ITPE * JackerLab

개요Rekor는 Sigstore 생태계의 핵심 구성 요소로, 코드 서명, 컨테이너 이미지, 아티팩트 등의 서명 정보를 영구적이고 투명하게 기록하는 투명성 로그(Transparency Log) 시스템입니다. 블록체인 유사 구조로 데이터 변경 불가능성을 보장하며, 소프트웨어 공급망의 신뢰성과 추적 가능성을 향상시키는 핵심 역할을 수행합니다.1. 개념 및 정의Rekor: 소프트웨어 아티팩트에 대한 서명/해시를 저장하는 공개 로그 시스템Transparency Log: 누구나 접근 가능한 로그로 변경 불가능성을 보장기능 요약: 증명 가능 서명 저장, 무결성 확인, 감사 로그 제공2. 특징 항목 설명 비교 대상 불변성 보장Append-only Merkle Tree 기반일반 DB 대비 위변조 방지 강함공개 접근성..

개요OSQuery와 FleetDM은 리눅스, 윈도우, 맥OS 등의 엔드포인트 시스템을 SQL 질의 기반으로 관찰하고 관리할 수 있게 해주는 오픈소스 기반 보안 관측 및 관리 플랫폼입니다. OSQuery는 각 엔드포인트에서 실행되는 에이전트이며, FleetDM은 이를 중앙에서 관리하고 실시간으로 수집된 데이터를 조회·정책화·감사할 수 있는 웹 기반 서버 플랫폼입니다. 이를 통해 기업은 실시간 위협 탐지, 정책 위반 모니터링, 자산 가시성 확보, IT 감사 대응 등을 자동화할 수 있습니다.1. 개념 및 정의 구성 요소 설명 OSQuery엔드포인트에서 SQL 인터페이스를 제공하는 경량 에이전트FleetDM수천 대 OSQuery를 통합 관리할 수 있는 웹 기반 플랫폼Live Query모든 장비에 실시간 SQL..

개요Software Composition Analysis(SCA)는 애플리케이션 내에 포함된 오픈소스 소프트웨어의 보안 취약점, 라이선스 위험, 버전 관리 상태를 자동으로 분석하는 보안 기술입니다. SCA는 오픈소스 의존성이 늘어나면서 발생하는 공급망 보안 문제를 해결하기 위한 핵심적인 DevSecOps 접근 방식으로 자리 잡고 있습니다.1. 개념 및 정의SCA는 애플리케이션 빌드 시 사용된 오픈소스 구성 요소들을 식별하고, 해당 구성 요소들의 보안 취약점, 비호환 라이선스, 패치 미적용 상태 등을 분석합니다. 이를 통해 개발 초기 단계에서부터 보안 위협을 제거하고, 소프트웨어 라이프사이클 전반에 걸쳐 리스크를 최소화할 수 있습니다.SCA는 단순한 취약점 스캐너가 아니라, 라이선스 컴플라이언스와 컴포넌트..

개요OpenSSF Scorecards는 오픈소스 소프트웨어 프로젝트의 **보안 위생(Security Hygiene)**을 자동으로 평가하는 도구입니다. GitHub 저장소를 대상으로 20여 가지 보안 기준을 바탕으로 점수를 매기며, 소프트웨어 공급망 보안의 첫 단계를 자동화하는 데 기여합니다. 이 프로젝트는 오픈소스 보안을 강화하기 위한 OpenSSF(Open Source Security Foundation)의 핵심 이니셔티브 중 하나입니다.1. 개념 및 정의OpenSSF Scorecards는 개발자나 보안 담당자가 오픈소스 프로젝트를 선택하거나 운영할 때, 해당 프로젝트의 보안 상태를 정량적으로 파악할 수 있도록 설계된 자동화 평가 도구입니다.이 툴은 GitHub API를 활용해 프로젝트의 커밋 서명 ..

개요Sigstore는 오픈소스 소프트웨어의 신뢰성과 무결성을 보장하기 위한 디지털 서명 및 감사 투명성 플랫폼입니다. 서명(signing), 투명성(transparency), 검증(verification)을 자동화하여, 공급망 공격(Supply Chain Attack)에 대한 방어력을 강화합니다. 특히 CNCF(Cloud Native Computing Foundation)에서 지원하고 있으며, Kubernetes, Python, Java 생태계에서도 빠르게 확산 중입니다.1. 개념 및 정의Sigstore는 개발자가 서명하고 사용자에게 검증 가능한 오픈소스 아티팩트(artifact)를 배포할 수 있도록 지원하는 도구 모음입니다. 소프트웨어가 누구에 의해, 어떤 상태에서 만들어졌는지를 증명하는 투명한 메타데..

개요공급망 공격(Supply Chain Attack)은 해커가 기업이나 조직의 직접적인 보안망이 아닌, 그 조직과 연결된 협력사, IT 솔루션, 개발 라이브러리, 서비스 공급자 등을 통해 침투하는 사이버 공격 방식입니다. 한 번의 침투로 다수의 하위 시스템을 감염시킬 수 있어, 그 피해 범위와 위협 강도가 매우 크며, 최근 SolarWinds, Kaseya, MOVEit 등 다양한 글로벌 사건으로 주목받고 있습니다.1. 개념 및 정의 항목 설명 정의공급망 내의 신뢰된 외부 파트너나 소프트웨어를 악용하여 본래의 타깃 조직에 침투하는 공격 방식대상소프트웨어 라이브러리, 개발자 도구, 제3자 API, 하드웨어 제조사, 물류업체 등목적감지 회피, 대규모 감염, 신뢰 체계 악용2. 주요 공격 방식방식설명사례소프..

개요SLSA(Supply-chain Levels for Software Artifacts)는 소프트웨어 공급망(Supply Chain) 전반에 걸쳐 보안성과 무결성을 강화하기 위한 개방형 보안 프레임워크입니다. 구글(Google)이 주도하고 오픈소스 커뮤니티가 발전시키고 있는 이 모델은 최근 소프트웨어 공급망 공격이 증가함에 따라, 개발-빌드-배포 과정의 신뢰성을 확보하는 데 필수적인 보안 기준으로 각광받고 있습니다.1. 개념 및 정의SLSA는 개발자 코드부터 빌드 시스템, 패키지, 배포 환경까지 모든 소프트웨어 아티팩트(artifacts)가 어떻게 생성되고, 어떤 경로로 배포되는지를 추적 가능하고 검증 가능한 방식으로 관리하도록 설계되었습니다.핵심 목표:소프트웨어 아티팩트의 기원(traceability..

개요서플라이 체인 보안(Software Supply Chain Security)은 소프트웨어 개발, 배포 및 유지보수 과정에서 발생할 수 있는 보안 위협을 방지하는 보안 전략입니다. 최근 대규모 공급망 공격(Supply Chain Attack)이 증가하면서, 조직들은 서플라이 체인 보안을 강화하여 사이버 공격을 사전에 예방하는 것이 필수적이 되었습니다. 본 글에서는 서플라이 체인 보안의 개념, 주요 위협, 보안 강화 방안 및 활용 사례를 살펴보겠습니다.1. 개념 및 정의서플라이 체인 보안이란?서플라이 체인 보안은 소프트웨어 개발과 배포 과정에서 사용되는 서드파티(Third-Party) 코드, 오픈소스 라이브러리, 빌드 시스템, 배포 인프라 등의 보안성을 확보하는 것을 의미합니다. 개념 설명 서플라이 체..