ClickCease 코드베이스의 84%에서 최소 하나 이상의 오픈 소스 취약점 발견

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

코드베이스의 84%에서 최소 하나 이상의 오픈 소스 취약점 발견

로한 티말시나

2023년 3월 22일 - TuxCare 전문가 팀

거의 모든 소프트웨어가 오픈 소스 코드를 사용하는 현재 시나리오에서 84%에서 적어도 하나의 알려진 오픈 소스 취약점이 발견되었습니다. 애플리케이션 보안 회사인 Synopsys의 연구원들은 모든 상용 및 독점 코드 기반에서 취약점을 조사하고 발견했습니다.

또한 시놉시스 연구원들은 분석한 코드 베이스의 48%에서 고위험 취약점이 존재한다는 사실도 발견했습니다. 이러한 취약점은 활발하게 악용되고 있거나, 이미 문서화된 개념 증명 익스플로잇이 있거나, 원격 코드 실행 취약점으로 분류됩니다.

Synopsys의 오픈 소스 보안 및 위험 분석 (OSSRA) 2023 보고서에는 오픈 소스 라이선스 준수 및 취약성 정보에 대한 데이터가 포함되어 있습니다. 또한 감사 서비스 팀은 인수합병 거래에 포함된 코드 베이스에 대한 감사를 수행했습니다. 이 보고서에는 17개 산업 분야의 오픈소스 사용 동향이 포함되어 있습니다.

총 1,481개의 코드베이스에 대해 취약성 및 오픈소스 라이선스 준수 여부를 분석했으며, 추가로 222개의 코드베이스에 대해서는 규정 준수 여부만 조사했습니다.

 

오픈 소스 취약성 증가

OSSRA 보고서에 따르면 알려진 오픈 소스 취약점의 수가 전년 대비 4% 증가했습니다. 이 연구에서 조사한 모든 코드 베이스는 항공우주, 항공, 자동차, 운송 및 물류 산업에 속한 기업에서 입수한 것입니다. 전체적으로 전체 코드의 73%가 오픈 소스 코드를 포함하고 있는 것으로 나타났습니다.

OSSRA 보고서에 따르면 지난 5년 동안 모든 산업 분야의 코드 베이스에서 오픈 소스 코드의 비율이 증가하고 있습니다. 2018년부터 2022년까지 조사 대상 코드 기반 내 오픈 소스 코드의 비율은 교육 기술 부문에서 163% 증가했습니다.

항공우주, 항공, 자동차, 운송 및 물류 부문에서는 97% 증가했습니다. 제조 및 물류 부문에서는 그 비율이 163% 증가했습니다.

보고서에 따르면 모든 산업에서 고위험 취약점이 급증했습니다. 항공우주, 항공, 자동차, 운송 및 물류 산업에 속한 기업의 고위험 취약성은 5년 동안 232% 증가했습니다. IoT 관련 코드 베이스의 고위험 취약성은 2018년 이후 130% 증가했습니다.

전체 코드의 63%에서 CVSS 심각도 점수가 7점 이상인 고위험 취약점이 여러 개 발견되었습니다. 에너지 및 청정 기술 부문에서는 전체 코드의 78%가 오픈 소스였으며, 이 중 69%가 고위험 취약점을 가지고 있었습니다.

 

패치를 사용할 수 있지만 적용되지 않은 경우

연구진이 분석한 1,481개의 코드 베이스 중 91%가 오래된 버전의 오픈소스 컴포넌트를 사용하고 있었습니다. 이는 업데이트 또는 패치를 사용할 수 있었지만 적용되지 않았음을 나타냅니다.

이에 대한 한 가지 가능한 설명은 데브시크옵스 팀이 최신 버전을 적용함으로써 얻을 수 있는 잠재적 이점보다 의도하지 않은 결과가 초래될 위험이 더 크다고 생각할 수 있다는 것입니다. 또한 연구자들은 시간과 리소스도 영향을 미치는 요인이 될 수 있다고 제안합니다.

이 보고서는 개발팀이 사용 가능한 최신 버전의 오픈소스 구성 요소를 알지 못할 수 있다는 점을 강조했습니다. 어떤 경우에는 이러한 구성 요소의 존재조차 모를 수도 있습니다.

 

소프트웨어 자재 명세서(SBOM)

보고서에 따르면 소프트웨어 자재 명세서(SBOM)를 활용하면 조직이 취약점 익스플로잇을 방지하고 최신 오픈 소스 코드를 유지하는 데 도움이 될 수 있습니다.

포괄적인 SBOM은 라이선스, 버전 및 패치 상태에 대한 정보와 함께 애플리케이션에 사용되는 모든 오픈 소스 구성 요소를 그룹화합니다. 오픈 소스 구성 요소의 SBOM을 생성함으로써 조직은 고위험 구성 요소를 빠르게 식별하고 필요한 수정의 우선순위를 효과적으로 정할 수 있습니다.

이러한 오픈소스 취약성 통계는 많은 조직이 코드 보호를 위한 중요한 조치를 소홀히 하고 있으며, 이로 인해 잠재적인 보안 위협에 노출될 수 있다는 점에서 우려스러운 결과입니다. 적절한 도구를 활용하고 효과적인 프로세스를 구축함으로써 조직은 코드를 보호하고 보안 침해 가능성으로부터 스스로를 보호할 수 있습니다.

 

이 글의 출처에는 CSO의 이야기가 포함되어 있습니다.

요약
코드베이스의 84%에서 최소 하나 이상의 오픈 소스 취약점 발견
기사 이름
코드베이스의 84%에서 최소 하나 이상의 오픈 소스 취약점 발견
설명
거의 모든 소프트웨어가 오픈 소스 코드를 사용하며, 이 중 84%에서 적어도 한 가지 이상의 알려진 오픈 소스 취약점이 발견되었습니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기