웨비나속 Q&A
최근 웨비나 진행 중 발생한 질문과 답변을 조회할 수 있습니다
[질문] 자동화 빌드 인프라는 오픈소스 코드에 대한 검증 및 실패시 대처하는 알고리즘 등이 포함되어 있는지, 자동 복구 등의 기능이 제공되는지 문의 드립니다
Chainguard영역은 아니고 저희는 모든것이 완료된 이미지를 제공하게 되어있어서 저희때문에 프로세스가 멈출 이유는 없습니다
TETRIOUS
2025-11-27 14:33
[질문] Chainguard Factory가 매일 자동으로 이미지를 리빌드한다고 하더라도, 특정 라이브러리 버전을 고정하거나, 호환성 문제나 내부요청으로 특정 패치를 홀딩할 경우가 있습니다. 이렇게 고객사마다의 커스터마이징 규칙을 적용할 수 있는지 궁금합니다. 지금 고객이 원하는 것을 얹는다는 설명이 이 질문과 연관되는지도 모르겠네요.
좋은 질문입니다. 고객의 선택입니다. 최신버젼을 사용할 수 있고 특정버젼에 고정해서 사용할 수 있습니다. CVE0를 만든 이미지
TETRIOUS
2025-11-27 14:32
고객사 마다,원하는 소프트웨어 이미지 버전에 Tag를 해서 CVE 제거된 이미지를 받아 보실 수 있습니다. 최신버전을 Tag할 수 있고요. 특정 버전에 Tag 하실 수 있습니다. 최소한의 패키지로 CVE만 제거하고 리빌딩 됨으로 최대한 호환성이 가능하도록 하고 있습니다.
TETRIOUS
2025-11-27 14:45
(질문) 오픈소스에서 수많은 소프트웨어를 쉽게 관리하고 배치하여 오픈소스를 사용할때 보안적인 측면은 고려하지 않은 것인지 아님 오픈소스 보안기능으로는 어느 보안측면이 부족한 것인가요? 향후 보안기능을 어느쪽에 추가하는 것이 더 효과적일까요?
아직 답변이 없습니다
[질문] 기존 Alpine/Ubuntu 기반 이미지 대비 Chainguard 이미지가 CVE Zero 목표 달성에 유리한 핵심 보안 메커니즘은 무엇인가요?
아직 답변이 없습니다
[질문]AI 오케스트레이션이 제 업무 프로세스에 적용되면 단순 자동화와는 어떤 차별성이 있고, 실무자가 직접 체감할 수 있는 효율성은 무엇일까요? 초기 단계부터 바로 효과를 느낄 수 있는 대표적인 시나리오가 있다면 궁금합니다.
아직 답변이 없습니다
[질문] 오픈소스 이미지 배포시에 가장 주의해야 할 점과 Chainguard 의 자동화 제공 정도가 궁금합니다
배포는 저희와 관계는 없습니다
TETRIOUS
2025-11-27 14:28
[질문]Chainguard 하드닝 이미지는 경량화가 강점이지만, 서버리스(Knative/Lambda)/쿠버네티스 HPA 환경의 Cold Start나 런타임 성능에 미치는 영향에 대한 벤치마크 결과는 제공되나요?
찾아보고 전달해 드리도록 하겠습니다
TETRIOUS
2025-11-27 14:30
[질문] Chainguard의 CVE Zero 이미지를 사용하면, 개발팀에게 패치 요청을 보내는 업무 프로세스 자체가 사라진다고 봐도 무방한가요? 아니면 여전히 애플리케이션 레벨의 취약점은 별도로 관리해야 하는지요?
네, 그렇습니다/ 개발한 Application은 Chainguard영역이 아니지만 3rd Party Application은 Chainguard에서 제공합니다
TETRIOUS
2025-11-27 14:28
[질문]GitLab, Jenkins, ArgoCD, GitHub Actions 기반 환경에서 Chainguard의 자동 리빌드 및 이미지 서명 기능을 통합할 때 발생할 수 있는 파이프라인 충돌 사례는 무엇이고, Chainguard가 공식적으로 권장하는 통합 패턴은 무엇인가요?
