SBOM(Software Bill of Materials)

SBOM

• SBOM(Software Bill of Materials)은 소프트웨어 제품을 구성하는 모든 오픈소스 및 서드파티 구성 요소, 라이브러리, 버전 정보 등을 포함한 문서입니다.
• 소프트웨어의 투명성을 높이고 보안 및 라이선스 컴플라이언스를 관리하기 위해 사용됩니다.

SBOM의 중요성

• 소프트웨어 공급망 보안 강화: 소프트웨어의 구성 요소를 명확히 파악하여 보안 취약점(Vulnerability)을 사전에 탐지할 수 있음.
• 라이선스 컴플라이언스: 오픈소스 라이브러리의 라이선스 조건을 준수하도록 돕고 법적 리스크를 방지.
• 취약점 대응: 소프트웨어에 사용된 라이브러리 및 버전 정보를 추적하여 CVE(Common Vulnerabilities and Exposures) 취약점을 신속하게 해결.
• 규제 준수: 미국 행정명령(Executive Order 14028) 및 NIST(National Institute of Standards and Technology) 등의 요구 사항 충족.

SBOM의 구성요소

SBOM에는 일반적으로 다음과 같은 정보가 포함됩니다.

• 소프트웨어 이름 및 버전: 각 구성 요소의 명칭과 버전 정보
• 공급자 정보: 해당 소프트웨어를 제공하는 기업 또는 개발자 정보
• 라이선스 정보: 오픈소스 라이브러리의 라이선스 유형
• 해시값 및 서명 정보: 무결성 검증을 위한 해시값
• 종속성 정보(Dependency Tree): 다른 구성 요소와의 관계

SBOM의 성생도구

SBOM을 생성하는 도구들은 여러 개 존재하며, 대표적인 도구들은 다음과 같습니다.

• CycloneDX: OWASP에서 제공하는 SBOM 포맷 및 도구
• SPDX (Software Package Data Exchange): Linux Foundation에서 개발한 SBOM 표준
• Syft: Anchore에서 제공하는 SBOM 생성 도구
• Trivy: 취약점 스캐너 기능과 SBOM 생성을 함께 지원

SBOM과 보안 프레임워크

SBOM은 다양한 보안 프레임워크 및 규제 요구사항과 연계됩니다.

• NIST SP 800-218: 소프트웨어 공급망 보안 프레임워크
• Executive Order 14028: 미국 정부의 소프트웨어 보안 강화 명령
• ISO 5230: 오픈소스 라이선스 컴플라이언스 표준
• CISA (Cybersecurity and Infrastructure Security Agency): SBOM을 활용한 보안 가이드 제공

SBOM의 활용 사례

• 소프트웨어 개발 기업: SBOM을 통해 소프트웨어 공급망의 보안성을 개선하고, 오픈소스 라이선스를 준수.
• 보안팀 및 DevSecOps: SBOM을 통해 취약점 탐색 및 패치 적용을 신속하게 수행.
• 정부 및 규제 기관: SBOM을 통해 공공기관 및 중요 인프라 보호.

SBOM 도입 시 고려할 점

• 자동화된 SBOM 관리 도구 사용: 수동으로 관리하기 어렵기 때문에 Syft, CycloneDX 등의 자동화 도구 활용.
• 정기적인 SBOM 업데이트: 소프트웨어 업데이트 시마다 SBOM을 최신 상태로 유지해야 함.
• 보안 정책과 연계: SBOM을 취약점 탐색 도구(SCA, Software Composition Analysis)와 함께 사용하여 보안성을 극대화
  
  
  
  

---

관련 블로그

소프트웨어 공급망 공격 동향 및 공격방식