Harvard 인구 조사에서 가장 일반적으로 사용되는 오픈 소스 패키지 식별

연구원들은 가장 널리 사용되는 오픈 소스 패키지에 대한 인식을 높임으로써 다음 Log4j 또는 Heartbleed 익스플로잇이 발생하는 것을 방지하는 데 도움이 되기를 바랍니다.

 

Harvard University(LISH) 혁신 과학 연구소의 연구원들이 Heartbleed 및 Log4shell과 같은 세간의 이목을 끄는 취약점으로부터 업계를 더 잘 보호할 수 있도록 지원하기 위해 현재까지 가장 포괄적인 무료 오픈 소스(FOSS) 소프트웨어 패키지 인구 조사를 발표했습니다. , 인기 있는 오픈 소스 프로젝트에 영향을 미쳤습니다.

 

인구 조사는 기술 산업이 중요한 기업 및 공공 부문 애플리케이션 내에서 널리 사용되는 오픈 소스 기술로 인한 위험과 싸워야 하는 시기에 이루어집니다.

 

이 연구는 2020년에 수천 개의 회사에서 프로덕션 애플리케이션에 사용된 FOSS 라이브러리에 대한 50만 개 이상의 관찰 데이터를 집계하여 애플리케이션 라이브러리 수준의 소프트웨어 패키지에 중점을 둡니다.

 

“FOSS는 현대 경제의 중요한 부분이 되었습니다. 수천만 개의 FOSS 프로젝트가 있으며 그 중 많은 부분이 우리가 매일 사용하는 소프트웨어와 제품에 내장되어 있습니다. 그러나 FOSS는 분산 및 분산 방식으로 생산되기 때문에 FOSS의 건강, 경제적 가치 및 보안을 완전히 이해하기 어렵습니다.”라고 인구 조사 작성자는 보고서에서 언급했습니다.

 

보고서에 무엇이 있습니까?

 

인구 조사는 8개의 순위 목록으로 나뉩니다. 4개는 버전 번호를 포함하고 4개는 버전에 구애받지 않습니다. 기본 JavaScript npm 패키지 관리자를 사용하는 패키지는 npm이 아닌 패키지에서 분리되었습니다.

 

또한 개발자가 직접 호출하는 패키지와 간접적으로 종속성이라고 하는 패키지에 대한 별도의 목록이 있어 개발자가 환경 내에서 관찰하기 더 어려운 더 깊은 종속성의 종류에 주의를 기울입니다.

 

이 목록은 "시간의 제한과 우리가 집계한 광범위하지만 완전한 데이터를 고려할 때 다양한 응용 프로그램에서 가장 널리 사용되는 FOSS 패키지에 대한 최선의 추정치를 나타냅니다"라고 보고서는 설명합니다.

 

인구 조사는 가장 위험한 OSS 프로젝트를 식별하려고 시도하지 않지만 "위험 프로필 측정은 분리 가능한 작업이며 가장 널리 사용되는 소프트웨어가 식별되면 수행하기가 더 쉽습니다." 그 작업에는 산업 전반의 노력이 필요하며 소비 조직의 개별 위험 프로필에 따라 다릅니다.

 

이미 소프트웨어 BOM을 작성하기 시작한 조직의 경우 이 목록은 가장 일반적인 오픈 소스 패키지에 대한 유용한 참조 지점을 제공하고 해당 프로젝트의 보안을 보장하기 위한 전용 리소스를 시작할 수 있습니다.

 

다음 Log4j 방지

 

연구원들은 가장 일반적으로 사용되는 오픈 소스 패키지에 대한 인식을 높임으로써 다음 Log4j 또는 Heartbleed 익스플로잇이 발생하는 것을 방지하는 데 도움이 될 수 있기를 바랍니다.

 

보고서의 저자이자 Harvard Business School의 조교수인 Frank Nagle은 InfoWorld에 "다음 Log4j가 우리 목록에 있고 심각한 문제가 발생하기 전에 얻을 수 있기를 바랍니다."라고 말했습니다.

 

보고서 작성자는 "중요한 FOSS 패키지"를 식별함으로써 개발자와 최종 사용자가 데이터를 공유하고, 자원 봉사 개발자로 구성된 소규모 그룹이 유지 관리하는 주요 오픈 소스 프로젝트를 보호하기 위한 노력에 투자하고 조정하는 데 박차를 가할 수 있기를 바랍니다.

 

2014년에 Heartbleed 결함이 발견된 후 Linux Foundation은 핵심 인프라 이니셔티브(CII)를 설립하여 주요 FOSS 프로젝트에 더 나은 자금 지원과 지원을 제공했습니다. 관행. 2020년에는 이러한 노력의 대부분이 이 연구 프로젝트를 지원하는 새로 생성된 OpenSSF(Open Source Security Foundation)에 통합되었습니다.

 

오픈 소스 보안은 전 세계 정부의 관심을 끈 문제입니다. 백악관은 최근 이 문제를 논의하기 위해 공공 및 민간 부문 대표들과 회의를 가졌다. 오픈 소스 코드 및 패키지의 보안 결함 및 취약점을 예방하고 취약점을 찾아 수정하는 프로세스를 개선하며 문제 수정을 위한 응답 시간을 단축하는 방법을 논의하는 것이 그 목적이었습니다.

 

2014년에 유럽 위원회는 자체 FOSS 전략을 수립했으며 몇 년 후 버그 현상금 프로그램, 해커톤 및 회의를 설정하여 FOSS 감사를 후원하기 시작했습니다.

 

배운 다른 교훈

 

이 보고서는 또한 오늘날 기업의 오픈 소스 소프트웨어 사용 현황에 대해 5가지 광범위한 관찰을 했습니다. 이것들은:

 

소프트웨어 구성 요소에 대해 보다 표준화된 명명 스키마가 필요합니다.

 

패키지 버전 관리와 관련된 심각한 복잡성이 남아 있습니다.

 

가장 널리 사용되는 FOSS의 대부분은 소수의 기여자에 의해 개발되었습니다.

 

개별 개발자 계정 보안의 중요성이 커지고 있습니다.

 

오픈 소스 공간의 레거시 소프트웨어는 지속됩니다.

 

보고서는 "이 인구 조사 노력은 중요한 FOSS 프로젝트에 대한 최종 단어가 아니라 중요한 패키지를 식별하고 적절한 리소스와 지원을 받는지 확인하는 방법에 대한 더 큰 대화의 시작을 나타냅니다"라고 결론지었습니다.