금융 업계는 소프트웨어 공급망 위험에 놓여 있을까요? 디지털 혁신이 지배하는 시대에 금융 기관은 소프트웨어 공급망을 보호하는 데 있어 고유한 과제에 직면해 있습니다. 혁신을 주도하는 동시에 오픈 소스 소프트웨어(OSS)를 통합하면 복잡한 사이버 보안 위험도 발생합니다.
Checkmarx의 최고 고객 책임자인 Yoav Ziv가 The European Financial Review와의 인터뷰를 통해 설명한 '오픈 소스 소프트웨어가 금융 회사에 미칠 수 있는 잠재적인 위협과 이러한 위험을 해결하고 고객과의 신뢰를 유지할 수 있는 방법'을 소개해드립니다.
Open-Source Software and the Financial Sector: Risks and Mitigation Measures
금융 부문에서 오픈 소스 소프트웨어 사용과 관련된 위험은 무엇입니까?
OSS의 사용은 금융 부문에서 매우 일반적입니다. 이러한 구성 요소를 사용하면 소프트웨어를 보다 효율적이고 저렴한 비용으로 만들 수 있기 때문입니다. 회사가 자체 소프트웨어 도구 개발에 투자할 만큼 규모가 크거나 단순히 다른 곳에서 만든 솔루션을 사용하는 경우 오픈 소스 코드가 포함될 가능성이 높습니다.
그러나 이로 인해 특히 표적 공급망 공격과 관련하여 여러 가지 위험이 발생합니다. 2023년에 우리는 은행 부문을 표적으로 삼은 최초의 OSS 공급망 공격을 감지했습니다. 이러한 정교한 공격에는 OSS 구성 요소 내에 악성 코드를 삽입하는 경우가 많습니다. 이는 상호 연결된 시스템과 디지털 플랫폼에 대한 의존성으로 인해 금융 기관에 심각한 위협이 됩니다.
주요 위험은 무단 액세스입니다. OSS 취약점을 악용하는 공격자는 금융 시스템을 침해하여 데이터 유출이나 서비스 중단을 초래할 수 있습니다. 이러한 침해는 금전적인 영향을 미칠 뿐만 아니라 고객의 신뢰를 약화시킵니다. 이는 신뢰가 매우 중요한 분야에서 심각한 위험입니다.
기업은 정기적으로 고객의 민감한 정보를 처리하므로 데이터 무결성은 특히 중요한 문제입니다. 또한 금융 시스템의 복잡성으로 인해 한 영역의 위반이 빠르게 확대되어 광범위한 문제를 일으킬 수 있습니다.
금융 부문의 디지털 자산 내에서 오픈 소스 소프트웨어 사용에 대한 신뢰를 유지하기 위한 주요 과제와 솔루션은 무엇입니까?
자체 사내 소프트웨어를 개발하는 기업의 경우 오픈 소스 자산에 대한 신뢰를 유지하기 위해서는 큰 과제를 안겨줍니다. 주요 문제는 중요한 금융 애플리케이션에서 점점 더 많이 사용되고 있는 OSS의 보안과 무결성을 보장하는 것입니다. 여기에는 다각적인 접근 방식이 포함됩니다.
OSS 취약점을 악용하는 공격자는 금융 시스템을 침해하여 데이터 유출이나 서비스 중단을 초래할 수 있습니다.
우선, 강력한 소프트웨어 구성 분석(SCA)을 구현하는 것이 중요합니다. SCA는 조직 내에서 사용되는 OSS 패키지를 추적하여 알려진 취약점을 식별하는 데 도움을 줍니다. 위험 평가 및 관리에 도움이 되는 사용 중인 모든 OSS 구성 요소의 포괄적인 목록을 제공하는 소프트웨어 자재 명세서(SBOM) 생성도 필수적입니다. SBOM은 2021년 행정 명령(2021 executive order)에 따라 미국 정부 기관에 의무적으로 적용되며, ENISA와 NCSC에서는 이 관행을 적극 권장합니다.
