오픈 소스 소프트웨어 공급망의 위협
오픈 소스 소프트웨어에 대한 위협은 공급망의 모든 부분에 영향을 미칠 수 있습니다. 이 경우, 사악하거나 손상된 관리자가 패키지에 악성 코드를 삽입한 것으로 보입니다. 오픈 소스 소프트웨어의 특성상 커뮤니티의 노력과 감독 덕분에 이 취약점은 짧은 시간 내에 발견, 보고 및 해결될 수 있었습니다.
다행히 이 xz 버전은 배포판을 통해 널리 배포되지 않았고 빠르게 발견되었기 때문에 이 백도어의 영향을 받는 시스템의 수는 상대적으로 적습니다. 새 패키지를 "안정적인" 릴리스로 전환하기 전에 먼저 "실험" 릴리스에 도입하는 사려 깊고 속도감 있는 릴리스 프로세스는 손상된 패키지를 좁은 배포판에 포함시켜 커뮤니티에 큰 도움이 되었습니다. oss-security 및 distros 메일링 목록과 같은 장소를 통한 배포 간의 협력을 통해 이러한 타협에 대한 빠르고 단호한 해결이 가능해졌습니다.
이와 같은 상황은 우리 모두가 오픈 소스 소프트웨어 생태계 내에서 경계심을 유지해야 함을 상기시켜 줍니다. 오픈 소스는 문제 해결을 돕기 위해 자신의 시간과 재능을 기부하는 선의의 인간에 관한 것이지만, 안타깝게도 이는 타협될 수 있습니다. 우리 모두가 이 공격의 구조와 업스트림 및 다운스트림 대응에 대해 더 자세히 알게 되면, 우리 모두가 오픈 소스 소프트웨어를 보호하고 관리자와 소비자 모두를 돕기 위해 더 많은 일을 할 수 있는 방법에 대해 생각해 볼 시간을 갖게 될 것입니다.
OpenSSF는 모든 사람이 이 소프트웨어의 취약한 버전을 사용하고 있지 않은지 확인할 것을 권장합니다. 특히 실험적이거나 최첨단 배포판이나 저장소 중 하나를 사용하는 경우에는 더욱 그렇습니다.
[참고] https://openssf.org/blog/2024/03/30/xz-backdoor-cve-2024-3094/