SBOM (Software Bill of Materials)
소프트웨어 구성 요소의 목록. SBOM은 소프트웨어 제품의 투명성을 높이고, 보안 취약점의 식별 및 관리, 라이선스 준수, 소프트웨어 공급망의 위험 관리를 개선
SBOM의 주요 특징과 이점
-
구성 요소 식별 : SBOM은 소프트웨어에 포함된 모든 구성 요소(오픈 소스 및 상용)의 명확한 목록을 제공합니다. 이에는 라이브러리, 패키지, 모듈 등이 포함될 수 있습니다.
-
보안 취약점 관리 : SBOM을 사용하면 개발자와 보안 팀이 소프트웨어 내의 알려진 취약점을 쉽게 식별하고 수정할 수 있습니다. 이는 보안 위험을 줄이고 대응 시간을 단축하는 데 도움이 됩니다.
-
라이선스 준수 : SBOM은 모든 구성 요소의 라이선스 정보를 포함하므로, 조직은 라이선스 준수 문제를 더 효과적으로 관리할 수 있습니다.
-
공급망 투명성 : 소프트웨어 공급망의 복잡성으로 인해, SBOM은 제품의 구성 요소와 그들의 출처에 대한 투명성을 제공합니다.
-
표준화된 형식 : SBOM은 다양한 표준 형식(예: SPDX, CycloneDX)으로 제공될 수 있어, 다양한 도구 및 시스템과의 호환성을 제공합니다.
-
위험 관리 개선 : 조직은 SBOM을 사용하여 소프트웨어 공급망에서 발생할 수 있는 위험을 더 잘 이해하고 관리할 수 있습니다.
-
규제 준수 : 특정 산업 또는 지역에서는 소프트웨어 제품에 대한 SBOM의 제공이 법적 요구 사항이 될 수 있습니다.
-
지속적인 모니터링 : SBOM은 지속적인 보안 모니터링과 위험 평가의 기초가 됩니다. 이는 새로운 취약점이 발견될 때 신속한 대응을 가능하게 합니다.
-
개발 및 운영 효율성 향상 : SBOM은 개발 및 운영 프로세스에서 필요한 투명성과 정보를 제공하여 전반적인 효율성을 높일 수 있습니다.
-
이해 관계자와의 커뮤니케이션 개선 : SBOM은 개발자, 보안 전문가, 운영 팀, 그리고 최종 사용자 간의 명확하고 일관된 커뮤니케이션을 촉진합니다.
SBOM의 중요성은 소프트웨어 공급망이 점점 더 복잡해지고, 보안 위협이 증가하는 현대의 디지털 환경에서 더욱 부각되고 있음.
SBOM 개념은 10년 이상 존재해 왔으나, 국가의 사이버 보안을 개선하기 위한 바이든 행정부의 2021년 행정 명령은 이 용어를 소프트웨어 공급망 보안과 동의어로 만들고 프로파일을 격상. 미국 정부는 공공 부문에 판매하는 애플리케이션 개발자들이 소프트웨어 패키지에 SBOM을 포함하도록 의무화.
참조 : https://about.gitlab.com/blog/2022/10/25/the-ultimate-guide-to-sboms/
