데이터 기반 보안 결정을 위한 오픈소스 가시성

오픈소스 개발 위험 전반에 걸쳐 보안팀의 사각 지대 제거

애플리케이션 개발 초기에 보안 구현

클라우드보안의 선두주자인 트렌드마이크로와 오픈소스 개발자의 선두주자인 Snyk가 파트너 관계를 맺어 소프트웨어 공격으로부터 보호합니다.

오픈소스 패키지는 애플리케이션 개발의 토대이며 출시 시간을 단축합니다. 그러나 보안팀은 조직의 애플리케이션 개발 환경에서 오픈소스 코드의 영향과 종속성 위험을 식별 할 수 있는 가시성이 부족합니다.

해커는 오픈소스 패키지 및 취약점을 활용하여 애플리케이션에서 보안 되지 않은 소스 코드를 사용하는 기업에 공격을 수행합니다. 예를 들어 모든 버전의 NodeJS 패키지 (1337qq-js)에는 설치 스크립트를 통해 민감한 정보를 추출하고 UNIX 시스템을 대상으로하는 악성 코드가 포함되어 있습니다.

애플리케이션 개발자가 사용중인 모든 코드 패키지를 추적하는 것은 어려울 수 있지만 보안팀이 조직 전체의 오픈소스 패키지 취약점과 패치를 추적하는 것은 훨씬 더 큰 과제가 됩니다.

Kevin Simzer

파트너십의 가치

Mark Nunnikhoven

보안 문제에 대한 대응

Trend Micro Cloud One - Snyk를 통한 오픈소스 보안


보안팀과 개발팀을 하나로 통합

Geva Solomonovich

개발팀을 간과하지 않고 보안 관련 지식을 갖추도록 지원합니다.

소프트웨어 제공 프로세스를 중단하지 않고 오픈소스 코드가 도입되는 순간부터 모든 개발 환경에서 코드 생성에서 런타임까지 완전한 협업과 커버리지를 갖춘 클라우드 빌더와 클라우드 보안 엔지니어를 상상해 보십시오.

Snyk와 함께 트렌드마이크로는 개발자 및 보안운영팀을 구축하여 운영 라이프 사이클 전반에 걸쳐 보안에 더 집중하고 협업 할 수 있도록 서비스를 제공합니다.

Trend Micro Cloud One ™ – Snyk의 오픈 소스 보안은 애플리케이션에서 사용하는 오픈소스 종속성에서 취약점과 라이선스 위험을 자동으로 찾아 우선 순위를 지정하고 보고합니다. 클라우드 빌더를 위해 설계된 Trend Micro Cloud One 보안 플랫폼의 일부로 제공되며 보안팀이 조직을 완벽하게 보호 할 수 있도록 지원합니다.

오픈소스 보안은  보안팀이 비즈니스와 고객에게 영향을 미칠 수 있는 위험을 체계적인 관점을 통해 애플리케이션 개발 속도를 유지할 수 있도록 지원합니다.

Trend Micro Cloud One을 통해 보안 운영 팀은 개발 프로젝트의 알려진 위험에 대한 이해를 유지하고, 콘솔에서 모니터링 할 중요한 문제의 우선 순위를 정하고, 개발 팀과 문제를 논의 할 수 있습니다. 이를 통해 보안 전문가는 위험을 관리하는 동시에 개발을 통해 애플리케이션 보안 및 모범 사례를 개선 할 수 있습니다.

  • 소스코드 관리에서 직접 가시성을 확보하고 파이프 라인을 구축합니다.
  • 오픈소스 취약점 위험 관리
  • 보안 문제가 위협이 되기 전에 해결 되도록 지원
     

컨테이너 이미지에 현재 어떤 취약점이 있는지 알아보십시오

가트너 리서치 참고하기

기술자의 90 %가 오픈소스 구성요소에 의존합니다. 1.

이 파트너십은 Trend Micro Cloud One ™ – Container Security에서 Snyk의 소스코드 취약점 스캔의 기존 사용을 보완합니다.

컨테이너 보안 는 멀웨어, 비밀 및 키, 컴플라이언스 위반, 취약점을 포함한 보안 문제를 탐지하기위한 컨테이너 이미지 스캔은 물론 동급 최고의 컨테이너 승인 및 런타임 제어를 제공합니다.

오픈소스 소프트웨어 종속성은 코드의 취약점으로 이어질 수 있으며, 궁극적으로 기밀 정보의 손실을 초래할 수 있습니다.

Synk의 오픈소스 취약점 데이터베이스가 포함된 컨테이너 보안은 취약점 탐지를 확장하여 컨테이너 이미지 및 레지스트리 요구 사항에 대한 오픈소스 코드를 포함함으로써 보안을 견고히 할 수 있습니다.

오픈소스 보안 기능

  • 보안팀이 코드 저장소 내의 오픈 소스 취약점 및 라이센스 위험을 모니터링하는 전체 서비스
  • 대시보드 및 보고서를 통해 전체 조직의 오픈소스 환경에서의 동향 모니터링
  • 개발자에게 알려지지 않은 취약점을 식별하고 Snyk 기술 자료에서 명시적인 교정 단계 제공
  • 자동화된 오픈소스 BOM(Bill of Materials) 보고서를 통해 규정 준수 시간 단축
  • SecOps팀과 DevOps팀 간의 협업을 강화하고, DevOps팀이 위험을 추적하기 위한 모범 사례 지원

 

클라우드 원에서의 일치 사항

트렌드마이크로를 통해 SecOps는 오픈 소스 및 컨테이너 리스크의 가시성을 통해 DevOps와 더욱 긴밀하게 협력할 수 있습니다.

개발 프로세스 초기에 보안 구현과 결합된 정교한 기능을 사용하면 예기치 않은 위협으로 인한 컨테이너 배포를 지연하지 않아도 됩니다.

Snyk에 대하여

Snyk 로고

Snyk는 오픈소스 코드를 사용하고 보안을 유지할 수 있도록 지원하는 개발자 우선 보안 솔루션입니다. Snyk는 고유한 취약점 데이터베이스를 기반으로 오픈소스 종속성에서 알려진 취약점과 라이센스 위반을 지속적으로 찾아 수정합니다. 개발 워크플로우와 소스 제어(예: GitHub, BitBucket, GitLab)에 통합되어 CI/CD 파이프라인을 연결하고 서비스형 플랫폼(PaaS)과 운영 중인 서버리스 앱을 지속적으로 모니터링합니다.

2.2M 이상의 개발자들은 이미 Snyk를 사용하고 있습니다.

파트너쉽 발표

[1] https://www.gartner.com/en/documents/3971011/technology-insight-for-software-composition-analysis