또 다른 과제는 OSS 프로젝트의 평판을 모니터링하는 것입니다. 금융 기관은 보안 위험을 나타낼 수 있는 패키지 게시 루틴이나 기타 비정상적인 활동의 갑작스러운 변화를 주의해야 합니다. 잠재적인 취약점을 탐지하려면 패키지 동작에 대한 정적 분석과 동적 분석이 모두 필요합니다.
신뢰를 유지하기 위해 금융 기관은 OSS 사용 및 이를 보호하기 위해 취한 조치에 대해 고객 및 이해관계자에게 투명성을 보장해야 합니
다. 여기에는 보안 관행에 대한 명확한 의사소통과 OSS 관련 위험 관리 방법에 대한 정기적인 업데이트가 포함됩니다.
자체 소프트웨어를 개발하지 않는 기업의 경우, 사용하는 소프트웨어 공급업체와 동일한 접근 방식을 취하는 것이 중요합니다.
금융회사는 사이버보안 태세를 강화하기 위해 어떤 기술적 조치를 채택해야 합니까?
은행 부문의 소프트웨어 공급망에 대한 표적 공격이 증가함에 따라 금융 회사는 사이버 보안 태세를 강화하기 위한 포괄적인 기술적 조치를 채택해야 합니다.
우선, 소프트웨어 개발 수명주기의 모든 단계에 보안을 통합하는 것이 중요합니다. 여기에는 특히 오픈 소스 구성 요소의 취약성을 지속적으로 모니터링하고 감지하기 위한 고급 도구를 사용하는 것이 포함됩니다. 자동화된 보안 테스트와 정기적인 코드 검토를 구현하면 개발 프로세스 초기에 잠재적인 위협을 식별하는 데 도움이 될 수 있습니다.
또 다른 중요한 조치는 AI 기반 보안 솔루션을 사용하는 것입니다. 이를 통해 기존 방법으로는 놓칠 수 있는 복잡한 위협과 이상 징후를 탐지하는 향상된 기능을 제공할 수 있습니다. 또한 AI는 오탐을 줄이는 데 도움을 주어 보안 팀이 실제 위협에 집중할 수 있도록 해줍니다.
금융회사도 개발 환경 확보에 집중해야 한다. 여기에는 개발자가 보안 코딩 방법을 사용하고 보다 안전한 코드를 작성하는 데 도움이 되는 도구에 액세스할 수 있도록 하는 것이 포함됩니다. 개발자를 위한 정기적인 교육 및 인식 프로그램은 최신 보안 관행 및 위협에 대한 최신 정보를 유지하는 데 필수적입니다.
또한 기업은 AI 패키지 환각 및 종속성 혼란과 같은 새로운 위협으로부터 보호하기 위한 전략을 마련해야 합니다. 이를 위해서는 타사 구성 요소를 보다 엄격하게 조사하고 신뢰할 수 있는 공급업체 및 보안 파트너와의 협력을 강화해야 할 수 있습니다.
기술 측면을 보완하기 위해 금융회사는 어떤 전략 및 프로세스 기반 조치를 채택해야 합니까?
소프트웨어 공급망의 복잡성을 해결하려면 전략 기반 조치와 프로세스 기반 조치가 혼합되어 있어야 합니다.
보안에 대한 전체적인 접근 방식은 필수적이며 보안을 핵심 비즈니스 전략 및 운영 프로세스에 통합합니다.
소프트웨어 공급망의 복잡성을 해결하려면 전략 기반 조치와 프로세스 기반 조치가 혼합되어 있어야 합니다.
전략적으로 금융 회사는 이사회 수준에서 보안을 우선시하여 보안이 모든 비즈니스 결정의 핵심 구성 요소가 되도록 해야 합니다. 여기에는 보안 관행을 비즈니스 목표에 맞춰 조정하고 보안을 나중에 고려하지 않고 조직 문화의 일부로 만드는 것이 포함됩니다. 고위 경영진은 명확한 정책을 설정하고 보안 이니셔티브에 적절한 리소스를 할당하여 이 이니셔티브를 추진해야 합니다.
