코드베이스의 84%에서 최소 하나 이상의 오픈 소스 취약점 발견
거의 모든 소프트웨어가 오픈 소스 코드를 사용하는 현재 시나리오에서 84%에서 적어도 하나의 알려진 오픈 소스 취약점이 발견되었습니다. 애플리케이션 보안 회사인 Synopsys의 연구원들은 모든 상용 및 독점 코드 기반에서 취약점을 조사하고 발견했습니다.
또한 시놉시스 연구원들은 분석한 코드 베이스의 48%에서 고위험 취약점이 존재한다는 사실도 발견했습니다. 이러한 취약점은 활발하게 악용되고 있거나, 이미 문서화된 개념 증명 익스플로잇이 있거나, 원격 코드 실행 취약점으로 분류됩니다.
Synopsys의 오픈 소스 보안 및 위험 분석 (OSSRA) 2023 보고서에는 오픈 소스 라이선스 준수 및 취약성 정보에 대한 데이터가 포함되어 있습니다. 또한 감사 서비스 팀은 인수합병 거래에 포함된 코드 베이스에 대한 감사를 수행했습니다. 이 보고서에는 17개 산업 분야의 오픈소스 사용 동향이 포함되어 있습니다.
총 1,481개의 코드베이스에 대해 취약성 및 오픈소스 라이선스 준수 여부를 분석했으며, 추가로 222개의 코드베이스에 대해서는 규정 준수 여부만 조사했습니다.
오픈 소스 취약성 증가
OSSRA 보고서에 따르면 알려진 오픈 소스 취약점의 수가 전년 대비 4% 증가했습니다. 이 연구에서 조사한 모든 코드 베이스는 항공우주, 항공, 자동차, 운송 및 물류 산업에 속한 기업에서 입수한 것입니다. 전체적으로 전체 코드의 73%가 오픈 소스 코드를 포함하고 있는 것으로 나타났습니다.
OSSRA 보고서에 따르면 지난 5년 동안 모든 산업 분야의 코드 베이스에서 오픈 소스 코드의 비율이 증가하고 있습니다. 2018년부터 2022년까지 조사 대상 코드 기반 내 오픈 소스 코드의 비율은 교육 기술 부문에서 163% 증가했습니다.
항공우주, 항공, 자동차, 운송 및 물류 부문에서는 97% 증가했습니다. 제조 및 물류 부문에서는 그 비율이 163% 증가했습니다.
보고서에 따르면 모든 산업에서 고위험 취약점이 급증했습니다. 항공우주, 항공, 자동차, 운송 및 물류 산업에 속한 기업의 고위험 취약성은 5년 동안 232% 증가했습니다. IoT 관련 코드 베이스의 고위험 취약성은 2018년 이후 130% 증가했습니다.
전체 코드의 63%에서 CVSS 심각도 점수가 7점 이상인 고위험 취약점이 여러 개 발견되었습니다. 에너지 및 청정 기술 부문에서는 전체 코드의 78%가 오픈 소스였으며, 이 중 69%가 고위험 취약점을 가지고 있었습니다.
패치를 사용할 수 있지만 적용되지 않은 경우
연구진이 분석한 1,481개의 코드 베이스 중 91%가 오래된 버전의 오픈소스 컴포넌트를 사용하고 있었습니다. 이는 업데이트 또는 패치를 사용할 수 있었지만 적용되지 않았음을 나타냅니다.
이에 대한 한 가지 가능한 설명은 데브시크옵스 팀이 최신 버전을 적용함으로써 얻을 수 있는 잠재적 이점보다 의도하지 않은 결과가 초래될 위험이 더 크다고 생각할 수 있다는 것입니다. 또한 연구자들은 시간과 리소스도 영향을 미치는 요인이 될 수 있다고 제안합니다.
이 보고서는 개발팀이 사용 가능한 최신 버전의 오픈소스 구성 요소를 알지 못할 수 있다는 점을 강조했습니다. 어떤 경우에는 이러한 구성 요소의 존재조차 모를 수도 있습니다.
소프트웨어 자재 명세서(SBOM)
보고서에 따르면 소프트웨어 자재 명세서(SBOM)를 활용하면 조직이 취약점 익스플로잇을 방지하고 최신 오픈 소스 코드를 유지하는 데 도움이 될 수 있습니다.
포괄적인 SBOM은 라이선스, 버전 및 패치 상태에 대한 정보와 함께 애플리케이션에 사용되는 모든 오픈 소스 구성 요소를 그룹화합니다. 오픈 소스 구성 요소의 SBOM을 생성함으로써 조직은 고위험 구성 요소를 빠르게 식별하고 필요한 수정의 우선순위를 효과적으로 정할 수 있습니다.
이러한 오픈소스 취약성 통계는 많은 조직이 코드 보호를 위한 중요한 조치를 소홀히 하고 있으며, 이로 인해 잠재적인 보안 위협에 노출될 수 있다는 점에서 우려스러운 결과입니다. 적절한 도구를 활용하고 효과적인 프로세스를 구축함으로써 조직은 코드를 보호하고 보안 침해 가능성으로부터 스스로를 보호할 수 있습니다.
이 글의 출처에는 CSO의 이야기가 포함되어 있습니다.