[디지털데일리 서정윤 기자] 글로벌 오픈소스 솔루션 기업 레드햇이 소프트웨어 공급망 취약성에 대한 복원력을 강화하는 솔루션을 발표했다.

레드햇은 24일 미국 보스턴에서 진행된 '레드햇 서밋 2023'에서 '레드햇 트러스티드 소프트웨어 서플라이 체인'을 선보였다. 데브섹옵스(DevSecOPs) 도입을 촉진하고 소프트웨어 개발 라이프사이클 모든 단계에 보안을 지원하는 게 특징이다.

기존 레드햇 클라우드 서비스인 쿼이(Quay)와 고급클러스터 보안(ACS)에 '레드햇 트러스티드 애플리케이션 파이프라인'과 '레드햇 트러스티드 콘텐츠'가 프리뷰 서비스로 추가됐다. 고객은 레드햇 트러스티드 소프트웨어 서플라이 체인을 통해 검증된 플랫폼, 인증된 콘텐츠, 실시간 보안 스캔과 수정 기능을 사용해 소프트웨어를 보다 빠르고 효율적으로 코딩, 구축, 모니터링할 수 있다.

◆ 레드햇 트러스티드 소프트웨어 서플라이 체인, 보안 유지하며 혁신 가속화

현재 애플리케이션 코드 기반의 75%가 오픈 소스 코드로 구성돼 있다. 2020년 이후 소프트웨어 공급만 공격은 742% 증가했다. 이러한 위험에 대비해 고객들은 소프트웨어 공급망과 개발 수명 주기에 가드레일을 통합해 보안을 유지하려 하고 있다.

레드햇 트러스티드 소프트웨어 서플라이 체인으로 제공되는 소프트웨어와 서비스는 최신 소프트웨어 개발 라이프사이클의 모든 단계에서 취약성에 대한 조직의 복원력을 강화한다.

레드햇 트러스티드 콘텐츠는 보안이 강화된 시스템 소프트웨어를 기반으로 구축된다. 레드햇 엔터프라이즈 리눅스에서만 수천 개의 신뢰할 수 있는 패키지와 자바(Java), 노드, 파이썬 에코시스템 전반의 중요한 애플리케이션 런타임 카탈로그가 포함돼 있다. 이 서비스는 오픈소스 패키지에 대해 엔터프라이즈 급으로 강화된 신뢰할 수 있는 콘텐츠 라이브러리를 제공한다.

레드햇 트러스티드 애플리케이션 파이프라인은 클라우드 네이티브 기반 보안 서명을 위한 무료 표준을 제공한다. 업스트림 커뮤니티에 공유 보안 인프라 핵심을 위한 시그스토어의 생성, 출시, 유지보수 작업에서 비롯됐다. 신뢰할 수 있는 애플리케이션 파이프라인은 레드햇이 프로덕션 소프트웨어를 구축하는 데 필요한 프로세스, 기술 및 전문 지식의 채택을 간소화하는 보안 지향적 지속적 통합/지속적 배포(CI/CD) 서비스를 제공한다.

◆ 소프트웨어 혁신과 소스 코드 보안의 연결

레드햇 트러스티드 콘텐츠는 개발자에게 오픈 소스 소프트웨어 종속성 내에서 알려진 취약성과 보안 위험에 대한 실시간 지식을 제공한다. 이 서비스는 위험을 최소화하기 위해 가능한 해결 방법을 제안해 개발 시간과 비용을 절감한다.

레드햇 트러스티드 콘텐츠는 레드햇의 내부 모범 사례를 사용해 출처와 입증이 가능한 레드햇에서 제작하고 큐레이션한 오픈 소스 소프트웨어에 대해 접근할 수 있게 한다. 이 서비스는 오픈 소스 종속성에서 새롭게 발생한 위험을 사전에 모니터링하고, 사용자에게 경고해 새로운 위협을 더 빠르게 해결할 수 있도록 지원한다.

서비스 프리뷰로 제공되는 레드햇 트러스티드 애플리케이션 파이프라인은 통합 CI/CD 파이프라인을 통해 고객이 애플리케이션 소프트웨어 공급망의 보안을 강화하도록 한다. 애플리케이션을 보다 안전하게 구축하고 리눅스 컨테이너에 보다 쉽게 통합해 몇 번의 클릭만으로 레드햇 오픈시프트 또는 기타 쿠버네티스 플랫폼에 배포할 수 있다.

이전에는 컨테이너화된 애플리케이션을 빌드, 테스트 및 배포하는 데 수백 줄의 자동화 코드와 고도로 수동적인 프로세스가 필요했다. 이로 인해 인적 오류가 발생할 가능성이 높아져 새로운 위험 요소가 추가되고 전반적인 속도를 늦췄다.

레드햇은 레드햇 트러스티드 애플리케이션 파이프라인으로 ▲컨테이너 네이티브 연속 빌드, 테스트 및 배포 파이프라인 구성 ▲소스 코드 및 전이 종속성 검사 ▲빌드 내 소프트웨어 자재 명세서(SBOM) 자동 생성 ▲소프트웨어 아티팩트에 대한 공급망 수준(SLSA) 등 업계 표준 일관성 확인에 도움이 된다고 설명했다.

사워 라자 래드햇 클라우드 서비스 부문 부사장 겸 총괄 관리자는 "IT 조직은 프로덕션 애플리케이션을 만드는 것을 넘어 최종 제품 구성 요소의 보안도 강화해야 한다"며 "레드햇 트러스티드 소프트웨어 서플라이 체인은 운영 애플리케이션에 대한 신뢰를 구축할 뿐만 아니라 보다 신속하게 시장에 출시할 수 있도록 지원한다"고 말했다.