ITPE * JackerLab

개요TUF(The Update Framework)는 소프트웨어 업데이트 과정에서 발생할 수 있는 다양한 공격 벡터를 방어하기 위해 설계된 보안 프레임워크입니다. 패키지 관리자, 컨테이너 레지스트리, IoT 장비, 운영체제 등 다양한 시스템에서 신뢰성 있는 소프트웨어 배포를 보장하기 위해 활용됩니다. CNCF에 소속된 프로젝트로, Notary, PyPI, Docker, Kubernetes 등에서 채택 중입니다.1. 개념 및 정의 항목 내용 정의TUF는 소프트웨어 업데이트 과정에서 무결성과 인증을 보장하기 위한 보안 아키텍처입니다.목적공격자가 저장소나 네트워크를 장악하더라도 악성 업데이트가 배포되지 않도록 보호합니다.필요성업데이트 체인에 대한 공격(예: MITM, 키 탈취, 백도어 삽입 등)을 사전에 방지..

개요오픈소스 소프트웨어 사용이 급격히 증가하면서 라이선스 준수, 보안 취약점 관리, 소프트웨어 공급망 투명성이 중요한 과제가 되고 있습니다. 이러한 문제를 해결하기 위해 개발된 글로벌 표준이 바로 **SPDX(Software Package Data Exchange)**입니다. SPDX는 소프트웨어 구성 요소, 라이선스, 보안 취약점 정보를 표준화된 형식으로 교환할 수 있도록 지원하여, SBOM(Software Bill of Materials) 관리의 핵심 역할을 합니다.1. 개념 및 정의SPDX는 리눅스 재단(Linux Foundation) 주도로 개발된 소프트웨어 구성 요소 메타데이터 교환 표준입니다. 라이선스 정보, 보안 취약점, 패키지 버전 등을 기계가 이해할 수 있는 형태로 정의하여, 소프트웨어 ..

개요현대 소프트웨어는 수많은 외부 라이브러리, 패키지, 의존성으로 구성되며, 공급망 위협이 점점 증가하고 있습니다. 이를 해결하기 위한 중요한 기술 중 하나가 바로 **GUAC(Graph for Understanding Artifact Composition)**입니다. GUAC는 오픈소스 및 기업 소프트웨어 아티팩트의 구성 요소와 그 관계를 그래프 구조로 표현하여, 소프트웨어 보안, 감사, 추적성을 강화하는 오픈소스 프로젝트입니다. 본 글에서는 GUAC의 개념, 아키텍처, 주요 기능과 활용 사례를 통해 소프트웨어 보안 체계 혁신 방안을 소개합니다.1. 개념 및 정의GUAC는 소프트웨어 아티팩트의 생성, 조합, 배포 과정에서 생성되는 메타데이터를 수집하고, 이를 그래프 기반으로 통합하여 시각화 및 탐색할 ..

개요Software Bill of Delivery(SBOD)는 소프트웨어가 고객 환경에 전달될 때 포함되어야 할 구성 요소, 배포 단위, 보안 메타데이터, 인증 정보 등을 명세화한 문서 혹은 API 포맷이다. 기존의 Software Bill of Materials(SBOM)가 개발자 중심의 구성 요소 명세라면, SBOD는 배포 시점의 신뢰성과 실행 가능성을 확보하는 운영 중심의 전달 명세이다.1. 개념 및 정의 항목 설명 정의소프트웨어 릴리스/배포 단위에 포함된 컴포넌트, 보안 상태, 검증 절차 등을 명시한 전달 사양서목적배포물의 정합성, 무결성, 보안 상태를 수신자 측에서 자동으로 검증할 수 있도록 지원필요성공급망 보안(Supply Chain Security), CI/CD 신뢰성, 규제 대응 요구 증..

