웨비나속 Q&A
최근 웨비나 진행 중 발생한 질문과 답변을 조회할 수 있습니다
[질문]CVE Zero 달성을 위해 자동 리빌드가 어떤 기준으로 트리거되며, 패치 지연 시 어떤 SLA와 보증 정책을 제공하나요?
SLA는 Critical/High는 7일 나머지는 14일 SLA입니다
TETRIOUS
2025-11-27 14:37
[질문] Chainguard의 자동화된 리빌드 기능은 어떤 기준으로 취약점을 감지하고 대응하며, 기존 보안 도구들과 비교했을 때 어떤 차별성과 강점이 있습니까?
아직 답변이 없습니다
(질문) 오픈소스는 효율성이 좋은 플랫폼으로 향후 IT인프라의 표준이 될 것이란 의견이 많은데요. 이런 신개념 환경에서 데이터 보호는 어떻게 구현되는지 궁금합니다. 1. 플랫폼 버전 업그레이드나 마이그레이션시 발생할 수 있는 S/W적인 오류나 사고가 발생할 때 긴급대응 방안이 있는지요? 2. 플랫폼 담당자 부재시에 발생할 수 있는 긴급상황에 대해선 어떻게 대응할 수 있나요? 3. 각종 랜섬웨어나 해킹 공격에 대한 대응 솔루션은 어떻게 되는지요?
아직 답변이 없습니다
질문) 레거시, 클라우드, SaaS 등으로 가면서 데이타센터 하드웨어 어플라이언스 위주의 보안 정책 관리가 힘들어졌고 재택, 원격 근무가 보편화된 시대에 확장성이나 보안 문제를 드러난 VPN보다 클라우드 엣지 솔루션을 보안 정책으로 검토하고 있습니다. 이때 추천할 만한 솔루션은 어떤 것이 있는지 문의드립니다.
아직 답변이 없습니다
[질문] 공급망 위협 중 빌드 캐시 또는 외부 아티팩트 저장소가 오염되는 경우가 있습니다. Chainguard는 빌드 캐시 신뢰성 확보와 외부 아티팩트(예: 패키지 레포)에서 온 콘텐츠의 무결성 검증을 어떤 방식으로 처리하나요?
저희는 소스를 가지고 모두 리빌딩하기 때문에 오염이 불가능합니다
TETRIOUS
2025-11-27 14:35
[질문] Chainguard의 서명, 검증 체계가 프로덕션 배포 파이프라인에서 CVE 재발을 방지하는 방식은 무엇인가요?
아직 답변이 없습니다
[질문]POC를 하려면 어떤 절차로 진행해야 할까요?
관심있는 이미지를 정하셔서 연락주시면 PoC할 수 있는 환경을 제공해드리고 보통 2주정도 사용하게 해드립니다
TETRIOUS
2025-11-27 14:34
[질문]현재 업계 동향 및 앞으로의 발전 방향에 대해서 문의드립니다
저희는 컨테이너 이미지, VM 이미지, Language Library, 3rd Party Application으로 확장하고 잇습니다
TETRIOUS
2025-11-27 14:34
[질문] 자동화 빌드 인프라는 오픈소스 코드에 대한 검증 및 실패시 대처하는 알고리즘 등이 포함되어 있는지, 자동 복구 등의 기능이 제공되는지 문의 드립니다
Chainguard영역은 아니고 저희는 모든것이 완료된 이미지를 제공하게 되어있어서 저희때문에 프로세스가 멈출 이유는 없습니다
TETRIOUS
2025-11-27 14:33
[질문] Chainguard Factory가 매일 자동으로 이미지를 리빌드한다고 하더라도, 특정 라이브러리 버전을 고정하거나, 호환성 문제나 내부요청으로 특정 패치를 홀딩할 경우가 있습니다. 이렇게 고객사마다의 커스터마이징 규칙을 적용할 수 있는지 궁금합니다. 지금 고객이 원하는 것을 얹는다는 설명이 이 질문과 연관되는지도 모르겠네요.
