구글도 참여하는 오픈소스 보안 재단 OpenSSF가 2020년 11월 6일(현지시간) 오픈소스 프로젝트 안전성을 자동 평가할 수 있는 시큐리티 스코어카드(Security Scorecards)를 발표했다.
오픈소스 소프트웨어 개발 현장에선 처음부터 코드를 작성하는 게 아니라 패키징한 다른 오픈소스 소프트웨어 기능을 사용할 수 있다. 이처럼 객체가 다른 객체에 따라 작동하는 방식은 종속성이라고 한다.
구글 등 주요 IT 기업에서도 소프트웨어에 오픈소스 프로젝트 종속성을 포함할 수 있지만 패키지가 안전한지 여부를 확인하는 건 상당히 힘들다는 것. 구글조차 종속성 도입에 애를 먹고 있기 때문에 소규모 자원이 한정되어 있는 오픈소스 프로젝트 개발 현장에선 보안이 뒷전이 되어 버린 경우가 많다는 지적이다.
이런 문제의식에 따라 2020년 8월 출범한 OpenSSF가 기념할 만한 첫 오픈소스 프로젝트로 발표한 게 바로 시큐리티 스코어카드다. 시큐리티 스코어카드는 오픈소스 프로젝트를 이용하는데 따른 보안 문제에 대해 더 나은 판단을 하고 프로젝트 건전성을 제대로 평가할 수 있도록 하는 걸 주요 목적으로 개발한 것이다. 시큐리티 스코어카드를 이용하면 오픈소스 프로젝트 보안 점수가 자동 생성되기 때문에 새로운 종속성을 도입할 때 위험과 보안 등급이 기존보다 쉽게 된다.
프로젝트에 시큐리티 스코어카드를 이용하면 프로젝트에 보안 정책이 포함되어 있는지,, 적어도 2개 이상 다른 조직에서 참여자가 있는지, 종속성 선언이 이뤄지고 있는지를 비롯한 12개 항목에 대해 자동으로 확인해 합격, 불합격 판정과 10점까지 신뢰도 점수로 평가를 실시해준다.
2020년 10월에는 일반 패키지로 위장한 악성 오픈소스 구성 요소가 나와 있었다는 사례도 보고되고 있다. OpenSSF는 시큐리티 스코어카드 같은 노력은 악의적 의존 관계가 운영 시스템에 기어들어올 위험을 완화하는데 도움이 될 것이라고 밝히고 있다. 시큐리티 스코어카드는 지금은 깃허브 저장소에서만 작동하지만 OpenSSF 측은 앞으로 다른 소스 코드 저장소에서도 시큐리티 스코어카드를 사용할 수 있도록 개발을 진행시켜 나갈 방침이라고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.