임베디드 리눅스 플랫폼의 CVE(공개적으로 알려진 보안 취약점) 모니터링 및 관리 지원
윈드리버는 임베디드 리눅스 플랫폼의 CVE(공개적으로 알려진 보안 취약점) 모니터링 및 관리를 지원하는 ‘윈드리버 스튜디오 리눅스 보안 스캐닝 서비스(Wind River Studio Linux Security Scanning Service)’를 무료로 제공한다고 밝혔다.
고유한 요구에 맞춰 임베디드 리눅스 개발을 수행하는 조직에 맞춰 설계된 이 서비스는 프로페셔널 수준의 식별이 가능하며, 사용자는 이 서비스를 통해 윈드리버에서 제공하는 수정 및 패치 사항 등을 포함하여 해당 CVE에 적합한 해결 솔루션이 있는지 확인할 수 있다.
개발자가 스캐너에 SBOM(Software Bill of Materials) 혹은 구성 목록을 실행시키면, 커널, 사용자 공간, 라이브러리 및 기타 시스템 구성 요소를 포함한 특정 플랫폼 계층을 분석하고 이를 광범위한 지식 기반과 비교하여 중요한 취약점을 정확하게 식별할 수 있다. 또한 플랫폼 패키지 내에서 활용되는 라이센스를 표시하여 아티팩트 생성 및 규정 준수 요구사항을 확인할 수 있다. 식별된 취약성의 결과 목록은 공통 취약점 스코어링 시스템(CVSS v3)에 따라 순위가 매겨진다.
CVE 이슈 해결 이후 조치를 필요로 하는 경우 윈드리버에 완화 계획에 대해 상담할 수 있다. 윈드리버 전문가의 컨설팅을 통해 식별된 각각의 취약점의 심각도와 악용 가능성을 바탕으로 CVE를 신속하게 분류하고 우선순위를 지정한 후, 리눅스 플랫폼 안전성에 필요한 시간 및 노력 수준을 평가하고 완화 계획을 세우는 방식이다.
아밋 로넌 윈드리버 최고 고객 책임자(CCO)는 “(지금은) 보다 효과적이고 선제적인 CVE 모니터링 및 관리가 중요해졌다. 그러나, 새로운 기능을 더하고, 시장에 더 빠르게 출시하려는 과정에서 CVE가 유지보수 사이클 내에서 부적절하게 처리되는 경우가 발생한다”고 밝히고, “윈드리버 ‘스튜디오 리눅스 보안 스캐닝 서비스’는 개발자들이 신속하게 고위험 취약점을 확인하고 조치 수단에 대한 우선순위를 파악할 수 있도록 도와줌으로써 리눅스 기반 시스템 보안을 강화할 수 있도록 한다.”고 말했다.
이 서비스는 욕토 프로젝트(Yocto Project), NIST 및 윈드리버 데이터베이스 CVE 등의 선별된 데이터 소스 모음의 지식 기반을 활용한다.
스튜디오 리눅스 보안 스캐닝 서비스는 웹사이트 www.windriver.com/services/linux/security-scanning에서 무료로 이용할 수 있다.
이 기사는 아이씨엔매거진에서 발행되었습니다. 더 많은 기사를 아이씨엔매거진에서 확인하실 수 있습니다.
