in-toto란 무엇이고 소프트웨어 공급망을 어떻게 보호합니까?
소프트웨어 공급망 공격최근 몇 년간 3CX, Codecov, Solarwinds와 같은 사례들은 기존 개발 파이프라인의 취약성을 부각시켰습니다. 이에 대응하여 오픈소스 커뮤니티는 전체적으로소프트웨어 제공의 모든 단계에서 무결성을 보장하는 프레임워크입니다. In-toto는 전체 소프트웨어 개발 라이프사이클의 검증 가능한 기록 – 초기 코딩부터 최종 배포까지 – 각 단계가 권한 있는 주체에 의해 올바른 순서로 실행되도록 보장합니다. in-toto는 빌드 프로세스의 각 단계에 암호화 서명과 메타데이터("증명")를 첨부함으로써 공격자가 눈치채지 못하게 악의적인 변경 사항을 삽입하는 것을 거의 불가능하게 합니다. 이 포괄적인 접근 방식은 변조 방지, 무단 수정 포착, 출처 증명 소프트웨어의 모든 구성 요소를 보호하여 비용이 많이 드는 침해 위험을 크게 줄입니다.
인토토의 주요 장점은 다음과 같습니다.
- 종단간 무결성: CI/CD 파이프라인의 모든 작업은 서명되고 기록되므로 다음을 확인할 수 있습니다. 만 각 단계에서 신뢰할 수 있는 프로세스가 수행됩니다. 체인의 어떤 부분이 변경되거나 순서가 바뀌면 in-toto가 이를 감지합니다.
- 변조 방지: In-toto의 증명은 빌드 아티팩트나 구성 요소가 변조된 경우 불일치에 대한 암호화 증거를 제공하여 사용자에게 도달하기 전에 공급망 공격을 차단합니다.
- 규정 준수 및 투명성: 누가 언제 무엇을 했는지 기록함으로써 in-toto는 진화하는 사이버 보안 표준 및 규정 준수를 강화합니다. 소프트웨어 부품 목록(SBOM) 및 SLSA(소프트웨어 아티팩트 공급망 수준)와 같은 이니셔티브와 연계되어 공급망 투명성 강화를 요구합니다.
- 신뢰와 신뢰성: in-toto를 사용하면 조직에서 정직성을 증명하다 고객과 감사자에게 소프트웨어를 제공합니다. 각 릴리스에는 안전하고 신뢰할 수 있는 방식으로 구축되었다는 증거가 포함되어 있어 안정성에 대한 확신을 높여줍니다.
실제로, in-toto를 도입한다는 것은 개발 프로세스 전반에 걸쳐 보안 검사를 삽입하는 것을 의미합니다. 예를 들어, 빌드 단계에서는 해당 단계의 입력(소스 코드, 종속성)과 출력(이미지, 컨테이너, 바이너리)을 증명하는 서명된 "링크" 파일을 생성합니다. 다운스트림 단계에서는 진행하기 전에 이러한 링크를 검증합니다. 이렇게 하면 공격자가 악성 코드를 삽입하거나 승인되지 않은 구성 요소를 사용하려고 할 때, 누락되었거나 잘못된 서명으로 인해 파이프라인이 중단될 수 있습니다. 그 결과는 다음과 같습니다. 소프트웨어에 대한 관리 체계 – 요리법에서 재료를 추적하는 것과 비슷하게 – 알려지지 않았거나 승인되지 않은 재료가 최종 제품에 포함되지 않도록 보장합니다.
In-toto: 학술 프로젝트에서 최첨단 프레임워크로
4 월 23, 2025, in-toto는 중요한 이정표에 도달했습니다. 전에, 클라우드 네이티브 컴퓨팅 재단(CNCF)이 전체 졸업을 발표했습니다. 오픈 소스 프로젝트로서 가장 높은 성숙도 수준에 도달했습니다. CNCF 졸업 자격은 안정성, 도입률, 그리고 커뮤니티 지원을 입증한 프로젝트에만 부여됩니다. In-toto의 여정은 NYU Tandon 공과대학의 연구 프로젝트로 시작되었으며, 현재는 "산업 표준으로 발전했다" 공급망 보안을 위해서입니다. in-toto를 만드는 데 도움을 준 NYU 교수인 Justin Cappos에 따르면, 이 성과는 in-toto의 선구적 접근 방식을 검증합니다. 소프트웨어 보안에 대한 이해를 높이고 현대적 위협에 맞서는 데 있어 실제적인 영향을 보여줍니다.
그렇다면 in-toto가 오늘날 최첨단의 성숙한 프레임워크가 된 이유는 무엇일까요? 첫째, 탄탄한 기반과 광범위한 채택In-toto는 SolarWinds와 같은 회사에서 이미 프로덕션 환경에 사용되고 있으며, OpenVEX 및 Google의 SLSA 프레임워크와 같은 업계 표준에 통합되어 있습니다. 실제로 in-toto의 사양은 1.0년에 버전 2023에 도달하여 안정성에 대한 커뮤니티의 합의를 반영했습니다. 또한 이 프레임워크는 NSF와 DARPA를 포함한 주요 연구 기관의 지원을 통해 지속적인 혁신을 보장해 왔습니다.
소프트웨어 공급망 공격이 증가하고 있는 상황에서 in-toto가 성숙기에 접어드는 시점은 이상적입니다. "소프트웨어 공급망 위협이 규모와 복잡성 면에서 커짐에 따라 in-toto를 사용하면 조직이 개발 워크플로를 확실하게 검증하여 위험을 줄이고 규정 준수를 지원하며 궁극적으로 안전한 혁신을 가속화할 수 있습니다." CNCF의 CTO인 크리스 아니스치크(Chris Aniszczyk)는 이렇게 말했습니다. In-toto의 졸업은 이 프레임워크가 실전 테스트를 거쳐 최고의 시기를 맞이할 준비가 되었음을 의미합니다. CISO와 DevSecOps 리더들에게는 이제 검증된, 커뮤니티에서 검증된 솔루션 개발 파이프라인에 제로 트러스트 원칙을 구현하는 것이 중요합니다. 다음 질문은 조직에서 제로 트러스트 원칙을 어떻게 도입할 것인가입니다. 효율적이고 마찰 없이?
ScribeHub 및 Valint를 사용한 마찰 없는 In-Toto 구현
in-toto는 공급망 보안을 위한 청사진을 제공하지만, 처음부터 구현하는 것은 복잡할 수 있습니다. 조직은 각 단계에서 암호화 증명을 생성 및 검증하고, 암호화 키를 관리하거나 Sigstore를 사용하고, 모든 메타데이터를 저장하고, 정책 규칙을 정의하고, 장애 게이트를 통합하는 CI/CD 파이프라인을 구축해야 합니다. 이 모든 작업을 개발자의 작업 속도 저하 없이 수행할 수 있습니다. 이를 원활하게 달성하기 위한 최상의 솔루션 해당 작업에 맞게 구축된 플랫폼을 사용하는 것입니다. Scribe Security의 "ScribeHub" 플랫폼은 Valint 도구와 함께 SDLC에 완전한 원칙을 내장하는 원활한 방법을 제공합니다..
스크라이브허브 개발부터 배포까지 소프트웨어 팩토리 전체에 걸쳐 무결성 및 규정 준수 검사를 자동화하는 포괄적인 소프트웨어 공급망 보안 플랫폼입니다. 보안을 최우선으로 설계하고 제로 트러스트 방식을 채택했습니다. 기계가 읽을 수 있는 증명 자동화 및 적용 "코드형 가드레일" 게이트 파이프라인 전체에 걸쳐. 본질적으로 ScribeHub는 개발 도구 및 클라우드 환경과 통합되어 각 빌드에서 발생하는 상황에 대한 증거를 지속적으로 기록하고 수동 개입 없이 보안 정책 시행중요한 점은 Scribe의 접근 방식이 다음과 같이 구축된다는 것입니다. 개발팀과의 마찰을 최소화합니다. ScribeHub는 개발자를 위한 대역 외 검토나 추가 단계를 추가하는 대신 파이프라인에 보안을 구축함으로써 다음을 보장합니다. 보안은 지속적이고 투명합니다개발자는 빠르고 민첩한 속도를 유지할 수 있으며, Scribe는 백그라운드에서 작업하여 이상 징후를 포착하고 모든 릴리스의 신뢰성을 보장합니다.
이것의 핵심은 다음과 같습니다. 발린트 – Scribe Security의 검증 무결성 도구. Valint는 조직이 보안 정책을 시행할 수 있는 방법을 제공하는 강력한 CLI 및 정책 엔진입니다. "데이터에 서명하고 검증하는 간단한 개념을 사용합니다." 사실, 발린트 용 스탠드 검증 + 무결성소프트웨어 무결성을 증명하는 데 필요한 암호화 증거를 생성하고 확인합니다. 소스 코드 디렉터리, 개별 파일, 컨테이너 이미지, 심지어 전체 Git 저장소까지 모든 종류의 소프트웨어 아티팩트에 대한 증명(디지털 증거)을 생성하고 검증할 수 있습니다. Valint는 CI 파이프라인에서 독립형 CLI로 실행하거나 통합 ScribeHub 서비스의 일부로 사용할 수 있습니다. 어떤 방식을 사용하든, 서명된 검증 가능한 공급망 메타데이터라는 핵심 개념을 편리한 형태로 구현합니다.
후드, Valint는 최신 공급망 보안 기술의 장점을 활용합니다.Valint의 최신 릴리스는 다음과 같은 프레임워크를 기반으로 합니다. 출처를 위한 SLSA, 정책 시행을 위한 OPA, 키리스 서명을 위한 Sigstore, 그리고 증명을 저장하기 위해 OCI 레지스트리를 사용합니다. 다시 말해, Scribe는 파이프라인의 증명 및 검사가 견고하고 상호 운용 가능하도록 다양한 개방형 표준을 구축했습니다. 예를 들어, Scribe 플랫폼은 자동으로 다음을 수행할 수 있습니다. 전체 증명을 사용한 지속적인 코드 서명 및 출처 추적 – 모두 도움이 됩니다 변조 공격을 저지하다 소프트웨어에 영향을 미치기 전에.
그렇다면 실제 CI/CD 파이프라인에서는 어떻게 작동할까요? ScribeHub는 Jenkins, GitHub Actions, GitLab 등의 빌드 시스템과 직접 통합되어 모든 단계에서 서명되고 기계로 검증 가능한 증명을 캡처합니다. 개발의. 개발자가 코드를 커밋하는 순간부터 Scribe의 Valint 도구는 해당 커밋의 서명된 진술을 기록할 수 있습니다. 코드가 빌드, 테스트 및 배포 단계를 거치면서 각 단계는 자체 증명을 생성합니다(예: “이 입력으로 빌드가 완료되어 이 시점에 이 프로세스를 통해 이 아티팩트를 생성하고 있으며 키 X로 서명되었습니다.”). 이러한 증명은 추후 감사를 위해 변조 방지 방식(예: OCI 아티팩트 레지스트리 또는 Scribe의 증거 저장소)으로 저장됩니다. 더 중요한 것은 즉시 검증됨 보안 정책에 위배됩니다. ScribeHub를 사용하면 보안 팀이 파이프라인의 예상 조건을 설명하는 정책을 코드로 정의할 수 있습니다. 예: “모든 아티팩트는 빌드 서비스에서 서명해야 합니다.” or "공개적으로 악용 가능한 것으로 알려진 심각한 취약점(KEV)이 포함된 컨테이너는 배포될 수 없습니다." 이러한 정책은 시행됩니다 실시간. 각 증명 또는 SBOM이 생성될 때마다 Valint가 이를 검증하고 ScribeHub의 정책 엔진(OPA 기반)이 확인합니다. 준수를 위해.
모든 것이 정상이면 파이프라인은 중단 없이 진행됩니다. 위반 사항이 발견되면 ScribeHub에서 파이프라인을 중단하거나 문제를 플래그로 표시하여 릴리스를 "게이트"합니다. 검토를 위해. 예를 들어, 예상 서명이나 빌드 증명이 누락되었거나 아티팩트의 해시 함수가 예상과 일치하지 않는 경우 Scribe가 이를 포착합니다. 그 빌드가 승격되기 전에. 이러한 자동화된 가드레일은 품질 게이트 역할을 합니다. 누락되거나 잘못된 증명은 실패한 검사로 처리되므로 위험한 빌드 생산에 들어가지 못하다실제로 이는 응답 구성 방식에 따라 명확한 오류 메시지가 포함된 실패한 빌드 작업이나 보안 팀을 위한 JIRA 티켓 자동 생성을 의미할 수 있습니다. 이 접근 방식은 다음을 보장합니다. 소프트웨어 공급망 정책은 사후 수동 검토가 아닌 코드에 의해 자동으로 적용됩니다.. Scribe의 CEO가 말했듯이, "하루에 10개의 빌드를 배송할 때 사람들이 정책을 기억할 것이라고 기대할 수는 없습니다. 규칙은 프로세스에 포함되어야 하며 파이프라인을 통해 시행되어야 합니다.".
ScribeHub는 in-toto의 증명과 자동화된 정책 확인을 통합하여 본질적으로 다음을 제공합니다. SDLC를 위한 면역 체계. 모든 구성 요소의 무결성과 출처를 검증합니다. 소프트웨어 공급망 손상으로 이어질 수 있는 모든 위반 사항을 차단합니다.예를 들어, 악성 코드가 종속성에 침투하거나 개발자의 자격 증명이 해킹되어 악성 빌드에 서명하는 경우, 비정상적인 증거(또는 예상 증거 부족)가 Scribe의 제어 기능을 작동시켜 배포를 중단하고 팀에 경고를 보냅니다. 이를 통해 CISO, 제품 보안 책임자, DevSecOps 담당자는 안심하고 작업할 수 있습니다. 검증된 보안 코드만 배포됩니다.모든 변경 사항을 직접 검토할 필요 없이, 자동화와 통합 덕분에 개발 속도에 최소한의 영향만 미치면서 이 모든 작업이 가능합니다. 보안은 내장되어 있지만 방해가 되지는 않습니다..
실제 제품 보안이 어떻게 구현되는지 볼 준비가 되셨나요?
In-toto의 졸업과 ScribeHub와 같은 도구의 등장은 다음을 나타냅니다. 실제 제품 보안 엔드 투 엔드 공급망 무결성을 제공하는 것은 더 이상 먼 미래가 아니라 오늘날 달성 가능한 목표입니다. 미래 지향적인 CISO, 제품 보안 책임자, DevSecOps 실무자들은 이미 이러한 솔루션을 활용하여 조직을 보호하고 새로운 규정을 준수하고 있습니다. 개발자 마찰을 늘리지 않고 소프트웨어 팩토리를 강화하는 데 관심이 있다면, 데모를 위해 Scribe Security에 문의해 주시기 바랍니다.ScribeHub와 Valint를 통해 구현된 in-toto의 원칙이 어떻게 귀사의 SDLC를 변조 방지, 투명성, 규정 준수를 준수하는 프로세스로 전환할 수 있는지 직접 확인해 보세요. 라이브 데모를 살펴보려면 저희에게 연락하세요. 진정으로 안전하고 신뢰할 수 있는 소프트웨어 공급망을 향한 다음 단계로 나아가세요. 개발자들은 최고의 속도로 혁신을 이어갈 수 있으며, 모든 빌드가 최첨단 공급망 보안으로 보호된다는 사실을 알고 안심하실 수 있습니다. 작동 방식을 보여드리겠습니다!
이 콘텐츠는 소프트웨어 공급망 전반에 걸쳐 코드 아티팩트와 코드 개발 및 전달 프로세스에 최첨단 보안을 제공하는 선도적인 엔드투엔드 소프트웨어 공급망 보안 솔루션 제공업체인 Scribe Security에서 제공합니다. 자세히 알아보기.
관련 게시물
