search
ko한국어
banner
홈페이지 / 소식 / 소켓은 JavaScript와 Python을 넘어 Go로 이동합니다. • The Register
소식
pageSearch
최근 뉴스

소켓은 JavaScript와 Python을 넘어 Go로 이동합니다. • The Register

Jul 31, 2023Jul 31, 2023

인터뷰 오픈 소스 보안 사업 Socket은 Go 코드 검사에 대한 지원을 추가하여 이전에 JavaScript 및 Python만 다루었던 소스 코드 종속성 검사기를 확장하고 있습니다.

2,000만 달러의 시리즈 A 자금 조달을 발표하면서 보안 상점은 코드 툴킷에 세 가지를 추가하여 바쁜 한 주를 보냈습니다.

"오픈 소스 소프트웨어는 우리가 애플리케이션을 개발하는 방식에 혁명을 일으켰지만 그 자체로 일련의 과제도 가져왔습니다"라고 CEO인 Feross Aboukhadijeh는 The Register에 말했습니다. "가장 큰 것 중 하나는 현대 애플리케이션이 의존하는 방대한 종속성 웹의 보안을 보장하는 것입니다."

"애플리케이션은 너무 많은 종속성을 사용하므로 마음이 흔들립니다. 한 가지 예시는 200개 이상의 국가에서 380,000명 이상의 기여자가 구축한 19,000개 이상의 종속성을 사용하는 Discord 데스크톱 클라이언트입니다."

Go Aboukhadijeh는 소켓이 보안 위험을 식별하여 개발자가 보다 안전한 소프트웨어를 만들 수 있도록 돕기 위해 노력하고 있다고 말했습니다. 또는 발표 날짜인 2023년 8월 3일에 따라 이틀 후에 그렇게 됩니다.

Aboukhadijeh는 Go는 "개발자 커뮤니티, 특히 소켓 고객 사이에서 빠르게 채택되는 언어입니다. Go는 단순성과 효율성으로 잘 알려져 있어 고성능 애플리케이션에 널리 사용됩니다. 그러나 다른 언어와 마찬가지로 , 특히 분산형 VCS 기반 종속성 가져오기 접근 방식으로 인해 보안 위험으로부터 자유롭지 않습니다."

작년에 출시된 소켓에는 개인 개발자를 위한 무료 계층과 유료 팀 및 엔터프라이즈 계층이 있습니다. 오픈 소스 패키지를 평가하기 위해 다른 보안 스캐너가 존재하지만 일반적으로 알려진 취약점을 조사한다는 점에서 경쟁사와 차별화됩니다. 소켓은 반대 접근 방식을 취하며 모든 오픈 소스 패키지가 악성일 수 있다는 가정에서 시작합니다.

"소켓은 패키지의 동작을 분석하여 설치 스크립트, 난독화된 코드, 셸, 네트워크, 파일 시스템 및 환경 변수와 같은 권한 있는 API를 포착합니다."라고 보안 상점은 작년에 트윗했습니다.

소켓의 출현은 최근 소프트웨어 공급망에 대한 심각한 공격이 발견된 이후에 발생했습니다. 여기에는 빌드 및 통합 프로세스 중에 실행되는 타사 라이브러리나 스크립트를 통해 소프트웨어 애플리케이션을 손상시키려는 시도가 포함됩니다.

이러한 공격이 확산됨에 따라 미국 연방 정부에서는 프로그래머가 소프트웨어 자재 명세서(SBOM)를 통해 소프트웨어 개발 관행을 문서화하도록 하는 등의 관련 계획을 수립하게 되었습니다.

또한 Socket은 NPM 레지스트리에서 호스팅되는 코드 패키지에 대한 보안 분석 데이터를 표시하는 것을 목표로 하는 Chromium 기반 웹 브라우저인 Firefox용 무료 브라우저 확장 기능을 도입했습니다. Apple의 Safari 브라우저용 플러그인 버전도 출시될 예정입니다.

Aboukhadijeh는 "우리의 목표는 개발자가 애플리케이션에 추가할 새로운 오픈 소스 패키지를 검색하는 중요한 순간에 개발자가 파헤치는 데 몇 시간이 걸릴 정보를 생성하고 개발자의 손끝에 바로 제공하는 것입니다."라고 말했습니다. .

의심하지 않는 개발자가 자신의 앱에 전복된 라이브러리를 추가하도록 악의적인 사람이 손상된 코드를 JavaScript용 NPM 패키지 관리자에 몰래 넣으려고 시도하는 것이 매우 일반적이 되었습니다. 소켓 브라우저 확장은 NPM 패키지의 웹페이지를 샅샅이 뒤져 의심스러운 이유가 있는지 더 쉽게 확인할 수 있습니다.

Aboukhadijeh는 "오픈 소스 소프트웨어 보안 문제는 반복적인 문제입니다."라고 말했습니다. "보안 종속성을 선택하는 것은 앱 개발자뿐만 아니라 보안 종속성에 의존하는 종속성 등에 관한 것이기도 합니다. 이러한 복잡성은 보안 정보에 널리 액세스할 수 있도록 하는 것의 중요성을 강조합니다."

Aboukhadijeh는 소켓이 자사 웹사이트에서 보안 분석 데이터를 무료로 제공하게 되어 기쁘며 이러한 데이터가 어떻게 개발자에게 잘못된 코드로부터 경고를 줄 수 있는지에 대한 예를 지적했습니다.

"예를 들어, 게시 당시 NPM에서 여전히 호스팅하고 있는 맬웨어가 포함된 패키지에 대한 소켓 패키지 보고서는 다음과 같습니다: https://socket.dev/npm/package/bobjoll/overview/6.640.3. 더 자세히 살펴보면 Socket은 https://socket.dev/npm/package/bobjoll/files/6.640.3/scripts/script.js에서 악성 파일에 대한 딥 링크를 유용하게 제공합니다."

이전의: Meteor Lake 데스크탑용 Intel 소켓 LGA1851이 나타납니다. i5 전용일 수 있습니다. 다음: Intel 14세대 소켓 유형
문의 보내기
보내다