오픈소스 보안 및 위험 분석 보고서

Synopsys에서 올해 8번째로 발간된 2023오픈소스 보안 및 위험 분석 (OSSRA: Open Source Security & Risk Analysis) 보고서는 17개 산업분야의 약 1,700개의 코드베이스에서 발견된 취약점과 라이선스 충돌 이슈를 조사했습니다. 이 보고서는 보안, 법률, 위험 및 개발 팀이 오픈 소스 개발 및 사용에 수반되는 보안 이슈 및 위험 환경을 더 잘 이해하는데 도움이 되는 정보와 권장사항을 제공합니다.

오픈 소스는 어디에든 있습니다

오픈소스는 대부분의 상용 코드베이스의 기반이 되는 등 계속해서 그 영향력이 커지고 있습니다. 사실, 현대 개발에서는 오픈소스가 매우 복잡하게 얽혀 있어 코드 소유자가 자신의 소프트웨어에 어떤 오픈소스 구성 요소가 있는지 모르는 경우가 많습니다.

보안 리스크가 만연해 있습니다.

보안 취약점을 포함하는 코드베이스의 전체 비율은 여전히 문제가 될 정도로 높습니다. 1년 동안은 완만하게 진행된 후, 2022년에는 취약점이 다시 조금 증가(4%)했습니다.

전체 취약점은 소폭 증가했지만 고위험 취약점이 있는 코드베이스의 비율은 작년보다 2% 감소한 48%를 기록했습니다. 또한, 올해 감사된 Java 코드베이스의 11%에서 발견된 Log4J의 인스턴스가 15%에서 11%로 줄어든 것도 고무적입니다. 이는 개선된 것이긴 하지만 패치를 적용하지 않는 조직이 더 많다는 것을 의미합니다.

운영상의 위험 요소

지난 2년 동안 개발 활동과 사용자 업데이트가 없었던 오픈 소스가 포함된 코드베이스가 있습니다. 24개월 동안 기능 업그레이드, 코드 개선 또는 보안 수정이 발생하지 않으면, 프로젝트가 더 이상 유지 관리되지 않는 프로젝트일 가능성이 있습니다.

여전히 보안에 취약한 주요 산업

모든 산업 분야에서 같은 상황이 나타났습니다. 오픈 소스는 거의 모든 코드베이스에 존재했고 전체 코드베이스의 대부분을 침해하였으며, 악용과 공격에 취약했습니다. 조직에서 사용 중인 모든 소프트웨어의 포괄적인 인벤토리만이 이러한 비즈니스 리스크를 완화하는 데 도움이 될 수 있습니다.