GitHub News

Open Source Software Security Summit: 세계의 코드를 함께 보호

GitHubKorea 2022. 3. 15. 16:40

안녕하세요 GitHub 한국 총판 단군소프트입니다.

오늘은 GitHub의 보안과 오픈 소스에 대한 이야기를 다뤄보려고 합니다.

보안에 대해 얼마나 신중을 기울이는 지, 어떻게 하면 안전하게 코딩할 수 있을 지 등의 이야기와 업데이트 사항들도 나와있으니

여러분들의 코드를 안전하게 지키고 싶으시다면 주의 깊게 보는 것을 추천드립니다.

그럼 시작해 볼까요?


오늘의 이야기

● 보안의 중요성

● 안전하게 코딩하는 방법

● 업데이트 사항

 

 

보안의 중요성

세상은 오픈 소스에 의존하는 소프트웨어를 기반으로 운영되고 있다는 사실을 알고 계시나요?

실제로, 전 세계 소프트웨어의 99%는 최소한 일부 오픈 소스 코드를 가지고 있으며, 이는 우리의 삶에 영향을 주는 앱과 프로그램이 오픈 소스 개발자들의 노력이 반영되었다는 것을 알 수 있습니다. 하지만, 다방면에서 활용하는 오픈소스의 특성상 보안 취약점을 발견할 경우 영향을 끼치는 범위가 방대한데 대처하기는 쉽지 않습니다. 이러한 경우 오픈 소스 코드 취약성이 이를 의존하는 수십억 명의 개발자와 서비스에 전 세계적인 파급 효과를 미칠 수밖에 없죠.

세계 최대의 개발자 플랫폼인 GitHub는 이러한 위험을 심각하게 인지하고, 수백 만명의 개발자를 안전하게 코딩할 수 있도록 지원해야 할 책임을 인식하고 있습니다. 그 책임의 일환으로 오늘 Stormy Peters와 Mike Hanley는 백악관의 Open Source Software Security Summit에서 GitHub를 대표하여 개발자에게 권한을 부여함으로써 오픈 소스 보안을 시작하는 방법을 공유하게 되어 자랑스럽게 생각한다고 합니다:)

 

 

안전하게 코딩하는 방법

Heartbleed(OpenSSL의 소프트웨어 버그)에서 보았듯이 이것이 이슈는 아니지만 최근의 사건은 기술 산업이 함께 협력하여 도움을

줄 수 있는 두 가지 방법을 더욱 강조했습니다.

첫째, 소프트웨어 공급망을 확보하기 위한 업계 및 커뮤니티의 공동 노력이 있어야 합니다.

둘째, 오픈 소스 유지 관리자가 프로젝트를 보다 쉽게 보호할 수 있도록 지원해야 합니다.

그렇다면, 여기서 세가지 의문점!

GitHub는 이러한 기회를 해결하기 위해 무엇을 하고 있을까요?

어디에서나 개발자가 더 안전한 코드를 쉽게 빌드 할 수 있도록 하려면 어떻게 해야 할까요?

또한 업계가 오픈 소스 코드를 안전하게 사용하고, 통합하는 방법을 개선할 수 있는 방법은 무엇일까요?

세 가지의 의문점을 충족하기 위해서는 우선 GitHub의 미션이 무엇인지 확인해야 할 것 같습니다.

 

GitHub의 미션

모든 개발자의 집이 되는 것이며, 가능한 최고의 개발자 경험을 제공하는 것입니다. 보안에 관해서도 다르지 않습니다. 개발자가 반드시 보안 전문가일 필요는 없으며, 그래야 하는 것도 아닙니다. 따라서 개발자가 마찰 없이 보다 안전한 코드를 작성할 수 있도록 지원하는 데 주력하는 이유입니다.

이제 이 의문점을 해결해 볼까요?

GitHub는 이러한 기회(GitHub의 미션)를 해결하기 위해 무엇을 하고 있을까요?

DependabotCodeQL을 사용한 코드 스캔과 같은 NAT툴은 오픈 소스에서 무료로 제공되며, 유지 관리자는 코드 및 종속성의 보안 문제를 신속하게 해결할 수 있습니다. 또한 GitHub는 보안 취약점이 발견되면 유지 관리자가 이에 대응할 수 있도록 도울 수 있습니다.

 

 

업데이트 사항

- 어디에서나 개발자가 더 안전한 코드를 쉽게 빌드 할 수 있도록 하려면 어떻게 해야 할까요?

CVE에 대해 논의, 수정, 획득 및 취약성 정보를 게시할 수 있는 개인 공간을 제공함으로써 새로운 취약성에 대한 조정된 공개를 보장합니다.

공개되면 GitHub Advisory Database는 오픈 소스 라이선스에 따라 각 취약점에 대한 구조화된 메타데이터를 제공합니다.

2022년에는 유지관리자가 보안연구원의 비공개 공시를 받을 수 있는 옵션을 포함하도록 취약점 관리 기능을 확대할 계획입니다.

- 또한 업계가 오픈 소스 코드를 안전하게 사용하고, 통합하는 방법을 개선할 수 있는 방안은 무엇일까요?

업계로서 의지하는 오픈 소스 프로젝트를 설계, 구축 및 유지 관리하는 개발자를 지원해야 합니다.

툴 외에도 개발자가 오픈 소스 소프트웨어를 보다 안전하게 보호할 수 있도록 GitHub는 교육 및 자금 지원에 액세스할 수

있는 방법을 제공합니다.

예를 들어, 보안에 대해 더 배우고자 하는 개발자를 위해 GitHub Security Lab은 툴(CodeQL, fuzzing), 방어 프로그래밍보안 모범 사례를 포함한 주제에 대한 무료 보안 교육 및 교육 자료를 개발자에게 제공합니다. 또한 GitHub sponsors를 시작한 이후 매년 수백만 달러의 투자금이 전 세계 오픈 소스 프로젝트에 유입되고 있으며, 2020년 말에는 기업들이 기대하고 있는 여러 프로젝트에 재정적으로 기여할 수 있도록 하는 능력을 발표합니다. 이 프로그램을 더 널리 배포하기 위해 노력함에 따라, 여러 GitHub 스폰서들이 세계에서 가장 중요한 소프트웨어를 만드는 오픈 소스 개발자들을 재정적으로 지원하는 것을 보게 되었습니다.

GitHub에는 7,300만 명이 넘는 개발자, 400만 개의 조직, 2억 개의 저장소가 있습니다. 우리는 커뮤니티가 안전한 미래를 실현하도록 지원할 수 있는 엄청난 기회를 미리 보고 있습니다.

정부, 학계, 개발자 및 기타 조직과의 파트너십을 통해 세상을 움직이게 하는 개발자와 소프트웨어를 더 잘 보호하고 지원할 수 있었습니다.


저희가 준비한 내용은 여기까지입니다.

다음 시간에도 유용한 정보로 찾아 뵙겠습니다.

긴 글 읽어 주셔서 감사합니다.

 

 

이 글은 The Open Source Software Security Summit: securing the world’s code together | The GitHub Blog를 번역한 글입니다.