Dependency 관리를 지원하는 Java 개발 환경에는 다음과 같은 몇 가지 도구가 있습니다. Apache Ant 및 Apache Maven build system에는 종속성을 관리하는 데 도움을 주도록 특별히 설계된 기능이 포함되어 있으며, Apache Ivy는 dependency 관리자로서 개발되었습니다. 이러한 도구들은 동작에는 차이점이 있지만 빌드 시 빌드 프로세스에 지정된 외부의 종속성을 자동으로 다운로드하는 일반적인 기능은 공통적으로 가지고 있습니다. 따라서 개발자 B가 개발자 A와 동일한 방법으로 소프트웨어를 쉽게 빌드할 수 있습니다. 개발자들은 dependency 정보를 빌드 파일에 저장합니다. 즉, 각 개발자 및 빌드 엔지니어가 수동 dependency 관리 시 일어나는 dependency 관리 문제 없이 종속성을 얻고 코드를 컴파일하고 배치하는 일관된 방법을 가진다는 것을 의미합니다. 다음 예제는 Ivy, Ant 및 Maven이 빌드 프로세스의 일부로 외부 종속성을 관리하는 데 사용되는 방법을 보여줍니다.

개발자는 해당 URL에 의해 지정된 dependency를 검색하는 <get> 작업을 사용하여 Ant 대상의 외부 종속성을 지정합니다. 이 방법은 개발자가 각 외부 dependency를 소프트웨어 프로젝트에 포함된 아티팩트로 문서화하는 경우와 기능적으로는 동일하지만, 빌드가 수행되면 종속성의 검색 및 결합이 자동화되므로 더욱 바람직합니다.

예제 1: Ant build.xml 구성 파일에서 발췌한 다음 내용은 외부 dependency에 대한 일반적인 참조를 보여 줍니다.

<get src="http://people.apache.org/repo/m2-snapshot-repository/org/apache/openejb/openejb-jee/3.0.0-SNAPSHOT/openejb-jee-3.0.0-SNAPSHOT.jar"
dest="${maven.repo.local}/org/apache/openejb/openejb-jee/3.0.0-SNAPSHOT/openejb-jee-3.0.0-SNAPSHOT.jar"
usetimestamp="true" ignoreerrors="true"/>

두 가지 별개 유형의 공격 시나리오가 이들 시스템에 영향을 줍니다. 공격자는 dependency를 호스팅하는 서버를 손상시키거나, dependency를 호스팅하는 서버의 호스트 이름에 대한 요청을 공격자에 의해 제어되는 시스템으로 리디렉션하도록 build system이사용하는 DNS 서버를 손상시킬 수 있습니다. 두 경우 모두, 공격자는 악의적인 버전의 dependency를 손상되지 않은 시스템에서 실행 중인 빌드에 삽입할 수 있는 능력을 얻게 됩니다.

Trojan dependency를 전달하는 데 사용되는 공격에 관계없이 이러한 경우에는 build system에서 악성 바이너리를 무조건 받고 빌드에 포함시킨다는 점이 공통 사항입니다. Build system은 일반적으로 외부 종속성이 아닌 내부적으로 개발된 코드에 초점을 맞춘 코드 검사 등의 악성 바이너리 및 기존 보안 메커니즘을 거부할 방법이 없으므로 이런 유형의 공격은 개발 환경 및 제품에 잠재적으로 퍼져 있는 것처럼 눈에 띄지 않게 진행될 가능성이 큽니다.

수동 빌드 프로세스에 손상된 dependency가 발생할 위험이 일부 있지만, 매번 외부 소스에서 dependency를 검색하는 자동화된 build system의 경향으로 인해 build system은 공격자에게 기회의 창이 크게 증가된 새로운 환경에서 실행됩니다. 공격자가 빌드를 실행 중인 시스템을 손상시키는 데에는 dependency를 검색하는 여러 번 중 한 번만 dependency 서버 또는 DNS 서버만 손상시키기만 하면 됩니다.

