 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
2024년 OSSRA 보고서는 Synopsys Cybersecurity Research Center(CyRC)에서 진행한 17개 산업 분야의 1000개 이상의 상용 코드베이스 감사 결과를 익명화 하여서 분석 했다. OSSRA보고서는 보안, 개발 및 법률 팀에게 오픈 소스 소프트웨어의 채택 및 사용 추세, 보안 취약성 확산, 소프트웨어 라이선스 및 코드 품질 위험 등 오픈 소스 환경에 대한 포괄적인 정보를 제공한다.
하나 이상의 오픈 소스 취약점을 포함하는 코드베이스는 84%로 전년과 비슷한 수준을 유지했지만, 2023년에는 훨씬 더 많은 코드베이스에 고위험 취약점이 포함되어 있었다. 이는 경제 불안정과 그에 따른 기술 인력 해고와 같은 변수로 인해 취약점을 패치하는 데 투입할 수 있는 리소스의 수가 감소했기 때문일 수 있다는 설명이다.
분석된 데이터에 따르면, 적극적으로 악용되었거나, 문서화된 개념 증명 취약점이 있거나, 원격 코드 실행 취약점으로 분류된 취약점으로 분류된 고위험 오픈 소스 취약점이 있는 코드베이스의 비율이 2022년 48%에서 2023년 74%로 증가했다.
시높시스 소프트웨어 통합 그룹 제인스 슈미트(Jason Schmitt)는 "올해 OSSRA 보고서에 따르면 다양한 중요 산업에서 고위험 오픈 소스 취약성이 놀라울 정도로 증가해 사이버 범죄자들이 이를 악용할 위험에 처해 있다."라며 "2023년에 소프트웨어 팀이 보다 빠르게 움직이고, 더 적은 자원으로 더 많은 작업을 수행해야 한다는 압박이 커지면서 오픈 소스 취약성이 급격히 증가한 것으로 보인다. 악의적인 공격자들은 이 공격 벡터에 주목하고 있으므로 오픈 소스를 효과적으로 식별, 추적, 관리하여 적절한 소프트웨어 하이진 (software hygiene)을 유지하는 것이 소프트웨어 공급망의 보안을 강화하는 핵심 요소." 라고 덧붙였다.
이번 조사에 따르면 대부분 조직은 오래되었거나 사용되지 않는 오픈 소스 구성 요소에 의존하고 있는 것으로 나타났다. 코드베이스의 91%에는 10개 이상의 버전이 오래된 구성 요소가 포함되어 있었고, 코드베이스의 거의 절반(49%)에는 지난 2년 동안 개발 활동이 없었던 구성 요소가 포함되어 있었다.
컴퓨터 하드웨어 및 반도체 산업은 고위험 오픈 소스 취약점이 있는 코드베이스의 비율이 가장 높았으며(88%), 제조, 산업 및 로봇 공학 산업이 87%로 그 뒤를 이었다. 중간 정도에 가까운 빅 데이터, AI, BI 및 머신 러닝 업계는 66%의 코드베이스가 고위험 취약점의 영향을 받았다. 최하위인 항공우주, 항공, 자동차, 운송 및 물류 산업은 여전히 코드베이스의 1/3(33%)에서 고위험 취약점이 발견되었다.
보고서에 따르면 코드베이스의 절반 이상(53%)이 오픈 소스 라이선스 충돌을 포함하고 있으며, 코드베이스의 31%는 식별 가능한 라이선스 또는 맞춤형 라이선스가 없는 코드를 사용하고 있는 것으로 나타났다. 라이선스 충돌이 있는 코드베이스의 비율은 컴퓨터 하드웨어 및 반도체 산업이 92%로 가장 높았고, 제조, 산업 및 로봇 공학이 81%로 그 뒤를 이었다.
한편 2024년 OSSRA 보고서 결과에 대해 자세히 알아보려면 보고서 사본을 다운로드 하거나, 4월 17일 예정된 시높시스코리아 웨비나에 등록하면 된다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
