RedHat 社, 오픈소스 프로젝트의 취약점을 발견하는 방법

• RedHat사의 오픈 소스 제품들에 대한 취약점 발견은 내부의 자체 점검에 의한 것보다는 외부의 사용자들에 
  의한 발견이 더 많은 비중을 차지함

주요내용

• RedHat사는 공개적으로 이슈화된 자사 제품들의 취약점 정보들을 CVE 목록으로 구성하여 관리
   ※ CVE : 공개적으로 알려진 보안 취약점이나 노출 정보들을 정의하는 표현
• CVE 목록의 취약점들이 처음 발견되었던 여러 경로들
  - 공개적인 기관을 통해 알려지는 경우( CERT, CVE Notification, Peer vendors )는 전체 10% 
   ※ CERT( Computer Emergency Response Team ) : 컴퓨터 보안사고 대응팀으로 기업이나 기관의 업무 관할
       지역 내에서 침해사고의 접수 및 처리 지원을 하는 기관
  - RedHat의 직원들에 의해서 발견되는 경우는 전체 17%
  - Upstream 프로젝트 업데이트 정보( Releationship )나 메일, 웹 페이지 등의 사용자들의 리포트 정보(Internet,
     Individual)들을 활용하여 발견하는 경우가 전체 73%
   ※ Upstream 프로젝트 : 공개된 저장소에 소스를 변경하여 적용 할 수 있는  오픈 소스 프로젝트

< 처음 취약점 발견 경로 >

• 새로운 취약점에 대해서 RedHat사가 사전에 알고 있는 비율
  - 과반수의 새로운 취약점들은 RedHat 사 외부에서 알려온 것

< 사전에 알고 있는 비율 >

• 오픈 소스 보안성의 결정은 그 소스의 사용자들에 의해 결정됨
  - OpenSSL의 HeartBleed 취약점 역시 Google Security에서 발견됨
   ※ HeartBleed : TLS./DTLS(Transport Layer Security) heartbeat extention( RFC6520 )의 구현상의 버그로 
       인해 메모리 상에 있는 정보가 누출됨에 따라 개인키나 패스워드 등의 기밀 정보가 외부로 노출되는 취약점
  - OpenSSL의 CCS Injection 취약점 역시 Upstream 프로젝트를 통해 RedHat사에 전달됨
   ※ CCS(ChangeCipherSpec) Injection: : OpenSSL의 ChangeCipherSpec 기능을 이용하여 취약한 키 교환 
       알고리즘을 서버나 클라이언트에게 사용하게 강요함으로써 제 3자가 기밀 정보를 취득할 수 있는 취약점

[출처]
1. https://securityblog.redhat.com/
2. http://heartbleed.com/
3. http://ccsinjection.lepidum.co.jp/