1. SBOM 정의

💡 SBOM이란?

• Software Bill of Materials
• sw 구성요소 명세서(자재명세서)
• SW 구성요소를 서술하는 일종의 메타 데이터로, SW 전체의 구성요소를 목록화하는 문서

2. SBOM 추진 배경

• SW 부품 공급의 분업화

  → SW 공급망을 통한 최종 디지털 제품 및 서비스의 무결성에 대한 ‘신뢰 하락’

• 오픈소스코드와 써드 파티 구성요소들이 공개됨에 따라 보안 취약점이 자주 발생

• SW 공급망 공격

  • 공급망 구성요소 중 하나 이상의 약점이 손상되어 최종 제품이 변경되는 것
  • 공급망에서 어떤 방식으로든 구성요소의 일부가 변경되어 최종 제품이 취약해지거나, 임의의 SW가 포함되는 공격
  • SW 개발, 변환, 배포, 운영 시스템 등 모든 SW 인프라가 공격에 대상이 될 수 있음

∵ 미국, EU등 주요국을 중심으로 SW 공급망 보안 강화를 위한 제도화 추진

3. SBOM 필요성

• SW를 개발하거나, 구매할 때 또는 시스템 운영에도 활용 가능

💻 개발자

• 공개 SW, 타사 SW의 구성요소를 사용하여 제품을 주로 만드는데, SBOM을 통해 해당 구성요소의 버전 식별 및 보안 취약점에 신속하게 대응

💻 구매자

• SBOM을 사용하여 보안 취약점 또는 라이선스 분석을 수행

💻 운영자

• 새로 발견된 보안 취약점이 잠재적 위험에 노축돼있는지 확인 및 관리

4. SBOM 구성 요소

• 데이터 필드
• 자동화 지원
  • 국제적으로 통용되는 SPDX, CycloneDX, SWID를 활용하여 형식에 맞춰 지원
• 관행 및 프로세스

⇒ 3가지 영역을 모두 포함하도록 정의 BY NITA