웨비나속 Q&A
최근 웨비나 진행 중 발생한 질문과 답변을 조회할 수 있습니다
[질문] Chainguard 도입 후 조직 전체의 보안 운영 프로세스가 어떻게 변화하는지에 대한 모범 사례가 궁금합니다. 특히 개발팀·보안팀·운영팀 간의 역할 분담(R&R)과 협업 방식이 어떻게 재정의되는지, 그리고 초기 정착 단계에서 가장 큰 시행착오는 무엇인지 알려주실 수 있을까요?
아직 답변이 없습니다
[질문] 운영 중인 레지스트리에 이미 취약한 이미지가 다수 존재하는 상황에서 Chainguard가 ‘CVE Zero’ 상태를 달성하려면 기존 이미지의 취약점 패치를 어떻게 권고하고, 그 과정에서 배포된 이미지의 신뢰성을 사용자에게 어떻게 증명하나요?
기존 이미지를 Chainguard에서 제공합니다. 지금 1,400개 이상의 이미지가 제공됩니다. Chainguard Image로 변경하는 겁니다. Ptach를 하시는것이 아니고
TETRIOUS
2025-11-27 14:42
[질문] CI/CD 환경에서 Chainguard의 정책 기반 이미지 사용 제한이 공급망 공격을 줄이는 데 어떤 역할을 하나요?
아직 답변이 없습니다
[질문] SBOM이 기본 제공된다고 하는데 기존에 사용 중인 SBOM 스캐닝 도구 Anchore, Syft 등 통합이 가능한가요? 또 Chainguard 이미지가 금융 공공에서 요구하는 공급망 보안 규제를 충족하는지도 궁금합니다.
네, 그롷습니다. 국내 레퍼런스도 금융보안때문에 만들어져있습니다. 미국같은경우 FedRAMP, HIPPA를 위해서 사용합니다
TETRIOUS
2025-11-27 14:39
[질문] Chainguard가 자동 리빌드를 통해 CVE를 0으로 유지한다고 하는데 실제로 0-day가 발생했을 때도 즉시 대응 가능한가요? 자동 업데이트가 이뤄질 때 기존 애플리케이션과의 호환성 문제는 어떻게 방지하는지도 궁금합니다.
SLA가 8일인데 그런 이유때문에 Almost Zero입니다. 보통은 2-3시간안에 처리합니다
TETRIOUS
2025-11-27 14:40
생성형 AI와 대규모 언어 모델(LLM) 오케스트레이션, 합성 데이터 생성 기능이 부분적으로 통합되면서 데이터 처리량과 속도에 미치는 영향은 어떻게 관리되고 있으며, 이러한 기능들이 플랫폼 성능에 주는 부하를 최소화하기 위한 전략은 무엇인가요? 또한, 이에 따른 백업, 장애복구, 유지보수, 및 데이터 보안 운영 방안은 구체적으로 어떻게 설계되고 실행되고 있나요?
아직 답변이 없습니다
[질문] Chainguard의 CVE Zero 전략이 성공적으로 정착되면, 기존 취약점 담당자는 어떤 새로운 역할을 맡아야 하나요? 이에 대한 Chainguard의 로드맵이나 기 도입사의 사례가 궁금합니다.
아직 답변이 없습니다
[질문]멀티클러스터·멀티리전 Kubernetes 환경에서 이미지 서명 검증 정책을 전역적으로 통합 관리하는 모범 아키텍처가 무엇인가요?
아직 답변이 없습니다
[질문]Chainguard SBOM이 transitive dependency까지 완전 커버하는지, Alpine/musl 환경의 누락 문제는 어떻게 해결하는지 궁금합니다
내, 커버하고 최소이미지에서 추가 페키지가 필요한 경우 admin portal에서 자유롭게 추가 가 가능합니다
TETRIOUS
2025-11-27 14:37
[질문]CVE Zero 달성을 위해 자동 리빌드가 어떤 기준으로 트리거되며, 패치 지연 시 어떤 SLA와 보증 정책을 제공하나요?
SLA는 Critical/High는 7일 나머지는 14일 SLA입니다
TETRIOUS
2025-11-27 14:37
[질문] Chainguard의 자동화된 리빌드 기능은 어떤 기준으로 취약점을 감지하고 대응하며, 기존 보안 도구들과 비교했을 때 어떤 차별성과 강점이 있습니까?
