세스 마이클 라슨: 오픈 소스 보안 작업은 '특별한' 것이 아니다

기조 연설은 콜로라도주 덴버에서 열린 OpenSSF Community Day NA 2025에서 진행되었으며 YouTube 비디오 녹화는 나중에 사용할 수 있습니다. 이 강연은 Alpha-Omega가 후원하는 역할인 Python Software Foundation의 상주 보안 개발자로 진행되었습니다. 오픈 소스는 사용자가 프로젝트에 의미 있는 기여를 할 수 있도록 하는 놀라운 일이지만 보안은 특별하며 종종 선택된 소수에 의해 처리됩니다. 오픈소스 프로젝트, 특히 소규모 프로젝트의 유지 관리자는 반드시 보안 전문가일 필요는 없으며 프로젝트와 사용자를 안전하게 보호하기 위해 보안 작업을 처리해야 한다는 고립감과 강박감을 느낍니다. 이러한 고립은 두려움의 문화를 낳고, 메인테이너는 다른 프로젝트가 보안 문제를 어떻게 처리하는지 못하는 경우가 많다. 소규모 프로젝트는 도구에 의해 형성되며, 보안 도구는 종종 문제를 해결하지 않고 작업을 생성하여 비대칭을 초래합니다. 발표자는 오픈 소스 보안 기여를 위한 새로운 모델을 제안하며, 여기서 보안 작업은 반드시 유지 관리자가 아닌 신뢰할 수 있는 개인에 의해 완료됩니다. 이 모델은 특히 소규모 프로젝트의 경우 유지 관리자만 보안 작업을 수행할 수 있다는 가정을 깨는 것을 목표로 합니다. 이 모델을 성공적으로 만들기 위해서는 기여자와 프로젝트 간에 신뢰를 구축해야 하며, 보안 작업이 모두 유지 관리자의 몫이 되어서는 안 됩니다. 우리 모두는 보다 긍정적이고 건강한 보안 문화를 구축하고 보안 업무에 내재된 고립을 극복하기 위해 자신의 목소리와 경험을 사용할 수 있습니다.