프로세스 관점에서 기업은 소프트웨어 공급망 위험을 관리하기 위한 포괄적인 프레임워크를 구축해야 합니다. 여기에는 철저한 위험 평가 수행, 강력한 보안 프로토콜 구현, 공급망에 대한 지속적인 모니터링 및 감사 보장이 포함됩니다. 엄격한 공급업체 관리 관행과 함께 소프트웨어 구성 요소에 대한 정기적인 업데이트와 패치는 취약점으로부터 보호하는 데 중요합니다.
우리의 가장 중요한 조언은 기업이 잠재적인 위협을 예측하고 비상 계획을 준비하면서 보안에 대한 사전 예방적 접근 방식을 채택해야 한다는 것입니다. 여기에는 최신 사이버 보안 동향과 위협을 파악하고 보안 조치를 지속적으로 업데이트하고 적용하는 것이 포함됩니다.
본질적으로 금융 부문에서 소프트웨어 공급망의 복잡성을 관리하려면 강력하고 탄력적인 사이버 보안 관행을 보장하기 위해 엄격한 프로세스 기반 조치와 결합된 전략적 하향식 접근 방식이 필요합니다.
CheckMarx SCA(Software Composition Analysis)
체크막스는 SCA(Software Composition Analysis) 솔루션을 통해 오픈 소스 소프트웨어가 금융 회사에 미칠 수 있는 잠재적인 위협과 위험을 해결하고 고객과의 신뢰를 유지할 수 있도록 지원합니다.
Checkmarx SCA는 강력한 소프트웨어 구성 분석으로 조직 내에서 사용되는 OSS 패키지를 추적하여 알려진 취약점을 식별하고, SBOM을 생성하고, OSS 프로젝트의 평판을 모니터링해 오픈소스 보안 취약점과 위험을 지속적으로 관리하고 라이선스 준수를 보장합니다.
Checkmarx SCA 개요 및 동작방식
보안 및 라이선스 위험의 이해
Checkmarx SCA(Software Composition Analysis)는 오픈 소스 코드에서 모든 라이선스 위험, 취약성 및 악성 패키지를 식별합니다.
Checkmarx SCA 동작방식
조직은 Checkmarx SCA를 통해 선행적이고 신속 포괄적인 위험 식별을 통해 안심하고 오픈 소스 패키지를 사용할 수 있습니다.
Checkmarx SCA 차별점 및 특장점
Checkmarx의 차별점
기존 SCA 툴은 SBOM 생성과 라이선스 및 CVE 문제 확인의 범주까지 지원하지만, Checkmarx SCA는 공급망 보안까지 포함된 아래와 같은 항목을 지원합니다.
SBOM 생성: OSS 사용을 추적하고 규정 준수를 유지하기 위해 SBOM 생성 및 내보내기
라이선스 및 CVE 문제 확인: 다시 스캔할 필요 없이 새로운 취약점 및 라이선스 경고
악성 패키지 탐지: 종속성 혼동, 체인재킹, 타이포스쿼팅 등
기여자 평판: 오픈 소스 프로젝트 내 비정상적인 활동 식별
행위 분석: 정적 및 동적 분석 내 악성 행위 검사
지속적인 결과 처리: 위협 헌팅 및 위협 인텔리전스 DB에 대한 피드백
Checkmarx SCA 주요 특장점
Checkmarx의 보안 연구팀
Checkmarx 보안 연구팀은 다음과 같은 성과를 보유하고 있습니다.
보안 연구팀은 공격 방법의 창의적 다양성을 발견하고, 고유 취약점 및 악성 패키지에 대한 가시성을 확보합니다.
의사 결정 향상
Threat Intelligence API는 120,000개 이상의 악성 패키지에 대한 Checkmarx 인텔리전스에 대한 액세스를 제공합니다.