아직 답변이 없습니다
(질문) 오픈소스는 효율성이 좋은 플랫폼으로 향후 IT인프라의 표준이 될 것이란 의견이 많은데요. 이런 신개념 환경에서 데이터 보호는 어떻게 구현되는지 궁금합니다. 1. 플랫폼 버전 업그레이드나 마이그레이션시 발생할 수 있는 S/W적인 오류나 사고가 발생할 때 긴급대응 방안이 있는지요? 2. 플랫폼 담당자 부재시에 발생할 수 있는 긴급상황에 대해선 어떻게 대응할 수 있나요? 3. 각종 랜섬웨어나 해킹 공격에 대한 대응 솔루션은 어떻게 되는지요?
아직 답변이 없습니다
질문) 레거시, 클라우드, SaaS 등으로 가면서 데이타센터 하드웨어 어플라이언스 위주의 보안 정책 관리가 힘들어졌고 재택, 원격 근무가 보편화된 시대에 확장성이나 보안 문제를 드러난 VPN보다 클라우드 엣지 솔루션을 보안 정책으로 검토하고 있습니다. 이때 추천할 만한 솔루션은 어떤 것이 있는지 문의드립니다.
아직 답변이 없습니다
[질문] 공급망 위협 중 빌드 캐시 또는 외부 아티팩트 저장소가 오염되는 경우가 있습니다. Chainguard는 빌드 캐시 신뢰성 확보와 외부 아티팩트(예: 패키지 레포)에서 온 콘텐츠의 무결성 검증을 어떤 방식으로 처리하나요?
저희는 소스를 가지고 모두 리빌딩하기 때문에 오염이 불가능합니다
TETRIOUS
2025-11-27 14:35
[질문] Chainguard의 서명, 검증 체계가 프로덕션 배포 파이프라인에서 CVE 재발을 방지하는 방식은 무엇인가요?
아직 답변이 없습니다
[질문]POC를 하려면 어떤 절차로 진행해야 할까요?
관심있는 이미지를 정하셔서 연락주시면 PoC할 수 있는 환경을 제공해드리고 보통 2주정도 사용하게 해드립니다
TETRIOUS
2025-11-27 14:34
[질문]현재 업계 동향 및 앞으로의 발전 방향에 대해서 문의드립니다
저희는 컨테이너 이미지, VM 이미지, Language Library, 3rd Party Application으로 확장하고 잇습니다
TETRIOUS
2025-11-27 14:34
[질문] 자동화 빌드 인프라는 오픈소스 코드에 대한 검증 및 실패시 대처하는 알고리즘 등이 포함되어 있는지, 자동 복구 등의 기능이 제공되는지 문의 드립니다
Chainguard영역은 아니고 저희는 모든것이 완료된 이미지를 제공하게 되어있어서 저희때문에 프로세스가 멈출 이유는 없습니다
TETRIOUS
2025-11-27 14:33
[질문] Chainguard Factory가 매일 자동으로 이미지를 리빌드한다고 하더라도, 특정 라이브러리 버전을 고정하거나, 호환성 문제나 내부요청으로 특정 패치를 홀딩할 경우가 있습니다. 이렇게 고객사마다의 커스터마이징 규칙을 적용할 수 있는지 궁금합니다. 지금 고객이 원하는 것을 얹는다는 설명이 이 질문과 연관되는지도 모르겠네요.
좋은 질문입니다. 고객의 선택입니다. 최신버젼을 사용할 수 있고 특정버젼에 고정해서 사용할 수 있습니다. CVE0를 만든 이미지
TETRIOUS
2025-11-27 14:32
고객사 마다,원하는 소프트웨어 이미지 버전에 Tag를 해서 CVE 제거된 이미지를 받아 보실 수 있습니다. 최신버전을 Tag할 수 있고요. 특정 버전에 Tag 하실 수 있습니다. 최소한의 패키지로 CVE만 제거하고 리빌딩 됨으로 최대한 호환성이 가능하도록 하고 있습니다.
TETRIOUS
2025-11-27 14:45
(질문) 오픈소스에서 수많은 소프트웨어를 쉽게 관리하고 배치하여 오픈소스를 사용할때 보안적인 측면은 고려하지 않은 것인지 아님 오픈소스 보안기능으로는 어느 보안측면이 부족한 것인가요? 향후 보안기능을 어느쪽에 추가하는 것이 더 효과적일까요?
아직 답변이 없습니다