반응형
1. 개요
- 소프트웨어가 다양한 오픈 소스를 활용하여 작성 되면서 SBOM의 중요성 증가
2. 개념
- 소프트웨어 혹은 서비스를 완성하는데 활용되는 모든 소프트웨어에 대한 공식 명세서
3. 구성요소
- 공급자명: 구성요소 주체 이름
- 컴포넌트명: 소프트웨어 단위 명칭
- 고유식별자: 데이터베이스 조회 키
4. 단계별 대상
- 설계: 사양, 외부패키지 등
- 개발: 바이너리, 소스코드 등
- 시험: 인증서 등
- 유통: 메타데이터, 패키지 등
- 운영: 변경사항, 취약점 극복내용 등
5. 특징
- 표준화: SPDX, SWID, Cyclone DX사용
- 최신유지: 새로운 버전마다 SBOM작성
- 관계설명: Known, Unknown, None, Partial
6. 필요성
- 안전성: 보안취약점 우려 해소
- 관리성: 소프트웨어 관리 용이
- 투명성: 소프트웨어 공급망 가시화
- 식별성: 라이선스 이슈 파악
7. 동향
- 미 연방 정부의 행정 명령으로 인해 국내 기업에도 영향을 미칠 우려가 있어 대비 필요.
*SCA(Software Composition Analysis)
- SCA도구를 사용하면 정보를 수집하여 구성요소를 기술하거나 종속성을 파악하는 단계를 일부 자동화 가능.
- BlackDuck, Contrast Security, Deepwatch, Fortify 등 수많은 제품 존재.
'정보보안' 카테고리의 다른 글
| AAA(Authentication, Authorization, Accounting)프로토콜 (0) | 2025.04.28 |
|---|---|
| HSM(Hardware Security Module) (0) | 2025.04.25 |
| 신속 확인 제도 (0) | 2025.04.25 |
| CC인증(Common Criteria Certification) (0) | 2025.04.25 |
| 보안 기능 확인서(보안 기능 시험 제도) (0) | 2025.04.25 |