Dependency 관리를 지원하는 Java 개발 환경에는 다음과 같은 몇 가지 도구가 있습니다. Apache Ant 및 Apache Maven build system에는 종속성을 관리하는 데 도움을 주도록 특별히 설계된 기능이 포함되어 있으며, Apache Ivy는 dependency 관리자로서 개발되었습니다. 이러한 도구들은 동작에는 차이점이 있지만 빌드 시 빌드 프로세스에 지정된 외부의 종속성을 자동으로 다운로드하는 일반적인 기능은 공통적으로 가지고 있습니다. 따라서 개발자 B가 개발자 A와 동일한 방법으로 소프트웨어를 쉽게 빌드할 수 있습니다. 개발자들은 dependency 정보를 빌드 파일에 저장합니다. 즉, 각 개발자 및 빌드 엔지니어가 수동 dependency 관리 시 일어나는 dependency 관리 문제 없이 종속성을 얻고 코드를 컴파일하고 배치하는 일관된 방법을 가진다는 것을 의미합니다. 다음 예제는 Ivy, Ant 및 Maven이 빌드 프로세스의 일부로 외부 종속성을 관리하는 데 사용되는 방법을 보여줍니다.

Ivy의 경우, 개발자는 종속성을 검색할 명시적인 URL을 나열하는 대신 dependency 이름과 버전을 지정하고 Ivy는 자체의 기본적인 구성에 의존하여 종속성을 검색하는 서버를 식별합니다. 따라서 일반적으로 사용되는 구성 요소의 경우에는 개발자가 dependency 위치를 확인하지 않아도 됩니다.

예제 1: Ivy ivy.xml 파일에서 발췌한 다음 내용은 개발자가 이름과 버전을 사용하여 여러 외부 종속성을 지정하는 방법을 보여 줍니다.

<dependencies>
  <dependency org="javax.servlet"
             name="servletapi"
              rev="2.3" conf="build->*"/>
  <dependency org="javax.jms"
             name="jms"
              rev="1.1" conf="build->*"/>  ...
</dependencies>

두 가지 별개 유형의 공격 시나리오가 이들 시스템에 영향을 줍니다. 공격자는 dependency를 호스팅하는 서버를 손상시키거나, dependency를 호스팅하는 서버의 호스트 이름에 대한 요청을 공격자에 의해 제어되는 시스템으로 리디렉션하도록 build system이사용하는 DNS 서버를 손상시킬 수 있습니다. 두 경우 모두, 공격자는 악의적인 버전의 dependency를 손상되지 않은 시스템에서 실행 중인 빌드에 삽입할 수 있는 능력을 얻게 됩니다.

Trojan dependency를 전달하는 데 사용되는 공격에 관계없이 이러한 경우에는 build system에서 악성 바이너리를 무조건 받고 빌드에 포함시킨다는 점이 공통 사항입니다. Build system은 일반적으로 외부 종속성이 아닌 내부적으로 개발된 코드에 초점을 맞춘 코드 검사 등의 악성 바이너리 및 기존 보안 메커니즘을 거부할 방법이 없으므로 이런 유형의 공격은 개발 환경 및 제품에 잠재적으로 퍼져 있는 것처럼 눈에 띄지 않게 진행될 가능성이 큽니다.

수동 빌드 프로세스에 손상된 dependency가 발생할 위험이 일부 있지만, 매번 외부 소스에서 dependency를 검색하는 자동화된 build system의 경향으로 인해 build system은 공격자에게 기회의 창이 증가된 새로운 환경에서 실행됩니다. 공격자가 빌드를 실행 중인 시스템을 손상시키는 데에는 dependency를 검색하는 여러 번 중 한 번만 dependency 서버 또는 DNS 서버만 손상시키기만 하면 됩니다.

Dependency 관리를 지원하는 Java 개발 환경에는 다음과 같은 몇 가지 도구가 있습니다. Apache Ant 및 Apache Maven build system에는 종속성을 관리하는 데 도움을 주도록 특별히 설계된 기능이 포함되어 있으며, Apache Ivy는 dependency 관리자로서 개발되었습니다. 이러한 도구들은 동작에는 차이점이 있지만 빌드 시 빌드 프로세스에 지정된 외부의 종속성을 자동으로 다운로드하는 일반적인 기능은 공통적으로 가지고 있습니다. 따라서 개발자 B가 개발자 A와 동일한 방법으로 소프트웨어를 쉽게 빌드할 수 있습니다. 개발자들은 dependency 정보를 빌드 파일에 저장합니다. 즉, 각 개발자 및 빌드 엔지니어가 수동 dependency 관리 시 일어나는 dependency 관리 문제 없이 종속성을 얻고 코드를 컴파일하고 배치하는 일관된 방법을 가진다는 것을 의미합니다. 다음 예제는 Ivy, Ant 및 Maven이 빌드 프로세스의 일부로 외부 종속성을 관리하는 데 사용되는 방법을 보여줍니다.

