SBOM(Software Bill of Materials) / ①

문제13) SBOM(Software Bill of Materials)

 

답)

 

 

1. SW 공급망 공격 대응, SBOM의 정의

가. SBOM 의 정의

• 소프트웨어 컴포넌트 및 구성 요소를 식별할 수 있는 메타데이터와 저작권 및 라이선스 등으로 소프트웨어 콘텐츠에 대한 정보를 포함하는 공식 SW 자재 명세서

 

2. SBOM의 개념도 및 기술요소

가. SBOM 의 개념도

 

나. SBOM 의 기술요소

구분	핵심 기술	설명
Baseline Attributes	Author Name	SW 작성자 정보
	Timestamp	SBOM 이 마지막으로 업데이트된 날짜 및 시간(ISO 8601)
	Supplier Name	SW 공급업체의 이름 또는 기타 식별자
	Component Name	SW 구성요소 이름 또는 식별자
	Version String	SW Version 정보(Semantic Versioning)
	Component Hash	SW 컴포넌트 해시 값을 통한 무결성 증빙
	Unique Identifier	고유한 Namespace 및 고유 식별자 생성
	Relationship	SBOM 구성 요소 간의 종속성 및 연간 관계 표현
Formats	SPDX	Software Package Data Exchange 리눅스 재단 오픈소스 저작권 및 라이선스 정보 교환 표준
	CycloneDX	OWASP 재단 공급망 구성요소 보안 및 경량 SBOM 표준
	SWID	Software Identification SW 정보에 대한 Tag 생성 및 오픈소스 SW 인벤토리 지원
성공적인 SBOM 적용을 위한 관리적, 기술적 고려사항 필요

 

3. SBOM의 고려사항

구분	고려사항	내용
관리적	SBOM 관리요소 설정	미국 국가표준기술연구소 SBOM 최소 관리 요소 가이드 데이터 필드, 자동화 지원, 지침 절차
	SW 공급망 위험 평가 정기 수행	SW 공급망 취약점, 악성코드 유입 위험 정기적 평가 잠재적 취약성 식별 및 공격 사전 대응
기술적	SBOM 자동화 구현	SBOM 자동 생성 및 기계 가독성 고려한 자동화 기술 SPDX, CycionDX, SWID 이용한 표준 양식 적용
	SBOM 오픈 플랫폼	IoTcube 등 SBOM 자료생성 및 보안취약점 분석 수행
SW 제품에 대한 SBOM 제출 의무화(21년 미국)로 글로벌 시장 진출을 위해 SBOM 적용 활성화 필요

 

 

---

 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