플래티어의 기술지원 서비스 및 제품 관련
자주 묻는 질문과 답변을 확인하실 수 있습니다.
[Chainguard] 'Zero-CVE'는 무엇을 의미하나요?
'Zero-CVE'는 리소스가 게시된 시점 기준으로 알려진 보안 취약점(CVE)이 존재하지 않는 상태를 의미합니다.
Chainguard는 최소 구성(Minimal) 기반 설계와 지속적인 재빌드 방식을 통해 CVE 발생 가능성을 낮추며, CVE가 확인될 경우 SLA 기준에 따라 빠르게 수정합니다.
이를 통해 사용자들은 이미 취약점이 해결된 안전한 리소스를 적용할 수 있습니다.
[Chainguard] 지속적인 재빌드 및 패치 제공은 어떻게 작동하나요?
Chainguard Factory는 업스트림 변경 사항을 지속적으로 추적하며, 변경이 감지되면 즉시 클린 리빌드를 수행합니다.
이후 업데이트된 SBOM과 출처 정보를 포함한 새로운 이미지를 생성해 게시하며, 이 과정은 SLA 기준에 따라 제공합니다.
[Chainguard] 망분리(Air-Gap) 또는 제한된 환경에서도 Chainguard를 사용할 수 있나요?
Chainguard 아티팩트는 서명 정보, SBOM, 출처 문서를 포함한 표준 OCI(Open Container Initiative) 이미지 형식으로 제공됩니다.
Cosign/Sigstore 기반 검증은 신뢰 루트에 접근 가능한 환경이라면 정상 작동하며, 완전한 망분리 환경에서도 레지스트리 구성 및 Sigstore 신뢰 설정을 통해 구현할 수 있습니다.
[Chainguard] 소스에서 배포까지 소프트웨어 공급망의 무결성은 어떻게 확인할 수 있나요?
Chainguard는 소스 기반으로 지속적으로 재빌드된 컨테이너 이미지, 라이브러리, VM을 제공합니다.
이러한 리소스에는 Sigstore 서명·서명된 SBOM·SLSA 레벨 2 기준의 출처 정보가 포함되며, 이를 통해 엔드투엔드 무결성 검증이 가능합니다.
즉 사용자는 배포된 리소스가 안전하게 구축된 것임을 명확히 확인하고 증명할 수 있습니다.
[Chainguard] 'FIPS 140-3'과 'STIG'는 무엇이며 언제 필요한가요?
▶FIPS 140-3: NIST 암호화 모듈 검증 프로그램을 통해 인증된 암호화 모듈을 의미하며, FedRAMP, DoD 영향 수준 등 다양한 규제 환경에서 요구됩니다.
▶STIG: 보안 기술 구현 가이드(Security Technical Implementation Guide)로, 운영체제 수준에서 적용되는 공공기관 대상 보안 강화 기준입니다.
FIPS 검증 이미지와 STIG 강화 호스트는 관련 운영 요구사항, 계약 조건 또는 내부 정책에 따라 필요한 경우 적용합니다.
[Chainguard] Chainguard 컨테이너는 'FedRAMP Rev 5' 및 'CMMC 2.0' 준수에 어떻게 도움이 되나요?
Chainguard 컨테이너는 최소 구성 기반의 Zero-CVE 이미지를 제공하여 인증 절차를 가속화하고 지속적인 규정 준수 비용을 줄이는 데 도움이 됩니다.
또한 FIPS 암호화 적용, OS 수준 STIG 강화, 전체 SBOM 제공, CVE 수정에 대한 업계 최고 수준의 SLA 지원을 통해 여러 규정 준수 프레임워크에서 요구되는 핵심 요건을 충족할 수 있습니다.
[Chainguard] 각 이미지에는 어떤 증명이 포함되며, 보안 감사자는 이를 어떻게 확인하나요?
모든 Chainguard 이미지는 Sigstore 서명, 서명된 SBOM, SLSA 레벨 2 출처 정보를 함께 제공합니다.
보안 감사자 또는 자동화된 CI 파이프라인은 Cosign/Sigstore를 사용해 이미지의 진위성과 출처를 검증할 수 있습니다.
[Chainguard] FIPS 검증 및 STIG 강화 옵션을 사용할 수 있나요?
네. FIPS 검증 컨테이너 조정 기능을 사용할 수 있으며, 검증된 암호화가 필요한 환경에서 적용해야 합니다.
또한 STIG 강화 호스트(Chainguard VM)도 사용할 수 있으며, 공공기관 또는 강화된 보안 기준선이 요구되는 환경에 적합합니다.
[Chainguard] Chainguard는 스캐너 노이즈와 CVE 백로그를 어느 정도 줄이나요?
Chainguard 이미지는 일반 컨테이너 이미지 대비 평균 약 97.6% 적은 취약점을 포함하며, 시간 경과에 따른 CVE 누적 발생 또한 약 80% 감소하는 효과가 있습니다.
