솔라윈즈 사태와 코드코브 사태가 다시는 발생하지 않도록
요약 : 소프트웨어 공급망을 보호하기 위해 구글과 깃허브가 공동전선을 펼치기로 했다고 보안 외신 시큐리티위크가 보도했다. 둘이 제안한 방법을 자기들끼리는 ‘NFP’라고 부르고 있다. 요즘 유행하는 NFT라는 개념에서 나온 말로, ‘대체 불가능한 출처(Non-Forgeable Provenance)’라는 뜻을 가지고 있다. 공급망을 통해 배포되는 소프트웨어의 출처를 누구도 조작할 수 없도록 만들겠다는 것으로, 두 번째 솔라윈즈 및 코드코브 사태를 막겠다는 게 이들의 목표다.
[이미지 = utoimage]
배경 : 솔라윈즈(SolarWinds) 사태와 코드코브(Codecov) 사태는 공급망 공격의 대표적 사례 중 일부다. 공격자들은 빌드 및 업데이트를 배포할 때 사용하는 서버에 침투하여 악성 코드를 퍼트렸다. 출처를 조작한 것으로, 만약 이 조작 여부를 알았다면 피해를 막을 수 있었을 것이라는 게 구글과 깃허브의 설명이다.
말말말 : “소프트웨어를 받는 사람이 예상하고 있는 소프트웨어 출처와, 실제 그 소프트웨어가 날아온 곳을 비교해서 확인할 수만 있다면 공급망 공격의 상당수가 미리 탐지될 것입니다.” -구글-
[국제부 문가용 기자(globoan@boannews.com)]
요약 : 소프트웨어 공급망을 보호하기 위해 구글과 깃허브가 공동전선을 펼치기로 했다고 보안 외신 시큐리티위크가 보도했다. 둘이 제안한 방법을 자기들끼리는 ‘NFP’라고 부르고 있다. 요즘 유행하는 NFT라는 개념에서 나온 말로, ‘대체 불가능한 출처(Non-Forgeable Provenance)’라는 뜻을 가지고 있다. 공급망을 통해 배포되는 소프트웨어의 출처를 누구도 조작할 수 없도록 만들겠다는 것으로, 두 번째 솔라윈즈 및 코드코브 사태를 막겠다는 게 이들의 목표다.
[이미지 = utoimage]
배경 : 솔라윈즈(SolarWinds) 사태와 코드코브(Codecov) 사태는 공급망 공격의 대표적 사례 중 일부다. 공격자들은 빌드 및 업데이트를 배포할 때 사용하는 서버에 침투하여 악성 코드를 퍼트렸다. 출처를 조작한 것으로, 만약 이 조작 여부를 알았다면 피해를 막을 수 있었을 것이라는 게 구글과 깃허브의 설명이다.
말말말 : “소프트웨어를 받는 사람이 예상하고 있는 소프트웨어 출처와, 실제 그 소프트웨어가 날아온 곳을 비교해서 확인할 수만 있다면 공급망 공격의 상당수가 미리 탐지될 것입니다.” -구글-
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.JPG)
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