Maven의 경우, 개발자는 종속성을 검색할 명시적인 URL을 나열하는 대신 dependency 이름과 버전을 지정하고 Maven은 자체의 기본적인 구성에 의존하여 종속성을 검색하는 서버를 식별합니다. 따라서 일반적으로 사용되는 구성 요소의 경우에는 개발자가 dependency 위치를 확인하지 않아도 됩니다.

예제 1: Maven pom.xml 파일에서 발췌한 다음 내용은 개발자가 이름과 버전을 사용하여 여러 외부 종속성을 지정하는 방법을 보여줍니다.

<dependencies>
  <dependency>
    <groupId>commons-logging</groupId>
    <artifactId>commons-logging</artifactId>
    <version>1.1</version>
  </dependency>
  <dependency>
    <groupId>javax.jms</groupId>
    <artifactId>jms</artifactId>
    <version>1.1</version>
  </dependency>
  ...
</dependencies>

두 가지 별개 유형의 공격 시나리오가 이들 시스템에 영향을 줍니다. 공격자는 dependency를 호스팅하는 서버를 손상시키거나, dependency를 호스팅하는 서버의 호스트 이름에 대한 요청을 공격자에 의해 제어되는 시스템으로 리디렉션하도록 build system이사용하는 DNS 서버를 손상시킬 수 있습니다. 두 경우 모두, 공격자는 악의적인 버전의 dependency를 손상되지 않은 시스템에서 실행 중인 빌드에 삽입할 수 있는 능력을 얻게 됩니다.

Trojan dependency를 전달하는 데 사용되는 공격에 관계없이 이러한 경우에는 build system에서 악성 바이너리를 무조건 받고 빌드에 포함시킨다는 점이 공통 사항입니다. Build system은 일반적으로 외부 종속성이 아닌 내부적으로 개발된 코드에 초점을 맞춘 코드 검사 등의 악성 바이너리 및 기존 보안 메커니즘을 거부할 방법이 없으므로 이런 유형의 공격은 개발 환경 및 제품에 잠재적으로 퍼져 있는 것처럼 눈에 띄지 않게 진행될 가능성이 큽니다.

수동 빌드 프로세스에 손상된 dependency가 발생할 위험이 일부 있지만, 매번 외부 소스에서 dependency를 검색하는 자동화된 build system의 경향으로 인해 build system은 공격자에게 기회의 창이 크게 증가된 새로운 환경에서 실행됩니다. 공격자가 빌드를 실행 중인 시스템을 손상시키는 데에는 dependency를 검색하는 여러 번 중 한 번만 dependency 서버 또는 DNS 서버만 손상시키기만 하면 됩니다.

CakePHP는 오류, 경고, SQL 문 및 스택 추적을 포함하는 디버깅 정보를 노출하도록 구성할 수 있습니다. Debug information은 운영 환경에서 사용되지 말아야 합니다.

예제 1:

    Configure::write('debug', 3);

Configure::write() 메서드에 대한 두 번째 매개 변수는 디버그 레벨을 나타냅니다. 숫자가 높을수록 로그 메시지가 더 자세히 표시됩니다.

세션을 더 오래 열어둘수록, 공격자가 사용자 계정을 손상시킬 수 있는 기회는 더 커집니다. 세션이 활성화 상태라면 공격자는 사용자의 암호를 무차별 대입하거나 사용자의 무선 암호화 키를 불법으로 복제하거나 열려 있는 브라우저에서 세션을 제멋대로 쓸 수도 있습니다. 또한 세션 초과 시간이 더 길어지면 메모리가 해제되지 못하도록 하여 결국 충분히 많은 세션이 만들어지는 경우 denial of service가 발생됩니다.

예제 1: 다음 예제는 low 세션 보안으로 구성된 CakePHP를 보여줍니다.