충돌보다는 현제가지고 있는 Repository를 어떻게 사용할지만 정하시면 될것 같습니다
TETRIOUS
2025-11-27 14:29
[질문]금융·공공 규제에서 요구하는 ‘변경 이력 추적(immutaiblity), SBOM 보존, 빌드 provenance’ 항목을 Chainguard는 어떤 형식으로 제공하며, 외부 감사를 대비한 Export 기능도 지원하나요?
SBOM은 SPDX형태로 제공해드립니다.
TETRIOUS
2025-11-27 14:25
(질문) 도입을 추진하는 많은 기업이 ‘기존 인프라와의 호환성 문제’ 또는 ‘보안 정책 적용의 복잡성’ 등의 이유로 어려움을 겪습니다. 국내 기업들이 도입할 때 가장 자주 부딪히는 현실적인 문제는 무엇이고, 이를 해결하기 위한 실용적인 접근법은 어떤 것이 있을까요?
가장 어려움이 조직의 R&R로 생각이 됩니다. 누가 CVE0 이미지를 관리해야 하는 역할을 정해야 합니다
TETRIOUS
2025-11-27 14:31
[질문] Chainguard Images에서 적용하는 reproducible build 방식이 신뢰 가능한 아티팩트 검증을 어떻게 보장하는지 궁금합니다.
아직 답변이 없습니다
유익한 정보 감사합니다, 저희도 AI나 RPA 같은 솔루션을 도입하면서 오픈소스에 대한 우려가 커지고 있습니다, 저작권이나 특허 등에 저촉되지 않도록 사전 필터링 하는 대책도 TETRIOUS 솔루션에 포함되어 있는지 궁금합니다
네, 취약성및 라이센스 합법성까지 합니다
TETRIOUS
2025-11-27 14:24
네, 답변 감사합니다~
권준식
2025-11-27 14:28
[질문]마이크로서비스 수백 개가 각자 리빌드되면 이미지가 기하급수적으로 증가하는데, Chainguard는 이미지 중복 최소화나 레이어 재사용 최적화 방안을 제공하나요?
아직 답변이 없습니다
[질문]좋은 답변에 감사드립디나. 이미지 하드닝 및 SBOM 검증을 적용해도 통과하는 supply chain 공격(예: 타임스크위딩, 의존성 하이재킹)이 있는데, Chainguard는 이러한 ‘패키지 레벨이 아닌 소스 레벨’ 공격에도 방어력을 제공하나요?
Python, Java와 같은 Language Library를 제공합니다
TETRIOUS
2025-11-27 14:24
[질문] 무료 오픈소스 이미지를 위해 유료 Chainguard를 도입시 경영진 설득이 필수인데요, 취약점 패치 작업의 인건비 대비 Chainguard 도입시 ROI를 산출할 수 있는 구체적인 모델이나 사례를 제시해 주실 수 있는지 궁금합니다.
좋은 말씀이고 ROI Calculator를 통하여 자료를 제공합니다
TETRIOUS
2025-11-27 14:26
[질문] SBOM을 생성·관리하는 주체가 조직 내부인지 Chainguard 플랫폼인지에 따라 책임·위임 모델이 달라질 것 같습니다. Chainguard는 SBOM 생성 책임을 어떻게 설계하고, SBOM 위·변조 방지는 어떻게 보장하나요?
네 이것을 방지하기 위한 SIgnature를 가지고 보장합니다
TETRIOUS
2025-11-27 14:23
[질문]Chainguard가 제공하는 ‘CVE Zero’ 상태는 어떤 SLA로 보장되며, 심각도 High/CRITICAL 패치의 배포 시간 지연이 발생할 경우 고객은 어떤 보증을 받을 수 있나요?
네 SLA는 High/Critical은 7일입니다. 그런데 보통은 2-3시간안에 처리합니다
TETRIOUS
2025-11-27 14:22
[질문] 오픈소스에서 마이그레이션에 따른 각 애플리케이션 에러와 문제에 대한 검증 및 수정은 어떻게 진행되며, 소요 기간은 얼마나 걸리는지요? 마이그레이션 후, 사전 시뮬레이션에 도출되지 않은 애플리케이션 에러와 보안 취약점은 어떻게 지원되는지요?
아직 답변이 없습니다
[질문] 오픈소스를 자동으로 가져와서 리빌드할때, 기업에서 사용하면 안되는 라이센스가 포함될 리스크는 없는지요?
그것까지 확인해서 불법적인 라이센스를 사용하지 않습니다.
TETRIOUS
2025-11-27 14:21