오늘날 전 세계 개발자의 절반 이상이 현대 AI 및 머신러닝 애플리케이션의 기반이 된 프로그래밍 언어인 파이썬에 의존하고 있다. 파이썬의 인기가 급증하면서 생태계에 대한 공급망 공격의 빈도와 심각성 또한 증가했다.

울트라리틱스(Ultralytics) 및 파이토치 토치트리션(PyTorch TorchTriton)과 같은 인기 있는 파이썬 패키지에 대한 맬웨어 공격은 커뮤니티에 충격을 주었으며, 언어 라이브러리 소비를 위해 기존 메커니즘(예: PyPI와 같은 공용 레지스트리)에 의존하는 위험성을 입증했다.

이러한 공용 레지스트리는 호스팅된 아티팩트에 대한 최소한의 검증만 제공하며, 배포된 라이브러리가 해당 소스 코드와 일치한다는 보장을 제공하지 않아 기업을 공급망 공격에 노출시킨다.

또한 파이썬 라이브러리는 순수한 파이썬 코드뿐만 아니라 많은 프로젝트가 안정적인 동작을 보장하기 위해 공유 시스템 라이브러리를 파이썬 라이브러리에 재번들링하는 경우가 많기 때문에 공급망 공격에 취약하다.

파이썬 라이브러리에 OS 의존성을 재번들링하는 이러한 관행은 보안 스캐너로부터 구성 요소를 숨겨 프로덕션 환경에 도입되는 취약점이 눈에 띄지 않아 기업 보안에 심각한 위험을 초래한다.

소프트웨어 개발 및 배포용 보안 서비스 기업 체인가드(Chainguard)가 오늘 SLSA L2 인프라에서 소스부터 안전하게 빌드된 맬웨어 방지 파이썬 의존성 인덱스인 ’파이썬용 체인가드 라이브러리(Chainguard Libraries for Python)‘을 발표했다.

모든 라이브러리와 그 모든 의존성을 소스에서 안전하게 빌드함으로써, 파이썬용 체인가드 라이브러리는 애플리케이션 보안팀에게 파이썬 생태계에서 라이브러리의 빌드 및 배포 과정에서 맬웨어가 삽입되지 않았다는 확신을 제공한다.

파이썬 의존 전반의 맬웨어 공격 완화

파이썬용 체인가드 라이브러리을 통해 체인가드는 개발자가 애플리케이션을 빌드하고 배포하는 데 의존하는 언어에 대한 맬웨어 보호를 제공한다.

지금까지 애플리케이션 보안팀은 개발자의 워크플로 및 생산성을 방해하지 않고 맬웨어를 완화할 수 있는 포괄적인 솔루션을 갖추지 못했다. 이로 인해 기업은 리소스를 낭비하고, 애플리케이션 비밀을 훔치고, 프로덕션 시스템을 손상시키거나, 심지어 고객 데이터를 유출할 수 있는 악성 코드의 위험에 취약했다.

파이썬용 체인가드 라이브러리는 기존 아티팩트 관리자와 통합되어 애플리케이션 보안 팀이 개발자의 작업 방식에 맞춰 이러한 거대한 보안 허점을 메울 수 있도록 지원한다.

최근 자바용 체인가드 라이브러리 출시 이후 체인가드는 모든 파이썬 라이브러리의 모든 의존성을 소스부터 빌드해 오픈 소스 공급망의 빌드 및 배포 링크에서 맬웨어 주입을 방지하고 있다.

이는 손상된 빌드 프로세스, 릴리스 파이프라인 및 배포 지점과 같은 공급망 위협 벡터의 위험을 줄인다. 파이썬 라이브러리에 필요한 공유 시스템 의존성을 격리하고 재빌드해 체인가드는 번들된 소프트웨어 구성 요소에서 비롯되는 추가적인 숨겨진 공격 벡터를 제거할 수 있다.

체인가드는 이제 최소한의 제로 CVE 컨테이너 및 가상 머신을 사용해 OS 및 런타임 환경부터 파이썬 및 자바용 언어 라이브러리를 사용하는 애플리케이션 계층까지 현대 개발 스택의 훨씬 더 많은 부분을 보호하도록 지원한다.

체인가드의 공동 창립자이자 최고 제품 책임자 킴 레완도우스키(Kim Lewandowski)는 “체인가드는 조직이 멀웨어를 완화하고, 소프트웨어에 정확히 무엇이 있는지 명확하게 파악하고, 숨겨진 공급망 취약성의 위험을 제거할 수 있도록 파이썬, 자바 등 주어진 라이브러리의 모든 구성 요소를 소스부터 재빌드하고 있다.”라고 말했다.