깃허브(GitHub)에서 개발자 노리는 새로운 ‘오픈소스 공급망 공격’ 발생..
최근 공격 캠페인에서 사이버 범죄자가 깃허브(GitHub)의 검색 기능을 교묘하게 조작하고 정교하게 제작된 리포지토리를 사용하여 악성 코드를 배포하는 것이 발견되었습니다.
최근 공격 캠페인에서 사이버 범죄자가 깃허브(GitHub)의 검색 기능을 교묘하게 조작하고 정교하게 제작된 리포지토리를 사용하여 악성 코드를 배포하는 것이 발견되었습니다.
오픈 소스 소프트웨어 공급망을 표적으로 삼는 공급망 공격이 급증했습니다. 공격자들은 서드 파티 공급업체, 해당 시스템 및 플랫폼을 추구하는 대신 개발자의 가장 친한 친구인 오픈 소스 소프트웨어를 표적으로 삼아 개발자를 직접 겨냥하기 시작했습니다.
파일 압축을 위해 많은 Linux 배포판에서 사용하는 도구인 xz 프로젝트는 점차적으로 프로젝트를 장악하고 백도어를 삽입한 악의적인 행위자에 의해 손상되었습니다. 2024년 3월 29일 Andres Freund라는 개발자가 성능 테스트 중 우연히 발견한 이 공격은 GitHub 계정 Jia Tan(JiaT75)에 의해 수년에 걸쳐 수행되었으며, 그는 GitHub의 오랜 관리자의 신뢰를 얻었습니다. xz 프로젝트를 진행하고 결국 이를 주요 연락 창구로 교체했습니다.
소프트웨어 공급망 보안은 하나의 여정이므로 지금 소프트웨어 공급망을 보호하기 위한 조치를 취하는 것이 중요합니다. 체크막스는 코드 패키지에서 공급망 공격을 감지하여 개발자의 진화하는 워크스테이션을 보호하면 위험을 줄이면서 신속한 개발을 지원합니다.
토네이도 캐시(Tornado Cash)는 이더리움(Ethereum) 블록체인을 기반으로 구축된 분산형 개인 정보 보호 솔루션으로, 사용자에게 비구속적이고 익명적인 거래를 제공합니다.
Checkmarx의 최고 고객 책임자인 Yoav Ziv가 The European Financial Review와의 인터뷰를 통해 설명한 ‘오픈 소스 소프트웨어가 금융 회사에 미칠 수 있는 잠재적인 위협과 이러한 위험을 해결하고 고객과의 신뢰를 유지할 수 있는 방법’을 소개해드립니다.
최근 많은 관심을 받고 있는 SBOM과 관련하여 SBOM의 필요성, 애플리케이션 보안에서의 역할, 그리고 SBOM 작성 방법 등을 소개합니다.
SCA(소프트웨어 구성 분석)는 애플리케이션 내의 오픈 소스 또는 서드 파티 구성 요소를 감지하고 식별하는 것입니다. 취약점, 잠재적인 라이선스 충돌 및 이러한 요소와 관련된 오래된 라이브러리에 대한 자세한 위험 측정 기준을 제공합니다.
AST 글로벌 리더 기업인 체크막스와 체결한 이번 VAR 파트너십을 통해 소프트와이드시큐리티는 소프트웨어 구성 분석(SCA) 솔루션을 기반으로 오픈소스 소프트웨어 공급망 보안(Supply Chain Security, SCS) 시장을 적극 공략할 예정이다.
[디지털투데이 황치규 기자]소프트와이드시큐리티는 이스라엘 애플리케이션 보안 테스팅(AST) 전문기업 체크막스와 밸류 애디드 리셀러(Value Added Reseller, VAR) 계약을 체결하고 오픈소스 보안 시장 공략에 나선다고 8일 밝혔다.