    Configure::write('Security.level', 'low');

Session.timeout 설정과 함께 Security.level 설정은 세션의 유효 기간을 정의합니다. 실제 세션 시간 초과 값은 Session.timeout에 다음 곱셈 중 하나를 곱한 값과 같습니다.

'high' = x 10
'medium' = x 100
'low' = x 300

구성 또는 매니페스트 파일에 일반 텍스트 인증서를 저장하면 파일을 읽을 수 있는 모든 사람이 인증서로 보호되는 리소스에 액세스할 수 있습니다. 때때로 개발자가 구성에 대한 접근 권한이 있는 사람에게서 응용 프로그램을 방어할 수 없다고 생각하는 경우가 있는데 이런 태도가 공격자에게 유리하게 작용합니다. 좋은 인증서 관리 지침에 따르면 인증서를 일반 텍스트로 저장하지 않아야 합니다.

ClassLoader Manipulation을 통해 공격자는 기본 응용 프로그램 서버 설정에 액세스하고 이를 수정할 수 있습니다. Tomcat 8과 같은 특정 응용 프로그램 서버에서 공격자는 이러한 설정을 조정하여 웹 셸을 업로드하고 임의의 명령을 실행할 수 있습니다.

DNS 캐시 감염이라고도 알려진 DNS 스푸핑은 공격자가 DNS 확인자의 캐시를 손상시켜 잘못된 IP 주소를 반환하도록 하는 공격 유형입니다. 공격자는 DNS 스푸핑을 사용하여 사용자가 알지 못하는 사이에 사용자를 악성 웹 사이트로 리디렉션할 수 있습니다. Node.js를 사용하는 서버 쪽 JavaScript의 경우, DNS 서버 설정을 잘못 처리하면 보안 취약점이 발생할 수 있습니다.

예제 1: Node.js 응용 프로그램을 통해 사용자가 사용자 지정 DNS 서버를 지정할 수 있는 시나리오를 생각해 보십시오. 이 입력이 제대로 검증되고 정화되지 않으면 공격자가 악성 DNS 서버를 제공하고 DNS 스푸핑 공격을 구현할 수 있습니다.

const dns = require('dns');

// User-controlled input for DNS servers
const customDnsServers = from_user_controlled_input;

// Set custom DNS servers
dns.setServers(customDnsServers);

이 예제에서는 사용자 제어 입력에서 파생된 값이 customDnsServers 변수에 할당됩니다. 그런 다음 이 입력은 dns.setServers(customDnsServers)를 사용하여 DNS 서버를 설정하는 데 사용됩니다. 공격자가 악성 DNS 서버 주소를 제공하는 경우 응용 프로그램이 공격자의 서버를 사용하여 도메인 이름을 확인하도록 지시할 수 있으며, 이로 인해 잘못된 IP 주소가 반환될 수 있습니다.

Dockerfile에 USER가 지정되어 있지 않으면 Docker 컨테이너는 기본적으로 슈퍼 사용자 권한으로 실행됩니다. 이러한 슈퍼 사용자 권한은 컨테이너 안에서 실행 중인 코드로 전파되며 필요 이상으로 많은 권한을 제공합니다. 슈퍼 사용자 권한으로 Docker 컨테이너를 실행하면 공격 표면이 확장되어 공격자가 더 심각한 형태의 악용을 감행할 수 있습니다.

Dockerfile은 종속성 및 기본 이미지에 대해 바인딩되지 않은 버전 범위를 지정할 수 있습니다. 공격자가 리포지토리에 악성 버전의 종속성을 추가하거나 공격자의 제어 하에 있는 리포지토리에서 종속성을 다운로드하도록 빌드 시스템을 교란할 수 있는 상황에서 Docker가 특정 버전의 종속성 없이 구성되어 있으면 Docker는 손상된 종속성을 자동으로 다운로드하고 실행합니다.

이러한 유형의 약점은 공격자가 개발자의 구성 오류, 타이포스쿼팅을 활용하고 오픈 소스 리포지토리에 악성 패키지를 추가할 수 있는 공급망 공격의 결과로 악용될 수 있습니다. 이 유형의 공격은 게시된 패키지의 신뢰를 악용하여 액세스 권한을 얻고 데이터를 반출합니다.

