터는 소프트웨어 개발의 여러 차원을 포괄하기 때문에 사내에서 효과적으로 대응하는 것은 매우 어려운 일이 됩니다. 리소스를 보유하고 있는 조직은 거의 없으며, 이러한 위험한 수렁을 헤쳐 나갈 수 있는 전문성을 갖춘 조직은 더더욱 드뭅니다. 어떤 경우에는 개발 또는 프로덕션 환경에 필요한 패키지를 쉽게 구할 수 없거나 최신 버전이 아닐 수도 있기 때문에 이 문제는 단순히 기념비적일 뿐만 아니라 극복할 수 없는 문제이기도 합니다.

 

반면에...

 

바로 여기에서 노골적인 구세주가 아닌, 공급망 취약성에 맞서 싸우는 미묘하지만 강력한 동맹으로서 Java용 SecureChain이 등장합니다. SecureChain for Java는 Java 개발 파이프라인에 통합된 종속성에 악의적인 요소가 없도록 세심하게 선별된 안전하고 검증된 Java 종속성 저장소를 나타냅니다. 

개발 파이프라인의 이러한 측면을 중앙 집중화하고 보호함으로써 SecureChain for Java는 개별 개발자와 조직의 부담을 덜어줍니다. 거의 불가능에 가까웠던 각 종속성을 검사하는 어려운 작업을 관리 가능하고 간소화된 프로세스로 전환합니다.

Java용 SecureChain에 무료로 액세스하세요. 에 액세스하세요.

 

요약
업데이트하고 싶지만 패키지가 없습니다.
기사 이름
업데이트하고 싶지만 패키지가 없습니다.
설명
공급망의 취약성과 오래된 패키지를 사용하는 것이 새 버전을 사용하지 않는 것만큼이나 위험한 이유에 대해 알아보세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기