효과적인 분류 및 우선 순위 지정
패키지 경로
악용 가능 경로
패키지 경로: 종속성 구조의 시각화된 화면 제공으로 취약성이 발생하는 위치를 보여주어 어떤 구성 요소를 수정해야 하는지 이해
악용 가능 경로: 개발자의 자체 개발 코드 내에서 오픈 소스가 호출되는 위치를 빠르게 발견하고 취약한 기능이 있는 위치를 식별
직관적인 필터: 상태, 날짜, 위치, 범주 및 위험 점수를 포함하여 직관적인 필터를 사용하여 관심 있는 결과만 확인 가능
종속성의 투명한 위험 평가: 종속성 구조의 전체적인 위험 점수로 심각도 이해 가능
빠른 교정
명확한 지침: 업데이트할 버전 또는 패키지 제거 여부를 포함하여 문제를 해결하는 방법에 대한 정보가 명확하게 표시
사용 가능한 버전 기록: AppSec Knowledge Center는 알려진 취약점이 없는 버전을 포함하여 이전 버전에 대한 자세한 정보 제공
정책 관리: 정책을 위반하는 경우 알림뿐만 아니라 소프트웨어 빌드 제어의 자동화 조치
개발자 워크플로 통합
형상관리 및 IDE에 쉽게 통합: IDE 상의 로컬 분석을 통해 문제를 사전에 감지하여 개발자와의 마찰 최소화
Resolver API: 내부 도구 및 프로세스 구축을 위한 전용 API
언어 지원: Checkmarx SCA는 Java, Javascript 및 Ruby를 포함한 광범위한 언어 범위를 제공
IDE 통합: Eclipse, IntelliJ, Visual Studio, Visual Studio Code
형상관리 통합: GitHub, GitLab, Bitbucket, Azure DevOps, Git
Checkmarx SCA 모범 사례
Checkamarx SCA(Software Composition Analysis) 솔루션에 대한 자세한 정보는 아래 홈페이지를 통해 확인 부탁드립니다.
▶ Checkmarx SCA - 오픈소스 보안 취약점 및 라이선스 위험 관리 솔루션
https://www.softwidesec.com/Checkmarx
금융 업계는 소프트웨어 공급망 위험에 놓여 있을까요? 디지털 혁신이 지배하는 시대에 금융 기관은 소프트웨어 공급망을 보호하는 데 있어 고유한 과제에 직면해 있습니다. 혁신을 주도하는 동시에 오픈 소스 소프트웨어(OSS)를 통합하면 복잡한 사이버 보안 위험도 발생합니다.
Checkmarx의 최고 고객 책임자인 Yoav Ziv가 The European Financial Review와의 인터뷰를 통해 설명한 '오픈 소스 소프트웨어가 금융 회사에 미칠 수 있는 잠재적인 위협과 이러한 위험을 해결하고 고객과의 신뢰를 유지할 수 있는 방법'을 소개해드립니다.
Open-Source Software and the Financial Sector: Risks and Mitigation Measures
금융 부문에서 오픈 소스 소프트웨어 사용과 관련된 위험은 무엇입니까?
OSS의 사용은 금융 부문에서 매우 일반적입니다. 이러한 구성 요소를 사용하면 소프트웨어를 보다 효율적이고 저렴한 비용으로 만들 수 있기 때문입니다. 회사가 자체 소프트웨어 도구 개발에 투자할 만큼 규모가 크거나 단순히 다른 곳에서 만든 솔루션을 사용하는 경우 오픈 소스 코드가 포함될 가능성이 높습니다.
그러나 이로 인해 특히 표적 공급망 공격과 관련하여 여러 가지 위험이 발생합니다. 2023년에 우리는 은행 부문을 표적으로 삼은 최초의 OSS 공급망 공격을 감지했습니다. 이러한 정교한 공격에는 OSS 구성 요소 내에 악성 코드를 삽입하는 경우가 많습니다. 이는 상호 연결된 시스템과 디지털 플랫폼에 대한 의존성으로 인해 금융 기관에 심각한 위협이 됩니다.
주요 위험은 무단 액세스입니다. OSS 취약점을 악용하는 공격자는 금융 시스템을 침해하여 데이터 유출이나 서비스 중단을 초래할 수 있습니다. 이러한 침해는 금전적인 영향을 미칠 뿐만 아니라 고객의 신뢰를 약화시킵니다. 이는 신뢰가 매우 중요한 분야에서 심각한 위험입니다.
