본문으로 건너뛰기

SBOM, Software Bill of Materials

· 약 3분

SBOM의 개념

  • SW개발 및 배포 과정에 사용된 모든 오픈소스, 라이브러리, 패키지, 모듈 등의 구성요소를 체계화한 SW자재 명세서
  • SW복잡성의 증가로 인한 보안취약점, OSS라이센스 관리, SW공급망 투명성 확보, 구성요소들의 품질 관리를 위해 필요

SBOM의 개념도, 구성요소, 적용사례

SBOM의 개념도

  • SBOM 도입으로 관리자가 SW를 통합 관리 가능

SBOM의 구성요소

구분내용비고
지침, 절차SBOM 요청, 생성, 사용에 관한 절차 정의생성 빈도, 분석 깊이, 접근 제어 등
컴포넌트 명세추적해야할 각 컴포넌트의 식별정보, 관계정보이름, 버전, 고유식별자, 의존관계, 라이센스
자동화 지원기계 가독성 데이터포맷으로 자동화된 추적관리SPDX, CycloneDX 등 SBOM 프로토콜

SBOM 적용사례

구분사례비고
국내디지털 플랫폼 정부SW공급망 보안 가이드라인
국외바이든 행정부행정명령 통한 주요 인프라SW SBOM 의무화
-리눅스 재단SPDX 표준 관리 통한 SBOM 정보 교환 및 활용 지원
-EU사이버복원력법 제정, 유통되는 모든 디지털 기기의 SBOM 의무화

SBOM 도입 후 고려사항

  • SW구성요소 변경시 SBOM을 최신상태로 유지하여 정보 정확성을 확보하고, 주기적인 오픈소스 버전 업데이트로 보안 취약점 개선

참조