구글의 "오픈소스 소프트웨어 보안에 기여하기"

구글 보안팀 블로그에 "오픈소스 소프트웨어 보안에 기여하기" 란 글이 포스트되었습니다.
http://googleonlinesecurity.blogspot.com/2008/05/contributing-to-open-source-software.html

David A. Wheeler(Secure Coding과 오픈소스, Ada 에서 꽤나 유명한)가 쓴
Secure Programming for Linux and Unix HOWTO 글에서 안전한 프로그래밍 3가지 "최소 조건" 을 얘기했는데
1. Code review : 코드 검토
2. Secure Code 작성법
3. 문제점/취약점이 발견되면 빨리 수정하고, 수정사항을 빨리 퍼뜨리기

구글은 그동안 1번과 2번에 대한 다양한 지원을 해왔다고 합니다.

이미 구글은 python, apache 등과 Summer of Code 등 오픈소스에 많은 기여를 하면서
자사에서 사용하는 IT 의 상당부분을 오픈소스를 통해 서비스해오고 있습니다.

커스트마이즈한 Linux 위에서 Apache 를 커스트마이즈한 GWS 라 불리는 Google Web Server 가 돌고,
python 의 창시자 Guido 는 구글에서 일하고 있고요.
구글 우분트인 goobuntu 를 내부에서 사용하고 있다는 것은 이제 비밀도 아닙니다.

(참고로 Yahoo! 도 커스트마이즈한 FreeBSD 위에서 Apache 를 커스트마이즈한 YApache 가 돌고,
php 의 창시자 Rasmus 가 야후 직원입니다. 양사가 거의 비슷하죠?)

취약점 대응이 정답도 없고 시간도 많이 걸리는데다가(좀 귀찮기도 하고)
오픈소스 성격상 책임맡는 사람도 명확하지 않아 리스크도 있을 수 있고 했는데,
oCert 를 통해 3번마저도 지원하게 된거라고 생각이 듭니다.

헐랭이님의 의견에 동감
보안 커뮤니티를 레버리지로 하여 오픈 소스 위주로 구축된 자사 서비스의 보안을 더욱 강화하고,
자신들의 업무 영역 중 time consuming 한 부분을 외부에 떼어주고, 업체 이미지도 챙기고...

오픈소스와 보안, 제가 평생을 두고 연구할 두 개의 큰 테마입니다. ^^

구글 오픈소스 보안프로젝트 지원
이글루스 가든 - professional secur...
by 뽀빠이 | 2008/05/08 03:15 | Security | 트랙백 | 덧글(1)


< 이전페이지 다음페이지 >