정보관리기술/소프트웨어공학

SBOM(Software Bill of Materials) / ①

아이티신비 2024. 1. 24. 11:00

문제13) SBOM(Software Bill of Materials)

 

답)

 

 

1. SW 공급망 공격 대응, SBOM의 정의

가. SBOM 의 정의

  • 소프트웨어 컴포넌트 및 구성 요소를 식별할 수 있는 메타데이터와 저작권 및 라이선스 등으로 소프트웨어 콘텐츠에 대한 정보를 포함하는 공식 SW 자재 명세서

 

2. SBOM의 개념도 및 기술요소

가. SBOM 의 개념도


 

나. SBOM 의 기술요소

구분
핵심 기술
설명
Baseline Attributes
Author Name
  • SW 작성자 정보
Timestamp
  • SBOM 이 마지막으로 업데이트된 날짜 및 시간(ISO 8601)
Supplier Name
  • SW 공급업체의 이름 또는 기타 식별자
Component Name
  • SW 구성요소 이름 또는 식별자
Version String
  • SW Version 정보(Semantic Versioning)
Component Hash
  • SW 컴포넌트 해시 값을 통한 무결성 증빙
Unique Identifier
  • 고유한 Namespace 및 고유 식별자 생성
Relationship
  • SBOM 구성 요소 간의 종속성 및 연간 관계 표현
Formats
SPDX
  • Software Package Data Exchange
  • 리눅스 재단 오픈소스 저작권 및 라이선스 정보 교환 표준
CycloneDX
  • OWASP 재단 공급망 구성요소 보안 및 경량 SBOM 표준
SWID
  • Software Identification
  • SW 정보에 대한 Tag 생성 및 오픈소스 SW 인벤토리 지원
  • 성공적인 SBOM 적용을 위한 관리적, 기술적 고려사항 필요

 

3. SBOM의 고려사항

구분
고려사항
내용
관리적
SBOM 관리요소 설정
  • 미국 국가표준기술연구소 SBOM 최소 관리 요소 가이드
  • 데이터 필드, 자동화 지원, 지침 절차
SW 공급망 위험 평가 정기 수행
  • SW 공급망 취약점, 악성코드 유입 위험 정기적 평가
  • 잠재적 취약성 식별 및 공격 사전 대응
기술적
SBOM 자동화 구현
  • SBOM 자동 생성 및 기계 가독성 고려한 자동화 기술
  • SPDX, CycionDX, SWID 이용한 표준 양식 적용
SBOM 오픈 플랫폼
  • IoTcube 등 SBOM 자료생성 및 보안취약점 분석 수행
  • SW 제품에 대한 SBOM 제출 의무화(21년 미국)로 글로벌 시장 진출을 위해 SBOM 적용 활성화 필요

 

 


 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