기업은 정기적으로 고객의 민감한 정보를 처리하므로 데이터 무결성은 특히 중요한 문제입니다. 또한 금융 시스템의 복잡성으로 인해 한 영역의 위반이 빠르게 확대되어 광범위한 문제를 일으킬 수 있습니다.
금융 부문의 디지털 자산 내에서 오픈 소스 소프트웨어 사용에 대한 신뢰를 유지하기 위한 주요 과제와 솔루션은 무엇입니까?
자체 사내 소프트웨어를 개발하는 기업의 경우 오픈 소스 자산에 대한 신뢰를 유지하기 위해서는 큰 과제를 안겨줍니다. 주요 문제는 중요한 금융 애플리케이션에서 점점 더 많이 사용되고 있는 OSS의 보안과 무결성을 보장하는 것입니다. 여기에는 다각적인 접근 방식이 포함됩니다.
OSS 취약점을 악용하는 공격자는 금융 시스템을 침해하여 데이터 유출이나 서비스 중단을 초래할 수 있습니다.
우선, 강력한 소프트웨어 구성 분석(SCA)을 구현하는 것이 중요합니다. SCA는 조직 내에서 사용되는 OSS 패키지를 추적하여 알려진 취약점을 식별하는 데 도움을 줍니다. 위험 평가 및 관리에 도움이 되는 사용 중인 모든 OSS 구성 요소의 포괄적인 목록을 제공하는 소프트웨어 자재 명세서(SBOM) 생성도 필수적입니다. SBOM은 2021년 행정 명령(2021 executive order)에 따라 미국 정부 기관에 의무적으로 적용되며, ENISA와 NCSC에서는 이 관행을 적극 권장합니다.
또 다른 과제는 OSS 프로젝트의 평판을 모니터링하는 것입니다. 금융 기관은 보안 위험을 나타낼 수 있는 패키지 게시 루틴이나 기타 비정상적인 활동의 갑작스러운 변화를 주의해야 합니다. 잠재적인 취약점을 탐지하려면 패키지 동작에 대한 정적 분석과 동적 분석이 모두 필요합니다.
신뢰를 유지하기 위해 금융 기관은 OSS 사용 및 이를 보호하기 위해 취한 조치에 대해 고객 및 이해관계자에게 투명성을 보장해야 합니
다. 여기에는 보안 관행에 대한 명확한 의사소통과 OSS 관련 위험 관리 방법에 대한 정기적인 업데이트가 포함됩니다.
자체 소프트웨어를 개발하지 않는 기업의 경우, 사용하는 소프트웨어 공급업체와 동일한 접근 방식을 취하는 것이 중요합니다.
금융회사는 사이버보안 태세를 강화하기 위해 어떤 기술적 조치를 채택해야 합니까?
은행 부문의 소프트웨어 공급망에 대한 표적 공격이 증가함에 따라 금융 회사는 사이버 보안 태세를 강화하기 위한 포괄적인 기술적 조치를 채택해야 합니다.
우선, 소프트웨어 개발 수명주기의 모든 단계에 보안을 통합하는 것이 중요합니다. 여기에는 특히 오픈 소스 구성 요소의 취약성을 지속적으로 모니터링하고 감지하기 위한 고급 도구를 사용하는 것이 포함됩니다. 자동화된 보안 테스트와 정기적인 코드 검토를 구현하면 개발 프로세스 초기에 잠재적인 위협을 식별하는 데 도움이 될 수 있습니다.
또 다른 중요한 조치는 AI 기반 보안 솔루션을 사용하는 것입니다. 이를 통해 기존 방법으로는 놓칠 수 있는 복잡한 위협과 이상 징후를 탐지하는 향상된 기능을 제공할 수 있습니다. 또한 AI는 오탐을 줄이는 데 도움을 주어 보안 팀이 실제 위협에 집중할 수 있도록 해줍니다.
