기업은 물리적 공급망의 무결성을 엄격하게 보호하지만 오픈소스 소프트웨어(OSS) 공급망에 대해서는 그렇지 못한다. 가트너가 실시한 조사에 따르면, 응답자의 약 90%가 조직에서 OSS를 사용한다고 답했다. 

주요 소프트웨어 구성분석(Software Composition Analysis, SCA) 공급업체의 또 다른 보고서에 따르면, 감사한 코드베이스의 70% 이상이 OSS 구성 요소로 이루어져 있는 것으로 나타났다. 

이러한 구성 요소에는 법적 구속력이 있는 사용조건을 규정하는 라이선스가 있다. 다른 소프트웨어와 마찬가지로 OSS에는 평가 및 완화가 필요한 보안 취약점을 가질 수 있다. 이러한 위험에도 불구하고 설문조사에 응답한 기업의 28%만이 자동화 툴을 사용하여 OSS를 관리하고 있다고 답했다. 

OSS의 경쟁력은 결국 코드를 공유하고 애플리케이션을 개선하는 사용자로부터 나온다. 그러나 이러한 개방성은 외부인의 작업에 의존하게 만든다.

오픈소스와 관련된 라이브러리의 체인 일부는 5천개 이상의 디펜던시(dependency)를 갖는데, 이것이 더 길고 광범위할수록 보안 격차 및 기타 문제가 발생할 가능성이 높아진다.

OSS는 오늘날의 비즈니스에 필수이지만, 지속적으로 모니터링해야 하는 판도라의 상자이기도 하다. 보안 취약성 또는 라이선스와 같은 문제는 비즈니스, 혹은 브랜드 평판에 영향을 미치기 전에 해결할 수 있다. 

실제로 에퀴팩스(Equifax)는 오래된 오픈소스 자바 스트럿츠(Java struts) 라이브러리로 인한 보안침해 문제를 해결하기 위해 5억7500만달러 이상을 지불했다. 마찬가지로 하트블리드(HeartBleed) 버그는 사용자들에게 총 5억달러 이상의 비용손실을 초래한 것으로 추정되고 있다.

OSS 라이선스 소송도 전세계적으로 증가세를 보이고 있는 현재, 어떻게 하면 풍부한 리소스의 이점을 계속해서 누리면서 리소스 사용으로 인해 발생할 수 있는 잠재적 위험으로부터 기업을 보호할 수 있을까? OSS 문제를 식별하고 해결책을 제안하는 SCA 툴이 주목을 받고 있는 이유다. 

SCA 툴은 사용자 환경의 모든 OSS 구성 요소와 해당 디펜던시에 대한 포괄적인 소요부품자재명세서(Bill of Material, BOM)을 구축한다. 이 BOM의 각 구성 요소는 툴 공급업체가 유지 관리하는 최신 데이터베이스와 비교하여 보안 취약성 및 라이선스 정책 컴플라이언스 준수 여부를 확인하고 문제해결을 위해 활용되기도 한다.

보안 및 법률 집단에 도움을 요청하라
애플리케이션 개발 팀이 OSS의 리스크를 성공적으로 관리하기 위해 필요한 핵심 전문지식은 리스크 관리팀에 있다. 따라서 애플리케이션 개발 리더는 리스크 관리팀의 도움을 받아야 한다.

보안·법률팀과 긴밀히 협력하여 만든 실용적인 OSS 리스크 완화 정책도 필요하다. 목표는 SCA 툴이 가능한 한 많이 식별하고 우선순위를 정하며, 교정까지 진행하도록 하는 것이다. 팀은 예외적으로 수동에 의한 교정에만 의존해야 한다.

모든 팀에서 공동으로 답변해야 할 주요 질문은 다음과 같다
- 배포 파이프라인을 중단해야 하는 문제는 어떤 유형인가?
- 어떤 문제를 연기할 수 있으며 이를 얼마나 오래 연기할 수 있는가?
- 무시해도 무방한 문제는 어떤 것들인가?

조직에 적합한 SCA 툴을 선택하는 것은 어려운 작업일 수 있다. 시장에는 오픈소스에서 지속적 통합 및 지속적 전달(Continuous Integration and Continuous Delivery, CICD) 플랫폼에 내장된 툴과 여기에 연결되는 상용 제품에 이르기까지 다양한 툴이 있다. OSS가 최신 상태이고 제한적인 라이선스나 보안 결함이 없는지 SCA 툴이 이를 확인하는 지의 여부도 중요하다.

글: 아룬 바츄(Arun Batchu) / 수석애널리스트 / 가트너