CWN(CHANGE WITH NEWS) - 스닉·리눅스 재단, 오픈소스 보안 실태 조사 결과 공개

해외 개발자 뉴스 포럼 데브옵스에 따르면, 미국 컴퓨터 소프트웨어 기업 스닉(Snyk)과 리눅스 재단(Linux Foundation)이 오픈소스 보안 불안전성 실태 조사 결과를 공개했다.

소프트웨어 개발자 550명의 참여로 이루어진 해당 설문조사에서 개발자 30%는 현재 오픈소스 보안 문제에 즉시 대응할 적합한 보안 정책이 전혀 없다고 밝혔다.

실무에서 제대로 사용하거나 오픈소스 소프트웨어 개발에 적용하는 보안 정책이 제대로 갖추어졌다고 답변한 응답자는 49%로 확인됐다.

그러나 보안 정책을 갖추었더라도 많은 개발자가 보안 수준을 신뢰하지 않는 것으로 나타났다. 개발자 41%는 자체 오픈소스 보안을 신뢰하지 않는다고 답변했다.

스닉 개발 관계 총괄 관리자 매트 자비스(Matt Jarvis)는 자사의 오픈소스 소프트웨어가 사이버 공격 대상이 된 사실을 인지하지 못하는 기업이 많다고 지적했다.

조사 결과, 애플리케이션 개발 프로젝트 1개당 보안 취약점 49개, 오픈소스 소프트웨어에 대한 종속성 80개가 존재하는 것으로 드러났다. 응답자의 18%만이 그들이 전이 종속성에 대비한 보안에 자신이 있다고 답변했다.

정적 애플리케이션 보안 테스트(SAST, Static Application Security Testing) 툴을 이용하거나 소프트웨어 구성 분석(SCA, Software Composition Analysis) 툴을 이용하여 취약점을 분석하는 기업은 단 33%였다. 44%는 소스코드 분석 툴을 사용하는 것으로 나타났다.

마지막으로 서비스 요구사항과 관련, 59%는 툴이 더욱 고도화되었으면 좋겠다는 의견을 전했다. 52%는 오픈소스 소프트웨어 측에서 사이버 보안에 가장 최적화된 사용법에 대하여 더욱 명확히 알려주기를 바란다고 답변했다. 49%는 보안 검사 실시 과정이 자동화되고 이를 위한 툴이 추가되기를 바란다고 응답했다.

[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]