반응형
Ⅰ. 소프트웨어 공급망 공격 대응, SBOM의 정의
- 소프트웨어 컴포넌트 및 구성 요소를 식별할 수 있는 메타데이터와 저작권 및 라이선스 등으로 소프트웨어 콘텐츠에 대한 정보를 포함하는 공식 SW 자재 명세서
Ⅱ. SBOM 개념도 및 구성 요소
가. SBOM 개념도
나. SBOM 구성 요소
| 구성 요소 | 설명 | 예시 |
| 소프트웨어 구성 | 소프트웨어 패키지 및 라이브러리 | - log4j - openssl |
| 메타데이터 | SBOM 생성 날짜, 형식, 버전 | - CycloneDX - SPDX |
| 보안 정보 | 취약점 및 보안 패치 | - CVSS - CVE |
| 라이선스 정보 | 라이선스 유형 및 준수 여부 | - Apache-2.0 - MIT |
| 형식 및 배포 정보 | 패키지 유형, 해시값 | - pkg 정보 - SHA-256 |
Ⅲ. SBOM 작성 핵심 도구 SCA(Software Composition Analysis)
| SCA | -> 생성 |
SBOM | -> 구현 |
DevSecOps |
| - SBOM 생성 - SBOM 관리 |
- 취약점 분석 - 보안 관리 |
- SW 개발 보안 - SW 운영 보안 |
- SCA 도구 활용하여 SBOM 생성 및 관리하고, DevSecOps와 연동하여 리스크 조기 탐지
반응형
'IT 기술 > SW공학 & 프로젝트 관리' 카테고리의 다른 글
| 소프트웨어 요구 공학 (0) | 2025.03.04 |
|---|---|
| 소프트웨어 유지보수 향상 및 비용 절감(3R) (0) | 2025.03.04 |
| 모놀리식 아키텍처와 마이크로서비스 아키텍처 (0) | 2025.03.04 |
| Micro Service Architecture (0) | 2025.01.16 |
| WBS (0) | 2025.01.06 |