CWN(CHANGE WITH NEWS) - 러스트 재단, 보안 전문 팀 신설

프로그래밍 언어 러스트 관리 및 지원 비영리 단체인 러스트 재단(Rust Foundation)이 보안 전문 팀 신설 소식을 발표했다. 보안 전문 팀은 글로벌 소프트웨어 공급 체인 보안 개선을 위하여 오픈 소스 소프트웨어 프로젝트를 관리하는 오픈소스 보안 재단(OpenSSF) 산하 알파 오메가 이니셔티브(Alpha-Omega Initiative)와 제이프로그(JFrog)의 지원을 받는다.

러스트는 메모리 보안을 확보한다. 이 때문에 일부 사용자는 러스트가 100% 안전하다고 착각하기도 한다. 하지만 러스트도 다른 여느 프로그래밍 언어와 마찬가지로 취약점이 발생할 수 있으며, 언어와 커뮤니티를 안전하게 보호하기 위해서는 사전 예방 조치가 필요하다.

이에, 러스트 재단은 최고의 보안 전문가로 구성된 러스트 재단 보안 팀과 함께 광범위한 커뮤니티 지원에 나서고자 한다. 더불어 보안 전문 팀을 설립함과 동시에 보안 관리 수준을 꾸준히 확장할 계획이다.

알파 오메가와 제이프로그는 업무 인력을 지원하며, 이를 토대로 최고의 보안 활동을 펼칠 수 있을 것이다. 신설된 보안 팀의 첫 임무는 보안 검수와 위협 모델링 활동을 통하여 보안을 어떻게 경제적으로 관리할 수 있을지를 분석하는 것이다. 카고(Cargo)와 Crates 등 러스트 생태계에 대한 보안도 지원할 예정이다.

오픈소스 보안 재단은 올해 초 발표한 ‘오픈 소스 보안 동원 계획’에서 산업 전체가 소프트웨어 취약점을 근절하기 위하여 러스트나 고 언어와 같은 메모리 안전 언어를 이용해야 한다고 제안한 바 있다.

오픈소스 보안 재단의 브라이언 벨렌도르프(Brian Behlendorf)는 이에 대하여 “러스트 프로그래밍 언어는 더욱 안전한 글로벌 공급 체인에 대한 큰 잠재력을 보여준다. 앞으로 러스트 재단의 보안 팀이 활동을 시작하고 오픈 소스 보안이라는 중요한 임무를 위하여 함께 활동하는 것에 대하여 기대가 크다”라고 말했다.

제이프로그는 지난주 러스트 재단의 플래티넘 멤버가 되었음을 발표하였다. 제이프로그는 러스트 재단 및 러스트 생태계에 대한 투자의 일환으로 일부 보안 리서치 팀 구성원들이 러스트 재단 보안 팀에서 근무하도록 지원하고 있다. 러스트 재단의 플래티넘 멤버로는 이외에도 AWS, 구글, 화웨이, 메타, 마이크로소프트, 모질라 등이 속해 있다.

제이프로그의 스테판 친(Stephen Chin)은 “러스트 재단은 러스트를 이용하는 모든 기업이 협업할 수 있는 포럼을 제공하며 전용 보안 팀의 신설은 필수이다. 러스트를 이용하는 모든 기업이 생태계의 발전을 위하여 재원을 제공할 책임이 있다고 본다. 제이프로그는 세계적 수준의 보안 전문팀 연구원을 제공하여 러스트 생태계를 지원한다”라고 전했다.

[ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]