SBOM(Software Bill of Material)
<알게 된 계기>
- 2022 사이버보안 컨퍼런스를 참석했는데, 오픈소스 소프트웨어의 취약점 관리방안 中 하나로 알게 되었다.
- 솔라윈즈 사태, Log4j 취약점 사태 등 공급망 공격(Supply Chain Attack)을 겪으면서 필요성이 더 커지게 되었다.
- 실제 작년에 Log4j 취약점을 조치하면서 체계 안에 이러한 소프트웨어가 운영중이라는 것도 몰랐기 때문에 개인적으로도 오픈소스를 도입할 때는 유용할 것으로 생각했다.
<SBOM(Software Bill of Material) 개요>
- 간단하게 말하면, 도입되는 소프트웨어 안에 어떤 세부 구성요소들이 있는지 알려달라는 거다.
- 자동차를 사게 되면, 그 안에 엔진은 무엇이 들어가는지, 변속이는 어떤건지, 브레이크는 어떤 회사의 어떤 제품인지 등등
- 미국에서는 행정명령으로 연방정부와 계약 시, 필수적으로 SBOM을 요구하고 있음
- 국내에서는 관련사항은 표준화 및 규정화 하기 위해 다양한 기관에서 노력 중임.
<참고자료>
: 컨퍼런스에서 발표해주신 분도 이 센터 소속이셨다