이번 보안 감사는 2024년 12월부터 2025년 3월까지 약 4개월에 걸쳐 진행되었으며, 5개의 다양한 이해관계자가 참여했습니다. 감사 과정은 X41 D-Sec 팀이 주도했으며, GitLab 보안 연구팀의 지원을 받았습니다. 초기 단계에서는 프로젝트의 기능, 배포 시나리오, 진입점, 신뢰 경계, 잠재적 위협 및 Ruby on Rails에 특화된 취약점을 상세히 설명하는 위협 모델을 수립하는 데 집중했습니다. 위협 모델링을 통해 프로젝트에 대한 초기 조사를 마친 후, 감사자들은 코드베이스에 대한 수동 감사를 수행했으며, 이 과정에서 다양한 도구와 퍼저(fuzzers)의 도움을 받았습니다. 감사 결과 총 7가지의 보안 영향이 있는 발견 사항과 6가지의 시스템 강화 권고 사항이 도출되었으며, 맞춤형 위협 모델링이 완료되었습니다. 보고서는 지난 몇 년간 Ruby on Rails의 보안이 크게 성숙해졌음을 강조하며, 이는 건강하고 생산적인 커뮤니티 참여의 긍정적인 신호로 평가되었습니다. 또한, 프로젝트의 규모와 감사 기간의 제약으로 인해 이번 작업에서 다루지 못한 영역뿐만 아니라 프로젝트의 보안 태세를 개선할 수 있는 잠재적인 영역에 대해서도 자세히 설명하고 있습니다.
Ruby on Rails 보안 감사 완료
Ruby on Rails Audit Complete! – OSTIF.org
작성자
Ruby Weekly
발행일
2025년 06월 11일
핵심 요약
- 1 OSTIF는 X41 D-Sec이 수행하고 GitLab 및 Sovereign Tech Agency가 지원한 Ruby on Rails 보안 감사 결과를 발표했습니다.
- 2 이번 감사는 Rails가 데이터베이스 기반 웹 애플리케이션 개발을 위한 더욱 안전한 도구를 제공할 수 있도록 돕는 데 중점을 두었습니다.
- 3 감사 결과 7가지 보안 문제와 6가지 강화 권고 사항이 도출되었으며, Rails의 보안 성숙도가 크게 향상되었음이 확인되었습니다.
도입
오픈 소스 기술 개선 기금(Open Source Technology Improvement Fund, OSTIF)은 인기 있는 오픈 소스 웹 애플리케이션 프레임워크인 Ruby on Rails(이하 Rails)에 대한 보안 감사 결과를 공식적으로 발표했습니다. 이번 감사는 X41 D-Sec이 수행하고 GitLab 및 Sovereign Tech Agency가 지원했으며, Rails가 모델-뷰-컨트롤러(MVC) 패턴을 따르는 데이터베이스 기반 웹 애플리케이션을 구축하는 사용자에게 더욱 안전한 도구를 제공할 수 있도록 기여하는 것을 목표로 했습니다.
결론
이번 Ruby on Rails 보안 감사는 오픈 소스 소프트웨어의 보안을 강화하기 위한 중요한 이정표가 되었습니다. OSTIF, X41 D-Sec, GitLab, Sovereign Tech Agency 및 Rails 커뮤니티의 긴밀한 협력을 통해 Rails 사용자들은 더욱 안전하고 신뢰할 수 있는 개발 환경을 기대할 수 있게 되었습니다. 이번 감사를 통해 발견된 문제점과 권고 사항들은 Rails 개발팀이 향후 보안 개선 로드맵을 수립하는 데 귀중한 자료가 될 것입니다. OSTIF는 이번 감사를 가능하게 한 모든 개인과 단체에게 깊은 감사를 표하며, 전체 감사 보고서는 OSTIF 웹사이트에서 확인할 수 있습니다. 이번 감사는 오픈 소스 보안의 미래 방향을 제시하는 중요한 선례를 남겼습니다.