Docker에서 latest 태그는 이미지의 버전을 제공하기 위한 다이제스트 또는 고유 태그를 사용하지 않고 이미지의 버전 수준을 자동으로 나타냅니다. Docker는 최신 이미지 매니페스트 파일을 가리키는 메커니즘으로 latest 태그를 자동으로 할당합니다. 태그는 변경이 가능하기 때문에 공격자는 latest(또는 imagename-lst, imagename-last, myimage와 같은 약한 태그)를 사용하여 이미지 또는 계층을 바꿀 수 있습니다.

예제 1: 다음 구성은 Docker에 ubuntu의 최신 버전을 사용하는 기본 이미지를 선택하도록 지시합니다.

    FROM ubuntu:Latest
    ...

Docker는 패키지 관리자를 지원하도록 구성된 리포지토리의 신뢰성을 검증하지 않습니다.

예제 2: 다음 구성은 패키지 관리자 zypper에 지정된 패키지의 최신 버전을 검색하도록 지시합니다.

...
zypper install package
...

Example 2에서 리포지토리가 손상된 경우 공격자는 동적 기준을 충족하는 버전을 업로드하고 zypper로 하여금 종속성의 악성 버전을 다운로드하도록 할 수 있습니다.

Dockerfile에 루트로 설정된 USER 명령이 있는 경우 허용 권한이 필요 이상으로 많아 컨테이너 안에서 변경을 수행할 수 있습니다. 이는 최소 권한으로 이미지를 실행한다는 원칙에 위배됩니다. 일반적인 경우 패키지를 설치하고 폴더를 만들려면 루트 권한이 필요할 수 있습니다. 설치가 완료된 후에는 제한된 권한의 사용자를 추가하는 것이 좋습니다.

기본적으로 Docker는 권한 있는 포트를 컨테이너에 바인딩하는 것을 허용합니다. 사용자에 의해 포트가 선언되지 않은 경우 Docker는 49153~65535 범위의 사용 가능한 포트에 컨테이너 포트를 매핑합니다. 대부분의 경우 서비스를 실행하려면 특정 포트를 열어야 하며 시간이 지남에 따라 열린 포트의 수가 증가할 수 있습니다. 열린 포트는 공격 표면을 넓힙니다. 특히 더 높은 권한으로 실행되는 서비스의 경우 더욱 그렇습니다. 따라서 특정 서비스에 필요한 포트만 열어야 합니다. 높은 권한이 필요하지 않은 서비스의 경우 권한 있는 포트 범위 밖의 포트에서 실행하십시오..

공개적으로 사용할 수 있는 Docker 이미지의 Dockerfile을 재구성할 수 있습니다. Docker inspect 및 history 명령을 사용하거나 타사 도구로 이 프로세스를 자동화하면 됩니다. 중요한 정보가 ADD/COPY 명령을 사용하여 추가되는 경우 공격자는 각 Docker 계층을 재생성하여 정보를 얻을 수 있습니다.

Volumes를 사용하는 경우에도 중요한 디렉터리가 노출될 수 있습니다. Volumes를 사용하여 데이터를 유지해야 하는 경우 중요한 디렉터리를 탑재하지 마십시오.

컨테이너 안에서 SSH(Secure Shell) 서비스가 실행 중인 경우 액세스 정책, 키, 암호 및 보안 업그레이드를 관리하기가 어렵습니다.

응용 프로그램의 의존적인 JavaScript를 제공하는 CDN의 사용은 응용 프로그램의 고유 서버에서 JavaScript를 제공하는 등 여러 많은 장점을 제공합니다. 이러한 장점에는 향상된 성능 및 응용 프로그램 소유자의 쉬운 코드 유지 관리가 포함됩니다. 그러나, 응용 프로그램은 CDN이 브라우저에 안전한 콘텐트를 제공한다고 가정합니다. 공격자가 CDN을 손상시키면 CDN은 사용자의 브라우저에 악성 코드를 전달합니다. 이제 사용자의 브라우저는 응용 프로그램이 제어하거나 악성으로 감지할 수 없는 코드를 실행하고 있습니다.

예제 1: 다음 ASPX 코드는 Microsoft CDN을 참조하여 Microsoft의 jQuery 코드를 포함합니다.

...
<script src="http://ajax.microsoft.com/ajax/jquery/jquery-1.4.2.min.js" type="text/javascript"></script>
...

