소프트웨어 공급망 보안은 애플리케이션 개발에 사용되는 모든 라이브러리, 도구, 종속성을 포함하며, 이에 대한 책임은 최종 제품 개발 주체에게 있습니다. 미국 CISA 가이드라인, EU 사이버 복원력 법안(CRA) 등 정부 규제 강화로 그 중요성이 더욱 커지고 있습니다.
RubyGems.org는 이에 대응하여 ‘신뢰할 수 있는 발행(Trusted Publishing)’ 기능 도입으로 CI/CD 젬 릴리스 시 출처 암호학적 검증을 가능하게 했습니다. 또한, 코드베이스 및 인프라 보안 감사를 완료하고, 악성 젬 대응 전담 보안 팀을 운영합니다.
미래 계획은 포괄적입니다. ‘식스 스토어 증명’을 활용한 젬 출처 정책 수립 및 인터페이스 제공, ‘바이너리 투명성’을 통한 RubyGems.org 푸시 파일 불변 로그 기록으로 오프라인 젬 무결성 검증 지원, 개인정보 처리방침/이용 약관/젬 삭제/인수 정책 등 명확한 RubyGems.org 정책 정의로 서비스 투명성 및 신뢰성 증대, RubyGems.org 인프라 자체 보안 강화가 포함됩니다. 또한, 바이너리 젬 및 사전 컴파일된 확장 보안 개선으로 젬 설치 시 임의 코드 실행 방지 및 젬 빌드 재현성(reproducibility)을 향상시켜 개발자 경험을 통해 보안 기능 채택을 유도하는 것을 목표로 합니다.
개발자 또한 공급망 보안 강화에 중요합니다. 자신의 젬에 ‘신뢰할 수 있는 발행’ 채택, CI 환경에서 사전 컴파일된 확장으로 젬 빌드, 젬 빌드 재현성 확보, 최신 RubyGems 및 Bundler 버전 사용을 권장합니다. 프로젝트 종속성 주기적 검토, 기업의 법적/규제적 요구사항 이해도 필수적입니다. 궁극적으로 보안은 제품의 핵심 가치이며, 사용자 데이터 보호 및 법적 의무 준수에 필수적임을 인지해야 합니다.