오픈소스 소프트웨어(SW)의 보안성을 높이기 위해 리눅스 재단이 일명 '배지 프로그램'을 도입하는 방법으로 보안성 높이기에 나섰다. 19일(현지시간) 미국 시애틀에서 개최된 리눅스콘에서 코어 인프라스트럭처 이니셔티브(CII)가 이러한 프로그램을 운영할 계획이라고 밝혔다.
지난해 오픈소스기반 암호화 통신 프로토콜인 오픈SSL에서 발견된 하트블리드 취약점 여파로 인해 결성된 CII는 리눅스 재단을 중심으로 오픈소스SW의 안전성을 높이는 방안을 모색하는 비영리 협의체다.
여기에는 구글, 페이스북, 인텔, 아마존웹서비스(AWS), 랙스페이스가 초기 참여하고, 마이크로소프트(MS), 시스코, 델, 후지쯔, IBM, 넷앱, VM웨어 등이 가세했다.
그동안 구체적인 활동이 보이지 않았던 CII는 최근 배지프로그램을 도입하면서 오픈소스SW에 대한 일종의 보안인증을 주는 방안을 마련했다.
이를 위해 CII는 오픈소스커뮤니티의 도움을 받아 오픈소스SW의 안정성과 질을 평가하기 위한 기준을 마련하는 작업에 나섰다. 관련 내용에 대한 베타버전은 현재 깃허브에 공개됐다.(관련링크)
관련기사
- 아마존, 오픈소스 암호화 기술 's2n' 공개2015.08.20
- 오픈SSL 진영, 보안 업데이트 배포 시작2015.08.20
- 오픈SSL 진영, 하트블리드급 새 취약점 해결2015.08.20
- 세계 대기업 3%만 하트블리드 완전해결2015.08.20
CII는 이를 통해 개발자들이 보안을 보다 심각하게 고려하도록 독려하는 것을 목표로 한다는 방침이다.
리눅스 재단에서 인프라스트럭처 보안 담당 디렉터를 맡고 있는 에밀리 래트리프는 리눅스콘 기자간담회 자리에서 "초기 평가기준을 마련하는 것으로 커뮤니티가 빠르게 그들이 진행 중인 프로젝트의 안전도(health of project)를 평가할 수 있도록 돕기를 바란다"고 전했다.