금융회사도 개발 환경 확보에 집중해야 한다. 여기에는 개발자가 보안 코딩 방법을 사용하고 보다 안전한 코드를 작성하는 데 도움이 되는 도구에 액세스할 수 있도록 하는 것이 포함됩니다. 개발자를 위한 정기적인 교육 및 인식 프로그램은 최신 보안 관행 및 위협에 대한 최신 정보를 유지하는 데 필수적입니다.
또한 기업은 AI 패키지 환각 및 종속성 혼란과 같은 새로운 위협으로부터 보호하기 위한 전략을 마련해야 합니다. 이를 위해서는 타사 구성 요소를 보다 엄격하게 조사하고 신뢰할 수 있는 공급업체 및 보안 파트너와의 협력을 강화해야 할 수 있습니다.
기술 측면을 보완하기 위해 금융회사는 어떤 전략 및 프로세스 기반 조치를 채택해야 합니까?
소프트웨어 공급망의 복잡성을 해결하려면 전략 기반 조치와 프로세스 기반 조치가 혼합되어 있어야 합니다.
보안에 대한 전체적인 접근 방식은 필수적이며 보안을 핵심 비즈니스 전략 및 운영 프로세스에 통합합니다.
소프트웨어 공급망의 복잡성을 해결하려면 전략 기반 조치와 프로세스 기반 조치가 혼합되어 있어야 합니다.
전략적으로 금융 회사는 이사회 수준에서 보안을 우선시하여 보안이 모든 비즈니스 결정의 핵심 구성 요소가 되도록 해야 합니다. 여기에는 보안 관행을 비즈니스 목표에 맞춰 조정하고 보안을 나중에 고려하지 않고 조직 문화의 일부로 만드는 것이 포함됩니다. 고위 경영진은 명확한 정책을 설정하고 보안 이니셔티브에 적절한 리소스를 할당하여 이 이니셔티브를 추진해야 합니다.
프로세스 관점에서 기업은 소프트웨어 공급망 위험을 관리하기 위한 포괄적인 프레임워크를 구축해야 합니다. 여기에는 철저한 위험 평가 수행, 강력한 보안 프로토콜 구현, 공급망에 대한 지속적인 모니터링 및 감사 보장이 포함됩니다. 엄격한 공급업체 관리 관행과 함께 소프트웨어 구성 요소에 대한 정기적인 업데이트와 패치는 취약점으로부터 보호하는 데 중요합니다.
우리의 가장 중요한 조언은 기업이 잠재적인 위협을 예측하고 비상 계획을 준비하면서 보안에 대한 사전 예방적 접근 방식을 채택해야 한다는 것입니다. 여기에는 최신 사이버 보안 동향과 위협을 파악하고 보안 조치를 지속적으로 업데이트하고 적용하는 것이 포함됩니다.
본질적으로 금융 부문에서 소프트웨어 공급망의 복잡성을 관리하려면 강력하고 탄력적인 사이버 보안 관행을 보장하기 위해 엄격한 프로세스 기반 조치와 결합된 전략적 하향식 접근 방식이 필요합니다.
CheckMarx SCA(Software Composition Analysis)
체크막스는 SCA(Software Composition Analysis) 솔루션을 통해 오픈 소스 소프트웨어가 금융 회사에 미칠 수 있는 잠재적인 위협과 위험을 해결하고 고객과의 신뢰를 유지할 수 있도록 지원합니다.
Checkmarx SCA는 강력한 소프트웨어 구성 분석으로 조직 내에서 사용되는 OSS 패키지를 추적하여 알려진 취약점을 식별하고, SBOM을 생성하고, OSS 프로젝트의 평판을 모니터링해 오픈소스 보안 취약점과 위험을 지속적으로 관리하고 라이선스 준수를 보장합니다.
Checkmarx SCA 개요 및 동작방식
보안 및 라이선스 위험의 이해
Checkmarx SCA(Software Composition Analysis)는 오픈 소스 코드에서 모든 라이선스 위험, 취약성 및 악성 패키지를 식별합니다.
