새해에는 소스 코드용 보안 프레임워크와 라이브러리를 활용하는 웹 애플리케이션 방화벽(WAF)의 필요성과 심각도가 높은/중요한 취약점을 즉시 알려주는 새로운 서비스인 버그알럿에 대해 논의할 예정입니다.
WAF 사용 또는 사용 안 하기
WAF의 효과를 판단하기 어려울 수 있기 때문에 WAF의 효과는 많은 논쟁이 있는 주제입니다. WAF는 다음 조건이 충족될 때마다 유용할 수 있습니다:
- 취약점을 수정하는 데 드는 비용이 WAF를 구현하는 것보다 높습니다.
- 차단되는 트래픽의 양이 허용 임계값보다 낮습니다.
방화벽을 사용하여 봇과 스크레이퍼가 웹사이트에 접근하는 것을 방지하고, 애플리케이션 계층 보안을 제공하며, IP 목록을 허용/금지하는 완화 조치를 구현할 수도 있습니다. 이러한 유형의 봇을 줄이기 위해 캡차 또는 자바스크립트 챌린지를 사용하는 것도 WAF의 간단한 구현에 포함될 수 있습니다. WAF를 프록시로 사용하여 특정 트래픽을 허용하고 나머지는 금지할 수 있습니다.
WAF에 대한 중요한 시사점은 한번 설정하고 잊어버리는 솔루션이 아니라는 점입니다. WAF는 처음부터 배포까지 세심한 관리가 필요합니다. WAF를 지속적으로 최적화하기 위해서는 전담 직원/팀이 WAF를 유지 관리해야 합니다.
WAF에 접근하는 가장 이상적인 방법은 웹 애플리케이션에 대한 원치 않는 트래픽을 차단하기 위해 주로 설계된 솔루션으로 취급하는 것입니다.
보안 프레임워크 및 라이브러리를 활용하여 안전한 코드 만들기
보안 코드를 직접 구현하는 것은 제대로 실행하는 데 번거로운 작업이 될 수 있습니다. 공격자는 코드의 아주 작은 부분을 악용하여 애플리케이션을 취약하게 만들 수 있습니다.
코드 보안 기능과 관련하여 보안에 집중하면서 제품 제작에 집중할 수 있도록 해주는 프레임워크와 라이브러리가 있습니다. Github의 이 문서에서는 이러한 프레임워크와 라이브러리를 사용할 때 살펴봐야 할 사항을 평가하는 데 도움이 될 수 있는 다양한 방법과 요소에 대해 설명합니다.
어떤 라이브러리를 사용할지 결정할 때마다 이 다섯 가지 요소를 고려해야 합니다:
- 패키지가 널리 사용되고 있나요?
- 패키지에 대한 평판이 좋은가요?
- 특정 라이브러리에 대한 좋은 리뷰가 있나요?
- 패키지가 적극적으로 유지 관리되나요?
- 패키지의 만기가 있나요?
- 이는 대부분의 기능이 일관되게 구현되고 있는 명확한 로드맵이 있다는 좋은 지표입니다.
- 패키지의 보안 문제가 적시에 해결되고 있나요?
웹 프레임워크를 다루고 해당 프레임워크에 보안을 적용하려면 프레임워크에서 어떤 보안 작업(XSS 출력 인코딩 또는 입력 유효성 검사)을 처리해야 하는지 결정하는 것이 중요합니다.
어떤 형태의 보안이 내장된 웹 프레임워크를 사용할 때 고려해야 할 중요한 요소는 프레임워크가 데이터 인코딩을 처리하도록 허용하는 것입니다. 프레임워크가 데이터 인코딩을 처리하도록 하면 사용자가 보안 조치를 놓치거나 잘못 구현할 가능성을 줄일 수 있습니다. 안전하지 않을 수 있는 동작을 허용하려면 허용되는 동작에 대한 철저한 분석과 해당 동작이 기본값이 아니라는 사실을 인식해야 합니다.
라이브러리와 프레임워크를 통합할 때는 소스 코드의 종속성을 업데이트하는 것이 중요합니다. GitHub Dependabot과 같은 소프트웨어 구성 분석 도구를 사용하여 종속성을 최신 상태로 유지할 수 있습니다.
버그알러트
로그4j 취약점 이후, 보안 전문가인 Matthew Sullivan은 보안 및 IT 전문가에게 심각도가 높고 중요한 취약점을 알려주는 새로운 서비스인 Bugalert를 출시했습니다. Bugalert의 유일한 목표는 이메일, 전화 또는 SMS를 통해 심각한 소프트웨어 결함을 신속하게 알리는 것입니다.
현재 버그알럿은 프로그램을 개발하고 개선하기 위해 기여자를 모집하고 있습니다. 기여에 관심이 있으신 분은 언제든지 깃허브 이슈를 개설해 주세요.
내용