공급망
이 태그가 달린 문서 5건
MOVEit 대규모 유출 사고(2023) — SQL 인젝션 제로데이가 2,700개 이상 조직에 도달한 경위와 방어법
진입점은 인터넷에 노출된 MOVEit Transfer의 SQL 인젝션 제로데이(CVE-2023-34362)였습니다. 웹 셸(LEMURLOOT)이 심어지고 백엔드 데이터베이스에서 데이터가 대량 탈취되어 2,700개 이상 조직, 약 9,330만 명에게 피해를 입혔습니다. 대부분의 피해자는 벤더가 MOVEit을 썼기 때문에 간접적으로 끌려 들어갔습니다. 여러분의 환경에서는 KEV 신속 패치, 노출 최소화, 웹↔DB 최소 권한과 분리, 벤더 인벤토리와 데이터 최소화가 핵심입니다.
osv-scanner 설치와 사용법: 의존성에서 CVE 찾아내기
osv-scanner는 락파일과 컨테이너를 스캔해 의존성의 CVE를 무료로 드러냅니다. 설치·실행·CI 연동을 짚고, npm/pnpm audit·Dependabot과 언제 쓸지도 비교합니다. 본 사이트의 견해: 올바른 도구는 당신의 환경이 결정합니다 — 다중 생태계나 GitHub 비사용 프로젝트엔 osv-scanner를, 단일 npm 트리엔 번들된 pnpm audit을.
자체 호스팅 Git vs GitHub: 실제로 어느 쪽이 더 안전한가?
Git을 자체 호스팅한다고 '더 안전'해지지 않습니다 — 위험을 옮길 뿐입니다. 실수로 인한 공개 노출 부류는 사라지지만, 서버 패치·백업·커밋 전 시크릿 탐지가 당신에게 넘어옵니다. 그 대가를 치르면 옳은 선택이고, 방치하면 GitHub보다 나쁩니다. 본 사이트의 견해: 자체 호스팅은 보상 통제와 묶일 때만 작동합니다.
Codecov 유출 사고(2021) — CI 안의 '신뢰하던 도구'가 탈취되어 비밀 정보가 새어 나갔을 때
신뢰하던 CI 도구(curl|bash로 실행되는 Bash Uploader)가 상위에서 변조되었습니다. 여러분의 코드는 손대지 않았기 때문에 약 2개월간 알아채지 못한 채 CI 비밀 정보가 유출되었고, 체크섬 검사가 이를 잡아냈습니다. 여러분의 CI에서는 가져온 산출물 검증, 최소 권한 비밀 정보, 로테이션, 이그레스 모니터링이 핵심입니다.
XZ Utils 백도어(CVE-2024-3094) — 신뢰 그 자체가 표적이 되었을 때
신뢰받던 메인테이너가 xz에 백도어를 심은 공급망 공격. 한 엔지니어의 '이거 느린데?'가 안정 배포 직전에 잡아냈습니다. 표적은 코드가 아니라 사람과 신뢰였습니다. 의존성을 최소화하고, 버전을 핀 고정하고, 재현 가능하게 빌드하고, 이상을 끝까지 쫓고, 메인테이너를 지원하십시오.