Checkmarx SCA 동작방식
조직은 Checkmarx SCA를 통해 선행적이고 신속 포괄적인 위험 식별을 통해 안심하고 오픈 소스 패키지를 사용할 수 있습니다.
Checkmarx SCA 차별점 및 특장점
Checkmarx의 차별점
기존 SCA 툴은 SBOM 생성과 라이선스 및 CVE 문제 확인의 범주까지 지원하지만, Checkmarx SCA는 공급망 보안까지 포함된 아래와 같은 항목을 지원합니다.
SBOM 생성: OSS 사용을 추적하고 규정 준수를 유지하기 위해 SBOM 생성 및 내보내기
라이선스 및 CVE 문제 확인: 다시 스캔할 필요 없이 새로운 취약점 및 라이선스 경고
악성 패키지 탐지: 종속성 혼동, 체인재킹, 타이포스쿼팅 등
기여자 평판: 오픈 소스 프로젝트 내 비정상적인 활동 식별
행위 분석: 정적 및 동적 분석 내 악성 행위 검사
지속적인 결과 처리: 위협 헌팅 및 위협 인텔리전스 DB에 대한 피드백
Checkmarx SCA 주요 특장점
Checkmarx의 보안 연구팀
Checkmarx 보안 연구팀은 다음과 같은 성과를 보유하고 있습니다.
Checkmarx 보안 연구팀에 의해 150K개의 악성 오픈소스 패키지 식별
매월 백만 개 이상 오픈소스 패키지 분석 진행
보안 연구팀은 공격 방법의 창의적 다양성을 발견하고, 고유 취약점 및 악성 패키지에 대한 가시성을 확보합니다.
의사 결정 향상
Threat Intelligence API는 120,000개 이상의 악성 패키지에 대한 Checkmarx 인텔리전스에 대한 액세스를 제공합니다.
효과적인 분류 및 우선 순위 지정
패키지 경로
악용 가능 경로
패키지 경로: 종속성 구조의 시각화된 화면 제공으로 취약성이 발생하는 위치를 보여주어 어떤 구성 요소를 수정해야 하는지 이해
악용 가능 경로: 개발자의 자체 개발 코드 내에서 오픈 소스가 호출되는 위치를 빠르게 발견하고 취약한 기능이 있는 위치를 식별
직관적인 필터: 상태, 날짜, 위치, 범주 및 위험 점수를 포함하여 직관적인 필터를 사용하여 관심 있는 결과만 확인 가능
종속성의 투명한 위험 평가: 종속성 구조의 전체적인 위험 점수로 심각도 이해 가능
빠른 교정
명확한 지침: 업데이트할 버전 또는 패키지 제거 여부를 포함하여 문제를 해결하는 방법에 대한 정보가 명확하게 표시
사용 가능한 버전 기록: AppSec Knowledge Center는 알려진 취약점이 없는 버전을 포함하여 이전 버전에 대한 자세한 정보 제공
정책 관리: 정책을 위반하는 경우 알림뿐만 아니라 소프트웨어 빌드 제어의 자동화 조치
개발자 워크플로 통합
형상관리 및 IDE에 쉽게 통합: IDE 상의 로컬 분석을 통해 문제를 사전에 감지하여 개발자와의 마찰 최소화
Resolver API: 내부 도구 및 프로세스 구축을 위한 전용 API
언어 지원: Checkmarx SCA는 Java, Javascript 및 Ruby를 포함한 광범위한 언어 범위를 제공
IDE 통합: Eclipse, IntelliJ, Visual Studio, Visual Studio Code
형상관리 통합: GitHub, GitLab, Bitbucket, Azure DevOps, Git
Checkmarx SCA 모범 사례
Checkamarx SCA(Software Composition Analysis) 솔루션에 대한 자세한 정보는 아래 홈페이지를 통해 확인 부탁드립니다.
▶ Checkmarx SCA - 오픈소스 보안 취약점 및 라이선스 위험 관리 솔루션
https://www.softwidesec.com/Checkmarx