예제 2: 다음 ASPX 코드는 Microsoft Ajax CDN에 대한 모든 ASP.NET 프레임워크 스크립트 요청의 자동 리디렉션을 활성화합니다.

...
<asp:ScriptManager
   ID="ScriptManager1"
   EnableCdn="true"
   Runat="Server" />
...

Example 2에서 ScriptManager 제어는 해당 ASPX 페이지를 구성하여 적절한 CDN에 대한 임의의 스크립트 요청을 자동으로 리디렉션합니다.

Blaze DS를 사용하여 예기치 못한 이벤트의 기록을 수행하는 경우, services-config.xml 설명 파일이 “Logging” XML 요소를 지정하여 로깅의 다양한 부분을 설명합니다. 다음과 같습니다.

예제 1:

<logging>
    <target class="flex.messaging.log.ConsoleTarget" level="Debug">
        <properties>
            <prefix>[BlazeDS]</prefix>
            <includeDate>false</includeDate>
            <includeTime>false</includeTime>
            <includeLevel>false</includeLevel>
            <includeCategory>false</includeCategory>
        </properties>
        <filters>
            <pattern>Endpoint.*</pattern>
            <pattern>Service.*</pattern>
            <pattern>Configuration</pattern>
        </filters>
    </target>
</logging>

이 target 태그는 level라는 옵션 속성을 갖습니다. 이는 로그 레벨을 나타냅니다. 디버그 수준이 너무 자세한 수준으로 설정되어 있으면 응용 프로그램에서 민감한 데이터를 로그 파일에 쓸 수 있습니다.

미사용 데이터에는 CMEK(고객 관리형 암호화 키)가 활성화되지 않습니다.

기본적으로 Google Cloud는 임의로 생성된 DEK(데이터 암호화 키)를 사용하여 미사용 데이터를 암호화합니다. CMEK 기능을 사용하는 조직은 원하는 암호화 키를 사용하여 DEK를 암호화할 수 있습니다. 따라서 암호화 프로세스를 더욱 효율적으로 제어하고 로깅할 수 있습니다.

이러한 이유로 인해 CMEK는 다음을 비롯한 여러 요구 사항을 충족하는 솔루션에 포함되는 경우가 많습니다.
- 민감한 데이터 액세스 관련 감사 로그
- 데이터 보존
- 키 교체, 비활성화 또는 삭제
- 변조 방지 하드웨어 보안 모듈

allUsers 및 allAuthenticatedUsers과 같은 특수 보안 주체 유형에 액세스 권한 또는 BigQuery 역할을 부여하면 누구나 민감한 데이터에 액세스할 수 있게 됩니다.

미사용 데이터에는 CMEK(고객 관리형 암호화 키)가 활성화되지 않습니다.

기본적으로 Google Cloud는 임의로 생성된 DEK(데이터 암호화 키)를 사용하여 미사용 데이터를 암호화합니다. CMEK 기능을 사용하는 조직은 원하는 암호화 키를 사용하여 DEK를 암호화할 수 있습니다. 따라서 암호화 프로세스를 더욱 효율적으로 제어하고 로깅할 수 있습니다.

이러한 이유로 인해 CMEK는 다음을 비롯한 여러 요구 사항을 충족하는 솔루션에 포함되는 경우가 많습니다.
- 민감한 데이터 액세스 관련 감사 로그
- 데이터 보존
- 키 교체, 비활성화 또는 삭제
- 변조 방지 하드웨어 보안 모듈

미사용 데이터에는 CMEK(고객 관리형 암호화 키)가 활성화되지 않습니다.

기본적으로 Google Cloud는 임의로 생성된 DEK(데이터 암호화 키)를 사용하여 미사용 데이터를 암호화합니다. CMEK 기능을 사용하는 조직은 원하는 암호화 키를 사용하여 DEK를 암호화할 수 있습니다. 따라서 암호화 프로세스를 더욱 효율적으로 제어하고 로깅할 수 있습니다.

이러한 이유로 인해 CMEK는 다음을 비롯한 여러 요구 사항을 충족하는 솔루션에 포함되는 경우가 많습니다.
- 민감한 데이터 액세스 관련 감사 로그
- 데이터 보존
- 키 교체, 비활성화 또는 삭제
- 변조 방지 하드웨어 보안 모듈