보안 소프트웨어 개발 수명주기
(SSDL, Secure Software Development Lifecycle)
CRA는 프로덕트 팀이 설계부터 배포, 유지관리에 이르기까지 보안 소프트웨어 개발 수명주기(SSLD, Secure Software Development Lifecycle) 관행을 따를 것을 요구합니다. 이는 특정 조항 하나에 국한된 요구사항이 아니라, CRA 규정 전반에 걸쳐 강조되고 있는 핵심 원칙입니다.
즉, 제품의 전체 수명주기 동안 수행한 사이버 보안 조치에 대해 근거 기반의 논리를 제시해야 합니다. 또한 CRA에서 기본값으로 지정한 5년의 제품 예상 수명을 연장하거나 단축하는 요인이 있다면, 이에 대해서도 명확히 명시해야 합니다.
Qt Group Highlights
견고한 프로토콜 및 운영
약 30년에 걸쳐 오픈 프레임워크를 개발해온 Qt는 이미 보안 설계 및 기획 원칙, 코드 무결성 보호, 3rd party 보안 검사, 투명하고 추적 가능한 보안 이슈 처리 프로세스, 방대한 문서화 체계 등을 갖추고 있습니다.
이제 Qt는 이에 더해 CRA 규정에도 대응하고 있습니다.
보안 중요 모듈 지정
Qt 프레임워크에는 보안이 중요한 모듈(Security-critical modules)을 식별하는 프로세스가 마련되어 있습니다. 이 프로세스의 목적은 버그 발생 시 보안 문제를 유발할 가능성이 높은 코드가 포함된 파일을 찾아내는 것입니다. 예를 들어, 신뢰할 수 없는 소스에서 입력을 파싱(parsing)하는 코드나 특정 프로토콜을 구현한 코드 등이 이에 해당합니다.
Qt Group의 향후 계획
Qt 프레임워크에서 Qt Group의 제품군 전체로 보안 중요 모듈 지정 프로세스 확장
Qt 프로젝트 기여자를 대상으로 다중 인증(MFA, Multi-Factor Authentication) 필수화
OWASP SAMM 또는 업계 표준 보안 소프트웨어 개발 수명주기(SSDL) 프레임워크 채택 검토
구성요소의 CRA 규정 준수 여부를 검토하는 프로세스 수립
코드 리뷰 및 요구사항 처리 시 보안 관련 항목을 명확히 식별할 수 있도록 개선
용어, 동기 요인, 과제에 대한 공통된 이해를 확보하기 위해 제품 수명주기 관리에 대한 온보딩 자료 제작
각 Qt Group 제품의 유지보수 기간 산정 기준을 문서화하고, 제품의 예상 수명주기를 충분히 반영하도록 보장
SSDL 관련 다른 게시글 보기
* 이 페이지 및 웹사이트에 포함된 정보는 정보 제공 및 주제 논의 목적으로만 제공되며, 법률 자문으로 간주될 수 없습니다. 이 페이지의 콘텐츠는 변경될 수 있으며, Qt Group은 이 페이지에 포함된 내용의 정확성 또는 최신성을 보증하지 않습니다. 또한 이 페이지와 연결된 외부 웹사이트의 내용이나 운영에 대해 책임을 지지 않습니다. 이 페이지에 포함된 정보는 법률 자문의 대체물로 사용되어서는 안 됩니다.