ITPE * JackerLab

개요Supply Chain Vulnerabilities(공급망 취약점)는 AI 모델 개발 및 배포 과정에서 사용되는 외부 라이브러리, 데이터셋, 모델, 플러그인 등의 무결성 부족으로 발생하는 보안 위협입니다. LLM 및 AI 서비스의 복잡한 생태계 속에서 공급망 보안은 AI 신뢰성을 좌우하는 핵심 요소로 자리잡고 있습니다.1. 개념 및 정의 구분 내용 정의AI 개발과 운영 과정에서 외부 컴포넌트(코드, 데이터, 모델 등)가 변조·악용되어 보안 위협이 발생하는 현상목적공급망 전반의 무결성·신뢰성을 확보하여 AI 서비스 보호필요성AI는 오픈소스와 외부 데이터 의존도가 높아 공급망 취약성 위험이 커짐이는 OWASP LLM Top 10의 다섯 번째 위험 요소로 분류됩니다.2. 특징특징설명비교복잡한 생태계다수의..

개요SLSA(Supply-chain Levels for Software Artifacts)는 소프트웨어 공급망 보안 강화를 위한 표준 프레임워크로, 빌드, 패키징, 배포 전 과정에서의 무결성과 추적 가능성을 보장합니다. 구글이 주도하고 OpenSSF(Open Source Security Foundation)가 발전시키고 있는 이 모델은 오픈소스 및 기업 내 소프트웨어 개발 생명주기 전반에 걸쳐 신뢰 체계를 구축할 수 있도록 설계되었습니다.1. 개념 및 정의SLSA는 소프트웨어 아티팩트(Artifact)가 신뢰할 수 있는 출처에서 생성되었음을 증명하기 위한 보안 수준 체계를 정의합니다. 레벨 1부터 4까지 있으며, 각 단계는 점진적으로 높은 보안 요구사항을 포함합니다.목적: 빌드 및 배포 단계에서의 위변조..

개요오픈소스는 오늘날 대부분의 소프트웨어 제품과 기술 인프라의 핵심을 이루고 있습니다. 이에 따라 조직 내부에서 오픈소스 소프트웨어를 전략적으로 활용하고, 보안 및 라이선스 이슈를 체계적으로 관리하며, 커뮤니티 참여를 촉진하기 위한 전담 조직이 필요해졌습니다. 이러한 역할을 수행하는 것이 바로 **Open Source Program Office (OSPO)**입니다. 본 글에서는 OSPO의 개념, 기능, 기술적 구성, 조직 내 가치, 실무 구축 방안을 종합적으로 설명합니다.1. 개념 및 정의**OSPO(Open Source Program Office)**는 조직 내부에서 오픈소스 사용, 기여, 배포, 정책, 보안을 통합적으로 관리하고 조율하는 전담 부서 또는 기능적 팀입니다.OSPO는 단순한 개발 부서의..