개요Provenance Attestation은 소프트웨어의 생성, 빌드, 배포 과정에서 발생하는 모든 활동의 출처와 무결성을 증명하기 위한 메타데이터 체계이다. 본 글에서는 공급망 보안의 핵심 축으로 떠오른 Provenance Attestation의 개념, 구성 요소, 기술 표준, 적용 사례 등을 다루어 DevSecOps 및 보안 전략 수립에 실질적인 통찰을 제공한다.1. 개념 및 정의 항목 설명 정의Provenance Attestation은 소프트웨어 구성 요소의 생성 및 변경 이력을 추적 가능한 형태로 기록하고 증명하는 메커니즘이다.목적코드, 빌드, 아티팩트의 출처와 무결성을 보장하여 공급망 공격 대응필요성SolarWinds, Log4Shell 사건 이후 신뢰 가능한 소프트웨어 유통의 중요성 부각2..

개요ISO/IEC 5230은 OpenChain 프로젝트를 기반으로 국제표준화기구(ISO)와 국제전기표준회의(IEC)가 공동 제정한 ‘오픈소스 라이선스 컴플라이언스’에 대한 국제 표준입니다. 기업이 오픈소스 소프트웨어(OSS)를 안전하고 책임감 있게 사용할 수 있도록 하는 프로세스, 정책, 교육 등의 요건을 정의합니다. 특히 공급망(Supply Chain)에서의 OSS 투명성과 신뢰성을 확보하는 데 중요한 역할을 하며, 소프트웨어의 상용화, 조달, 납품 과정 전반에 걸쳐 활용됩니다.1. 개념 및 정의ISO/IEC 5230은 OSS 사용에 있어 컴플라이언스 체계 수립 및 운영의 최소 요건을 명시한 오픈소스 컴플라이언스 관리 표준입니다.주요 목적오픈소스 사용 시 법적 리스크 최소화공급망 내 OSS 컴플라이언스..

개요in-toto Attestation은 소프트웨어 공급망의 각 단계를 추적하고, 해당 단계들이 신뢰할 수 있는 주체에 의해 수행되었음을 증명하는 보안 메커니즘입니다. SLSA(Supply-chain Levels for Software Artifacts) 및 SBOM(Software Bill of Materials) 등과 함께 현대 DevSecOps 환경에서 핵심적으로 활용되며, 소프트웨어 무결성과 신뢰성을 높이는 데 기여합니다.1. 개념 및 정의in-toto는 소프트웨어 아티팩트의 생성, 테스트, 배포 등 모든 공급망 단계에서의 행위자를 명확히 식별하고, 해당 작업이 실제로 수행되었음을 보증하는 'attestation'을 생성합니다.in-toto: 각 공급망 단계의 메타데이터(행위자, 명령어, 입력/출..

개요OpenSSF Scorecards는 오픈소스 소프트웨어 프로젝트의 **보안 위생(Security Hygiene)**을 자동으로 평가하는 도구입니다. GitHub 저장소를 대상으로 20여 가지 보안 기준을 바탕으로 점수를 매기며, 소프트웨어 공급망 보안의 첫 단계를 자동화하는 데 기여합니다. 이 프로젝트는 오픈소스 보안을 강화하기 위한 OpenSSF(Open Source Security Foundation)의 핵심 이니셔티브 중 하나입니다.1. 개념 및 정의OpenSSF Scorecards는 개발자나 보안 담당자가 오픈소스 프로젝트를 선택하거나 운영할 때, 해당 프로젝트의 보안 상태를 정량적으로 파악할 수 있도록 설계된 자동화 평가 도구입니다.이 툴은 GitHub API를 활용해 프로젝트의 커밋 서명 ..

개요SLSA(Supply-chain Levels for Software Artifacts)는 소프트웨어 공급망(Supply Chain) 전반에 걸쳐 보안성과 무결성을 강화하기 위한 개방형 보안 프레임워크입니다. 구글(Google)이 주도하고 오픈소스 커뮤니티가 발전시키고 있는 이 모델은 최근 소프트웨어 공급망 공격이 증가함에 따라, 개발-빌드-배포 과정의 신뢰성을 확보하는 데 필수적인 보안 기준으로 각광받고 있습니다.1. 개념 및 정의SLSA는 개발자 코드부터 빌드 시스템, 패키지, 배포 환경까지 모든 소프트웨어 아티팩트(artifacts)가 어떻게 생성되고, 어떤 경로로 배포되는지를 추적 가능하고 검증 가능한 방식으로 관리하도록 설계되었습니다.핵심 목표:소프트웨어 아티팩트의 기원(traceability..