글로벌 소프트웨어 공급망 보안 솔루션 기업 액티브스테이트(ActiveState)에 따르면 2024년에 오픈 소스 취약점이 130% 증가했으며, 코드 베이스의 74%에서 중요한 취약점이 존재한다. 실제로 취약점을 수정하는 회사는 40% 미만으로, 수정 배포까지 평균 270일이 걸린다. 반면 악의적인 행위자들의 악용 시간은 24시간도 되지 않는다.

기존 도구는 과도한 취약점 데이터, 잘못된 긍정 및 우선순위 부족으로 개발, 보안, 운영을 담당하는 데브섹옵스(DevSecOps) 팀에 부담을 가해 종종 무대응 및 악용에 대한 노출 증가로 이어질 수 있는 등, 심각한 위협을 초래할 수 있다.

이러한 문제를 해결하고자 액티브스테이트(ActiveState)가 오픈 소스를 관리하고 안전한 소프트웨어 제공을 지원하는 ‘취약점 관리 서비스(Vulnerability Management as a Service, 이하 VMaas)’를 출시했다.

VMaaS는 애플리케이션 보안 상태 관리(ASPM)와 지능형 수정(Intelligent Remediation) 기능을 전문가의 지침과 결합한 솔루션으로, 데브섹옵스(DevSecOps) 팀이 오픈 소스 패키지의 취약점을 식별할 뿐만 아니라 우선순위를 자동으로 정하고 수정하며, 변경 없이 프로덕션에 배포해 애플리케이션의 보안을 보장한다.

애플리케이션 포트폴리오 전반에 걸쳐 취약점 상태를 종합적으로 파악할 수 있도록 해 중요한 취약점을 우선적으로 수정하고, 업데이트의 위험을 평가하며, 기업 정책에 따라 권장 수정 경로를 선택할 수 있도록 함으로 취약점 관리 환경을 변화한다.

데브옵스팀은 이 플랫폼을 활용해 오픈 소스 패키지를 원본에서 안전하게 빌드하고, 오픈 소스 소프트웨어 사용을 관리할 수 있게 하며, 궁극적으로 팀이 반응적인 시간 소모적인 프로세스에서 주도적이고 전략적인 보안으로 전환할 수 있도록 지원한다.

기업의 데브섹옵스 팀의 취약점 발견 및 우선순위 지정부터 수정 및 배포에 이르는 종합적인 취약점 관리를 보장한다. 또한 4천만 개 이상의 큐레이션된 오픈 소스 소프트웨어 카탈로그 구성 요소로 구성되어 있어, 기업이 조직 전반에 걸쳐 오픈 소스 소프트웨어 사용을 관리할 수 있다.

액티브스테이트 CTO 스콧 로버트슨(Scott Robertson)은 “데브옵스 팀은 매년 수만 시간을 경고를 걸러내고, 취약점이 도달 가능한지 조사하고, 수정이 현재 기능을 손상시킬 수 있는지 여부를 연구하며, 무엇을 먼저 수정할지 우선순위를 정하고, 작업이 완료되었는지 확인하는 데 소비한다고 말한다.”라며 “우리의 취약점 관리 서비스는 이러한 문제를 해결하며, 반복적이고 시간 소모적인 작업을 제거하고, 작업을 신속하고 효과적으로 완료할 수 있는 통제력을 제공한다.”라고 전했다.