OSS (Open Source S/W) - 사용 위험 원인

Synk에서 발표한 2022 오픈소스 보안 보고서

Synopsys에서 발표한 2022 오픈소스 보안 위험 분석 보고서

 

1)공개된 지식 : OSS 취약점은 OWASP(Open Web Application Security Project)와NVD(National Vulnerability Database) 같은 조직을 통해 쉽게 알 수 있음

 

2)보안 부족 : OSS는 보안에 대한 요구 사항이나법적 의무가 제대로 이뤄지지 않으며, 안전하게구현하는 방법을 알려주는 커뮤니티 지원이 부족함.

 

3)지적 재산권 문제 : OSS에 적용할 수 있는 라이선스의 유형은 많지만, 라이선스 중 상당수는 서로 호환되지 않음. 그러므로 사용하는 구성요소가 많아지고, 사용하는 구성요소가 많을수록 모든 라이선스 규정을 추적하고 비교하기가 더 어려워짐.

 

4)보증 부족 : OSS는 보안, 지원 또는 콘텐츠에 대해 어떠한 보증도 하지 않음.

 

5)느슨한 통합 감독 : OSS 개발팀은 서로 사용하는 기능이나 라이선스에 대해 모를 수 있음.

 

6)운영상의 미흡 : OSS 사용에 대한 책임자가 명확하지 않은 경우가 많음.

 

7)열악한 개발자 관행 : 개발자가 OSS에서 코드의섹션을 복사 붙여 넣을 경우 실수로 위험을 증가시킬 수 있음.