좋은 질문입니다. 고객의 선택입니다. 최신버젼을 사용할 수 있고 특정버젼에 고정해서 사용할 수 있습니다. CVE0를 만든 이미지
TETRIOUS
2025-11-27 14:32
고객사 마다,원하는 소프트웨어 이미지 버전에 Tag를 해서 CVE 제거된 이미지를 받아 보실 수 있습니다. 최신버전을 Tag할 수 있고요. 특정 버전에 Tag 하실 수 있습니다. 최소한의 패키지로 CVE만 제거하고 리빌딩 됨으로 최대한 호환성이 가능하도록 하고 있습니다.
TETRIOUS
2025-11-27 14:45
(질문) 오픈소스에서 수많은 소프트웨어를 쉽게 관리하고 배치하여 오픈소스를 사용할때 보안적인 측면은 고려하지 않은 것인지 아님 오픈소스 보안기능으로는 어느 보안측면이 부족한 것인가요? 향후 보안기능을 어느쪽에 추가하는 것이 더 효과적일까요?
아직 답변이 없습니다
[질문] 기존 Alpine/Ubuntu 기반 이미지 대비 Chainguard 이미지가 CVE Zero 목표 달성에 유리한 핵심 보안 메커니즘은 무엇인가요?
아직 답변이 없습니다
[질문]AI 오케스트레이션이 제 업무 프로세스에 적용되면 단순 자동화와는 어떤 차별성이 있고, 실무자가 직접 체감할 수 있는 효율성은 무엇일까요? 초기 단계부터 바로 효과를 느낄 수 있는 대표적인 시나리오가 있다면 궁금합니다.
아직 답변이 없습니다
[질문] 오픈소스 이미지 배포시에 가장 주의해야 할 점과 Chainguard 의 자동화 제공 정도가 궁금합니다
배포는 저희와 관계는 없습니다
TETRIOUS
2025-11-27 14:28
[질문]Chainguard 하드닝 이미지는 경량화가 강점이지만, 서버리스(Knative/Lambda)/쿠버네티스 HPA 환경의 Cold Start나 런타임 성능에 미치는 영향에 대한 벤치마크 결과는 제공되나요?
찾아보고 전달해 드리도록 하겠습니다
TETRIOUS
2025-11-27 14:30
[질문] Chainguard의 CVE Zero 이미지를 사용하면, 개발팀에게 패치 요청을 보내는 업무 프로세스 자체가 사라진다고 봐도 무방한가요? 아니면 여전히 애플리케이션 레벨의 취약점은 별도로 관리해야 하는지요?
네, 그렇습니다/ 개발한 Application은 Chainguard영역이 아니지만 3rd Party Application은 Chainguard에서 제공합니다
TETRIOUS
2025-11-27 14:28
[질문]GitLab, Jenkins, ArgoCD, GitHub Actions 기반 환경에서 Chainguard의 자동 리빌드 및 이미지 서명 기능을 통합할 때 발생할 수 있는 파이프라인 충돌 사례는 무엇이고, Chainguard가 공식적으로 권장하는 통합 패턴은 무엇인가요?
충돌보다는 현제가지고 있는 Repository를 어떻게 사용할지만 정하시면 될것 같습니다
TETRIOUS
2025-11-27 14:29
[질문]금융·공공 규제에서 요구하는 ‘변경 이력 추적(immutaiblity), SBOM 보존, 빌드 provenance’ 항목을 Chainguard는 어떤 형식으로 제공하며, 외부 감사를 대비한 Export 기능도 지원하나요?
SBOM은 SPDX형태로 제공해드립니다.
TETRIOUS
2025-11-27 14:25
(질문) 도입을 추진하는 많은 기업이 ‘기존 인프라와의 호환성 문제’ 또는 ‘보안 정책 적용의 복잡성’ 등의 이유로 어려움을 겪습니다. 국내 기업들이 도입할 때 가장 자주 부딪히는 현실적인 문제는 무엇이고, 이를 해결하기 위한 실용적인 접근법은 어떤 것이 있을까요?
가장 어려움이 조직의 R&R로 생각이 됩니다. 누가 CVE0 이미지를 관리해야 하는 역할을 정해야 합니다
TETRIOUS
2025-11-27 14:31
[질문] Chainguard Images에서 적용하는 reproducible build 방식이 신뢰 가능한 아티팩트 검증을 어떻게 보장하는지 궁금합니다.
아직 답변이 없습니다