OSBC

본문 바로가기
  • TEL. 02-538-9227
  • E-mail. marketing@osbc.co.kr
  • FAX. 02-538-9226

SBOM 컨설팅

SBOM(Software Bill of Materials)는 한국어로 소프트웨어 구성요소 목록이라고 하며 제조업에서
공급망 관리(Supply Chain Management, SCM)를 위해 제품을 생산하는데 소요되는 원재료 또는 부분품에 대한 정보와 상세 내역을 공유하고
지속적으로 관리하기 위해 활용한 자재명세서(Bill of Materials, BOM)를 소프트웨어 공급망 관리를 위해 적용한 개념입니다.

SBOM은 소프트웨어를 구성하고 있는 다양한 정보와 상세내역에 대한 목록으로서 벤더는 고객에게 공급하는 소프트웨어의 구성요소가 최신인지 확인하고
새로운 취약점에 신속하게 대응하면서 지속적으로 안전한 소프트웨어를 개발, 공급할 수 있으며, 고객은 사용하는 소프트웨어의 구성요소들에 대한
정보 공유를 통해 저작권 등에 문제가 없고 취약점이 없는 안전한 소프트웨어 사용과 더불어 새롭게 발견되는 취약점 등에 신속히 대처할 수 있습니다.

SBOM의 주요 구성요소들은 공급자 이름, 콤포넌트 명, 고유 식별자, 버전, 콤포넌트 해쉬, 종속성 및 관계성,
저작자 이름, 라이선스 명, 취약성 정보 등으로 구성되어 있습니다.

목적

  • 소프트웨어 구성요소 정보교환을 통해 보안취약점, 라이선스 위반 예방 및 재사용 코드에 대한 개발비용 절감과 유지보수 효율성 증대

  • 소프트웨어 구성요소는 벤더 개발 코드와 오픈소스 코드로 구성되어 있으며 벤더 개발 코드는 정적분석 정보 확인,
    오픈소스에는 관계성과 종속성 추적을 통한 취약점과 라이선스식별 등이 SBOM의 주요 목적이 될 수 있음

SBOM 환경 분석을 통한 관리 속성 도출

OSBC는 고객사의 공급망 환경과 비즈니스 모델 분석을 통해
SBOM 관리범위를 정의하고 관리 속성을 도출

  • 공급망 환경

    이미지
  • 비즈니스 모델

    시스템/미들웨어/
    어플리케이션 SW
    임베디드 SW
    서비스
    . . .
  • SBOM 관리 영역

    소스코드 버그 및 취약점 :
    정적분석
    오픈소스 관계성 :
    오픈소스 종속성 분석
    오픈소스 컨테이너 :
    오픈소스 컨테이너 분석
    소스코드 내 오픈소스
    라이선스 및 취약점 : 소스코드 분석
    바이너리 내 오픈소스
    라이선스 및 취약점 : 바이너리 분석

OSBC의 SBOM 생성 툴킷

정적분석

Snyk Code

정적분석을 통한 어플리케이션 소스 코드 내에
존재하는 취약점을 실시간으로 발견하고 Fix

오픈소스 종속성 분석

Snyk Open Source

소스코드 및 빌드 시 포함되는 디펜던시에
포함된 오픈소스SW 가시화

오픈소스 컨테이너 분석

Snyk Container

컨테이너 이미지와 Kubernetes 어플리케이션에
존재하는 취약점을 실시간으로 발견하고 Fix

소스코드 분석

이미지
오픈소스 라이선스 및
보안취약점 관리도구
  • 1

    오픈소스 식별

    소스코드 및 빌드 시 포함되는 디펜던시 라이브러리에
    포함된 오픈소스SW 가시화

  • 2

    보안취약점 검증

    사용된 오픈소스SW에 보안취약점 존재유무 탐지 및
    CVE/NVD 정보 제공

  • 3

    라이선스 검증

    사용된 오픈소스SW의 라이선스 원 출처 및
    저작권자 정보 확인

바이너리 분석

이미지

바이너리 코드

코드 스캔
이미지
보안 취약점
DB 연동
이미지
150,000 + 보안취약점 데이터베이스

SBOM 속성도출 (예)

  • 구분(Baseline)
  • 속성 (Attribution)
  • SBOM 검증 도구 (SBOM Validation Tool Name)
  • ex) Folosology
  • 공급자 (Supplier Name)
  • ComponentSupplier:
  • 저작권자 (Author Name)
  • Component Author:
  • 콤포넌트 (Component Name)
  • ex) Folosology
  • 버전 (Version String)
  • ComponentVersion::
  • 고유식별자(Unique Identifier)
  • FormatID:
  • 콤포넌트 해쉬 (Component Hash)
  • FileChecksum:
  • 라이선스 명 (License Name)
  • Component License:
  • 라이선스 결합형태(License Usage)
  • Dynamic/Satic Linking:
  • 보안취약점 DB(Vulnerability DB)
  • VulnerabilityDB : NVD
  • 관계성 (Relationship)
  • IncludeComponent, ImportComponent
  • 릴리즈 날짜(Release Date)
  • ReleaseDate:
  • CWE
  • CWE-89
  • CVE ID
  • CVE-Year-Serial Number
  • CVSS Base Score
  • Base : , Impact : , Exploitability :
  • CVSS Severity
  • CVSS Severity: High, Medium, Low, None
FossID를 통해 생성된 SBOM 및 SPDX 출력 결과
이미지

예시

이미지

결과

SBOM 컨설팅 프로세스

  • 아이콘 이미지

    OSBC의 SBOM 전문 컨설턴트는 고객의
    요구사항 분석을 기반으로 제품 및 서비스
    비즈니스 모델과 다양한 공급망 환경 분석을 통해
    SBOM 부재로 인한 위험을 분석하여 명확한
    SBOM 관리목적을 도출하고 고객사 요구사항에
    부합한 SBOM 속성을 도출 하고 속성 생성을 위한
    도구 셋을 제안합니다.

  • 아이콘 이미지

    OSBC의 SBOM 생성도구는 소스코드
    정적분석을 통한 취약점, 오픈소스 컨테이너 및
    종속성 분석, 소스코드 및 바이너리 분석을 통한
    오픈소스 라이선스& 보안취약점 전반에
    걸쳐 고객이 요구하는 다양한
    관리 속성을 종합적으로 도출합니다.

  • 아이콘 이미지

    OSBC의 거버넌스 전문 컨설턴트는
    SBOM관리 정책 및 프로세스 구축을 통해
    SBOM이 지속적으로 관리, 유지 될 수 있도록
    변화관리 컨설팅을 제공합니다.

SBOM 환경분석

요구사항
분석

  • 비즈니스 모델 분석
  • 공급망 환경 분석
  • 위험분석

SBOM
관리 포맷 정의

  • SBOM 속성 정의
  • SBOM 생성 도구 정의

SBOM 생성

  • 정적분석
  • 오픈소스 종속성 분석
  • 오픈소스 컨테이너 분석
  • 소스코드 분석
  • 바이너리 분석

SBOM 거버넌스 구축

  • 아이콘이미지

    SBOM
    관리 정책

  • 아이콘이미지

    SBOM 관리
    R&R

  • 아이콘이미지

    SBOM 관리
    프로세스