블로그

분기별 보안 알림으로 예측 가능성 제공

카라 스프래그 썸네일
카라 스프래그
2021년 11월 3일 게시

저는 고객과 많은 시간을 보내며 이야기를 나누는데, 그들이 공통적으로 언급하는 주제는 관리하는 애플리케이션 환경이 점점 더 복잡해지고 있다는 사실과 그 환경을 건강하게 유지하는 데 따른 어려움에 관한 것입니다. 이는 당연한 일입니다. 현재 많은 기업이 온프레미스, 퍼블릭 클라우드, 하이브리드 또는 멀티 클라우드 애플리케이션으로 구성된 복잡한 포트폴리오를 관리하고 있으며, 이러한 애플리케이션은 끊임없이 확장되는 수의 하드웨어, 소프트웨어 및 서비스 구성 요소로 구성되고 지원됩니다.

최적의 조건에서도 이렇게 광활한 지역을 운영하는 것은 어려운 일입니다. 각 구성 요소에는 주의 깊은 모니터링과 정기적인 유지 관리 및 업데이트가 필요합니다. 예상치 못한 문제(중단, 서비스 저하, 패치가 필요한 취약점 등)가 발생할 수 있으며, 이는 다운타임으로 이어져 잠재적으로 부정적인 비즈니스 영향을 미칠 수 있습니다. 많은 조직들이 이런 사건을 처리하기 위한 프로세스를 갖추고 있지만, 예상치 못한 일의 영향을 최소화하기 위해 할 수 있는 일이라면 무엇이든 엄청나게 가치 있다는 말을 계속 듣습니다.

이러한 이유로 당사는 BIG-IP 및 NGINX 제품군을 비롯한 소프트웨어 제품의 보안 문제에 대한 대중의 소통 방식을 변경하고 있습니다. 지금부터 CVE나 공개해야 할 노출이 있을 경우 예측 가능한 분기별 주기로 전환합니다. 이 새로운 분기별 보안 알림을 통해 취약점과 보안 노출에 대한 대중의 소통이 분기별로 미리 발표된 날짜에 맞춰 진행되므로 고객은 보안을 보장하기 위한 가능한 유지 관리 활동을 계획할 수 있습니다.

보안 문제에 대한 수정 사항은 소프트웨어 제품 전체의 지속적 릴리스에 포함될 것이며, 고객들은 시스템의 보안과 성능을 최적화하기 위해 항상 F5 소프트웨어의 최신 릴리스를 실행할 것을 강력히 권장합니다. 우리는 복잡한 시스템을 업데이트하는 데 필요한 운영 비용을 인식하고 있습니다. 보안 문제에 대한 커뮤니케이션을 사전 게시된 날짜에 맞춰 조정함으로써 고객은 발생 가능한 유지 관리 활동을 사전에 계획할 수 있는 기회를 얻게 됩니다.

분기별 보안 알림 외에 취약점을 공개해야 하는 경우도 있습니다. 예를 들어, F5의 오픈 소스 프로젝트에서 수정 사항이 릴리스된 경우입니다. 이러한 경우, 우리는 보안 경고를 통해 고객에게 알려드립니다. 현재의 접근 방식과 유사하게 보안 알림에는 보안 권고와 고객이 문제에 노출된 정도와 이를 해결하기 위해 취할 수 있는 단계를 이해하는 데 필요한 모든 정보가 포함됩니다. 

명확하게 말해서 F5는 오늘 어떠한 보안 문제도 공개하지 않았습니다. 공개할 취약점이 있는 경우, 2022년 1월 19일에 첫 번째 분기별 보안 알림을 게시하겠습니다. 이러한 변경 사항과 취약성 관리 정책에 대한 자세한 내용을 보려면 여기를 클릭하세요.