Posted On 2026년 02월 15일

오픈소스 공급망 보안이 법적 의무가 됐다

nobaksan 0 comments
여행하는 개발자 >> 기술 >> 오픈소스 공급망 보안이 법적 의무가 됐다

유럽연합의 사이버 복원력 법(Cyber Resilience Act)이 발효됐다. 2026년 말까지 소프트웨어가 포함된 제품을 판매하는 모든 사람은 SBOM(Software Bill of Materials)을 갖춰야 한다. 오픈소스 프로그램도 포함된다. 예외 없이.

npm 생태계는 2025년에 일련의 공급망 공격을 경험했다. s1ngularity, debug/chalk, Shai-Hulud 등의 사건이 유지보수자 인증과 CI 워크플로우의 시스템적 취약점을 드러냈다. 이제 보안 대응은 세분화된 토큰, 발행 시 2단계 인증, 더 엄격한 릴리스 정책을 강조한다.

검증 가능한 서명의 시대

Sigstore가 GitHub와 GitLab 같은 주요 플랫폼에 통합됐다. 2026년에는 검증 가능한 서명이 일상이 된다. 개발자는 어떤 프로그램에 실제로 무엇이 들어있고 누가 진짜 작성했는지 알아야 한다. 그것이 단순히 좋은 보안 관행이 아니라 법적 요구사항이 됐다.

앱 쪽에서는 React2Shell(CVE-2025-55182)과 후속 이슈들이 RSC 직렬화의 위험을 부각시켰다. Angular의 XSS와 다른 런타임 CVE들이 2025년 백로그의 최상단에 보안 업그레이드를 올려놓았다.

SLSA와 SBOM

SLSA(Supply Chain Levels for Software Artifacts)와 SBOM의 광범위한 채택이 오픈소스 공급망 공격에 대응하고 있다. 소프트웨어에 들어간 모든 구성 요소를 추적하고, 각 구성 요소의 출처를 검증하는 것이 새로운 표준이다.

OpenSSF(Open Source Security Foundation)가 벤더와 정부 전반에 걸쳐 조율된 보안 프로그램을 확장하고 있다. 리눅스의 Kernel Self-Protection Project와 유사한 노력들이 더 많은 익스플로잇 완화 기능을 업스트림으로 밀어넣고 있다. 위험 기반 패칭과 AI 지원 분류가 대규모 수정 우선순위 지정과 배포를 더 쉽게 만들고 있다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

Related Post

체스 엔진과 프로그래밍 언어의 새로운 만남: Zig의 가능성을 보다

체스 엔진 개발은 소프트웨어 공학의 한 축을 이루는 고전적인 도전 과제다. 단순한 규칙으로 시작하지만, 그…

디지털 시대의 사생활, 다시 한 번 후퇴하는가

메타가 인스타그램 DM의 종단간 암호화를 중단한다고 발표했을 때, 많은 이들이 의아해했을 것이다. "왜 이제 와서?"라는…

디지털 시대의 종이, 기억의 재발견

스크린이 지배하는 세상에서 우리는 종종 잊고 산다. 손가락 하나로 모든 지식을 불러낼 수 있는 시대지만,…