¹Ì¼Ç Å©¸®Æ¼Äà Áö´ÉÇü ½Ã½ºÅÛ °³¹ß ¼ÒÇÁÆ®¿þ¾î ±â¾÷ À©µå¸®¹ö´Â ÀÓº£µðµå ¸®´ª½º Ç÷§ÆûÀÇ CVE(°ø°³ÀûÀ¸·Î ¾Ë·ÁÁø º¸¾È Ãë¾àÁ¡) ¸ð´ÏÅ͸µ ¹× °ü¸®¸¦ Áö¿øÇÏ´Â À©µå¸®¹ö ½ºÆ©µð¿À ¸®´ª½º º¸¾È ½ºÄ³´× ¼ºñ½º(Wind River Studio Linux Security Scanning Service)¸¦ Ãâ½ÃÇß´Ù°í ¹àÇû´Ù.
°³¹ßÀÚ°¡ ½ºÄ³³Ê¿¡ SBOM(Software Bill of Materials) ȤÀº ±¸¼º ¸ñ·ÏÀ» ½ÇÇà½ÃÅ°¸é, Ä¿³Î, »ç¿ëÀÚ °ø°£, ¶óÀ̺귯¸® ¹× ±âŸ ½Ã½ºÅÛ ±¸¼º ¿ä¼Ò¸¦ Æ÷ÇÔÇÑ Æ¯Á¤ Ç÷§Æû °èÃþÀ» ºÐ¼®ÇÏ°í À̸¦ ±¤¹üÀ§ÇÑ Áö½Ä ±â¹Ý°ú ºñ±³ÇÏ¿© Áß¿äÇÑ Ãë¾àÁ¡À» Á¤È®ÇÏ°Ô ½Äº°ÇÒ ¼ö ÀÖ´Ù. ¶ÇÇÑ Ç÷§Æû ÆÐÅ°Áö ³»¿¡¼ È°¿ëµÇ´Â ¶óÀ̼¾½º¸¦ Ç¥½ÃÇÏ¿© ¾ÆƼÆÑÆ® »ý¼º ¹× ±ÔÁ¤ Áؼö ¿ä±¸»çÇ×À» È®ÀÎÇÒ ¼ö ÀÖ´Ù. ½Äº°µÈ Ãë¾à¼ºÀÇ °á°ú ¸ñ·ÏÀº °øÅë Ãë¾àÁ¡ ½ºÄھ ½Ã½ºÅÛ(CVSS v3)¿¡ µû¶ó ¼øÀ§°¡ ¸Å°ÜÁø´Ù.
ÀÌ ¼ºñ½º´Â ¿åÅä ÇÁ·ÎÁ§Æ®(Yocto Project), NIST ¹× À©µå¸®¹ö µ¥ÀÌÅͺ£À̽º CVE µîÀÇ ¼±º°µÈ µ¥ÀÌÅÍ ¼Ò½º ¸ðÀ½ÀÇ Áö½Ä ±â¹ÝÀ» È°¿ëÇÑ´Ù.
CVE À̽´ ÇØ°á ÀÌÈÄ Á¶Ä¡¸¦ ÇÊ¿ä·Î ÇÏ´Â °æ¿ì À©µå¸®¹ö¿¡ ¿ÏÈ °èȹ¿¡ ´ëÇØ »ó´ãÇÒ ¼ö ÀÖ´Ù. À©µå¸®¹ö Àü¹®°¡ÀÇ ÄÁ¼³ÆÃÀ» ÅëÇØ ½Äº°µÈ °¢°¢ÀÇ Ãë¾àÁ¡ÀÇ ½É°¢µµ¿Í ¾Ç¿ë °¡´É¼ºÀ» ¹ÙÅÁÀ¸·Î CVE¸¦ ½Å¼ÓÇÏ°Ô ºÐ·ùÇÏ°í ¿ì¼±¼øÀ§¸¦ ÁöÁ¤ÇÑ ÈÄ, ¸®´ª½º Ç÷§Æû ¾ÈÀü¼º¿¡ ÇÊ¿äÇÑ ½Ã°£ ¹× ³ë·Â ¼öÁØÀ» Æò°¡ÇÏ°í ¿ÏÈ °èȹÀ» ¼¼¿ì´Â ¹æ½ÄÀÌ´Ù.
½ºÆ©µð¿À ¸®´ª½º º¸¾È ½ºÄ³´× ¼ºñ½º´Â À¥»çÀÌÆ®¿¡¼ ¹«·á·Î ÀÌ¿ëÇÒ ¼ö ÀÖ´Ù. |
