Kusari와 CNCF: 클라우드 네이티브 프로젝트를 위한 소프트웨어 공급망 보안 강화
Source: CNCF Blog
소개
오픈 소스는 현대 소프트웨어의 기반이 되었지만, 오늘날 소프트웨어 공급망의 규모와 속도는 새로운 보안 과제를 만들고 있습니다. 애플리케이션은 복잡한 환경 전반에 걸쳐 수백 또는 수천 개의 구성 요소에 의존하며, 그 중 많은 부분이 전이 관계를 통해 자동으로 가져와집니다. AI‑생성 코드와 자동화된 개발 파이프라인의 급격한 증가로 인해 지능적이고 통합된 보안 감시가 그 어느 때보다 필수적입니다.
공격자들도 마찬가지로 빠르게 진화하고 있으며, 보다 표적화되고 정교한 위협이 등장하고 있습니다. 공급망 침해, 의존성 공격, 라이선스 위험은 오픈‑소스 커뮤니티에서 지속적으로 증가하고 있습니다. 제한된 자원으로 운영되는 유지보수자와 보안 팀에게는 소프트웨어 공급망에 실제로 무엇이 포함되어 있는지, 그리고 위험이 어디에 존재하는지에 대한 명확한 가시성을 확보하는 것이 매우 중요합니다.
Kusari × CNCF 파트너십
Kusari는 클라우드 네이티브 소프트웨어를 위한 지속 가능한 생태계를 구축하는 Cloud Native Computing Foundation (CNCF)와 파트너십을 맺게 되어 기쁩니다. 우리의 공동 목표는 유지보수자와 기여자가 클라우드 네이티브 프로젝트를 구동하는 복잡한 의존성 생태계를 보안 전문가가 될 필요 없이 보호하기 쉽게 만드는 것입니다. 이번 파트너십의 일환으로 CNCF 프로젝트는 Kusari Inspector 라는 AI‑드리븐 코드 리뷰 및 의존성‑관리 도구를 무료로 이용할 수 있습니다.
CNCF 프로젝트는 현대 인프라의 핵심에 자리하고 있습니다. 의존성 그래프가 깊어지고, 라이선스 위험이 확대되며, 빌드가 더 자동화될수록 가시성은 어려워집니다. 많은 팀이 여러 도구에 의존하지만 여전히 공급망에 무엇이 들어있는지에 대한 명확하고 연결된 뷰가 부족합니다—특히 전이적 의존성을 포함한 경우에 그렇습니다.
Kusari Inspector를 사용하는 프로젝트
- Gemara
- GitTUF
- GUAC
- in‑toto/Witness
- OpenVEX
- Protobom
- Supply‑chain Levels for Software Artifacts (SLSA)
“나는 Claude를 사용해 go‑witness에 풀 리퀘스트를 제출했어요,” 라고 in‑toto/Witness의 유지보수자 John Kjell이 말했습니다. “Kusari Inspector가 Claude가 놓친 문제를 찾아냈습니다. 제가 Claude에게 Kusari Inspector가 표시한 부분을 고치라고 요청했더니, 실제로 고쳐졌어요.”
주요 기능
- 종속성 관계 시각화 및 분석
- 빌드 및 릴리스 전반에 걸친 공급망 위험 식별
- 출처 증명 및 인증 범위 향상
- 반응형 스캔에서 보다 깊은 분석 및 풍부한 컨텍스트로 전환
Kusari Inspector는 종속성 인텔리전스를 개발자 워크플로에 직접 통합하여 인라인 피드백, 해결 가이드 및 안전한 병합 권장 사항을 몇 초 안에 제공합니다.
유지보수자를 위한 혜택
가시성 외에도 Kusari Inspector는 개발자들이 깊은 보안 전문 지식 없이도 안전한 코드를 작성하도록 돕습니다. **Application Security in Practice report**에 따르면 대부분의 조직이 여전히 보안 문제를 표면에 드러난 뒤에야 대응하고 있으며, 팀의 3분의 2가 공급망 사고에 대응하는 데 주당 최대 20시간을 소비하고 있습니다. 이러한 반응형 모델은 개발 주기에 부담을 줍니다.
오픈소스 프로젝트는 종종 파트타임 기여자 소규모 팀에 의존하고 전담 보안 인력이 부족합니다. 반응형 조사, 의존성 검토, 라이선스 문의 등은 제한된 역량을 핵심 우선순위와 커뮤니티 지원에서 빼앗아 갑니다. 풀 리퀘스트에 자동 검사를 직접 늘림으로써 프로젝트는 다음을 달성할 수 있습니다:
- 검토 지연 시간 감소
- 문제를 더 일찍 포착하여 반응형 화재 진압에서 사전 예방으로 전환
- 개발 흐름에 통합된 상황 인식 피드백 제공
커뮤니티의 목소리
“CNCF 프로젝트는 오늘날 오픈 소스에서 진행되고 있는 가장 혁신적이고 중요한 작업 중 일부를 대표합니다,” 라고 CNCF 전무 이사인 Jonathan Bryce가 말했습니다. “Kusari와의 파트너십을 통해 유지보수자는 이제 소프트웨어 공급망에 대한 가시성을 높이고 보안을 강화할 수 있게 되었으며, 이를 통해 커뮤니티는 자신감과 회복력, 신뢰를 가지고 구축하고 성장할 수 있습니다.”
“GUAC의 공동 창시자이자 오랜 기간 CNCF 기여자이자 기술 자문 위원회 위원인 저는, 이번 파트너십이 CNCF가 Kusari에 부여한 신뢰를 강력히 반영한다고 생각합니다,” 라고 Kusari 공동 창업자이자 CEO인 Tim Miller가 말했습니다. “우리에게 이 파트너십은 오픈 소스에 대한 우리의 약속을 자연스럽게 확장하는 것으로, 공급망 가시성과 보안을 향상시키는 데 도움이 됩니다.”
시작하기
CNCF 프로젝트에 참여하고 공급망에 대한 더 큰 투명성을 원한다면, Kusari Inspector를 무료로 사용할 수 있습니다: