윈드리버는 임베디드 리눅스 플랫폼의 CVE 모니터링 및 관리를 지원하는 ‘윈드리버 스튜디오 리눅스 보안 스캐닝 서비스(Wind River Studio Linux Security Scanning Service)’를 출시했다고 밝혔다.

 

고유한 요구에 맞춰 임베디드 리눅스 개발을 수행하는 조직에 맞춰 설계된 이 서비스는 프로페셔널 수준의 식별이 가능하며, 무료로 제공된다. 사용자는 이 서비스를 통해 윈드리버에서 제공하는 수정 및 패치 사항 등을 포함하여 해당 CVE에 적합한 해결 솔루션이 있는지 확인할 수 있다.

 

아밋 로넌 윈드리버 최고 고객 책임자(CCO)는 "광범위한 연결성과 복잡한 컴퓨팅 환경 덕분에 보안 위협이 점점 더 만연해지고 있다. 보다 효과적이고 선제적인 CVE 모니터링 및 관리가 중요해지고 있지만, 새로운 기능을 더하고, 시장에 더 빠르게 출시하려는 과정에서, 또는 플랫폼 안정성을 확보하기 위해, CVE가 유지보수 사이클 내에서 부적절하게 처리되는 경우가 발생한다”고 밝히고 “윈드리버가 다년간 다져온 리눅스 경험과 전문성을 담은 ‘스튜디오 리눅스 보안 스캐닝 서비스’는 개발자들이 신속하게 고위험 취약점을 확인하고 조치 수단에 대한 우선순위를 파악할 수 있도록 도와줌으로써 리눅스 기반 시스템 보안을 강화할 수 있도록 해준다”고 덧붙였다.

 

개발자가 스캐너에 SBOM 혹은 구성 목록을 실행시키면, 커널, 사용자 공간, 라이브러리 및 기타 시스템 구성 요소를 포함한 특정 플랫폼 계층을 분석하고 이를 광범위한 지식 기반과 비교하여 중요한 취약점을 정확하게 식별할 수 있다. 또한, 플랫폼 패키지 내에서 활용되는 라이센스를 표시하여 아티팩트 생성 및 규정 준수 요구사항을 확인할 수 있다. 식별된 취약성의 결과 목록은 공통 취약점 스코어링 시스템(CVSS v3)에 따라 순위가 매겨진다.

 

이 서비스는 욕토 프로젝트(Yocto Project), NIST 및 윈드리버 데이터베이스 CVE 등의 선별된 데이터 소스 모음의 지식 기반을 활용한다.

 

CVE 이슈 해결 이후 조치를 필요로 하는 경우 윈드리버에 완화 계획에 대해 상담할 수 있다. 윈드리버 전문가의 컨설팅을 통해 식별된 각각의 취약점의 심각도와 악용 가능성을 바탕으로 CVE를 신속하게 분류하고 우선순위를 지정한 후, 리눅스 플랫폼 안전성에 필요한 시간 및 노력 수준을 평가하고 완화 계획을 세우는 방식이다.

 

 

#윈드리버#CVE#리눅스#보안#