오픈소스 거버넌스 & 교육 전문 기업
오픈소스 컨설팅
SBOM(Software Bill of Materials)는 한국어로 소프트웨어 구성요소 목록이라고 하며 제조업에서
공급망 관리(Supply Chain Management, SCM)를 위해 제품을 생산하는데 소요되는 원재료 또는 부분품에 대한 정보와 상세 내역을 공유하고
지속적으로 관리하기 위해 활용한 자재명세서(Bill of Materials, BOM)를 소프트웨어 공급망 관리를 위해 적용한 개념입니다.
SBOM은 소프트웨어를 구성하고 있는 다양한 정보와 상세내역에 대한 목록으로서 벤더는 고객에게 공급하는 소프트웨어의 구성요소가 최신인지 확인하고
새로운 취약점에 신속하게 대응하면서 지속적으로 안전한 소프트웨어를 개발, 공급할 수 있으며, 고객은 사용하는 소프트웨어의 구성요소들에 대한
정보 공유를 통해 저작권 등에 문제가 없고 취약점이 없는 안전한 소프트웨어 사용과 더불어 새롭게 발견되는 취약점 등에 신속히 대처할 수 있습니다.
SBOM의 주요 구성요소들은 공급자 이름, 콤포넌트 명, 고유 식별자, 버전, 콤포넌트 해쉬, 종속성 및 관계성,
저작자 이름, 라이선스 명, 취약성 정보 등으로 구성되어 있습니다.
소프트웨어 구성요소 정보교환을 통해 보안취약점, 라이선스 위반 예방 및 재사용 코드에 대한 개발비용 절감과 유지보수 효율성 증대
소프트웨어 구성요소는 벤더 개발 코드와 오픈소스 코드로 구성되어 있으며 벤더 개발 코드는 정적분석 정보 확인,
오픈소스에는 관계성과 종속성 추적을 통한 취약점과 라이선스식별 등이 SBOM의 주요 목적이 될 수 있음
정적분석을 통한 어플리케이션 소스 코드 내에
존재하는 취약점을 실시간으로 발견하고 Fix
소스코드 및 빌드 시 포함되는 디펜던시에
포함된 오픈소스SW 가시화
컨테이너 이미지와 Kubernetes 어플리케이션에
존재하는 취약점을 실시간으로 발견하고 Fix
소스코드 및 빌드 시 포함되는 디펜던시 라이브러리에
포함된 오픈소스SW 가시화
사용된 오픈소스SW에 보안취약점 존재유무 탐지 및
CVE/NVD 정보 제공
사용된 오픈소스SW의 라이선스 원 출처 및
저작권자 정보 확인
예시
결과
OSBC의 SBOM 전문 컨설턴트는 고객의
요구사항 분석을 기반으로 제품 및 서비스
비즈니스 모델과 다양한 공급망 환경 분석을 통해
SBOM 부재로 인한 위험을 분석하여 명확한
SBOM 관리목적을 도출하고 고객사 요구사항에
부합한 SBOM 속성을 도출 하고 속성 생성을 위한
도구 셋을 제안합니다.
OSBC의 SBOM 생성도구는 소스코드
정적분석을 통한 취약점, 오픈소스 컨테이너 및
종속성 분석, 소스코드 및 바이너리 분석을 통한
오픈소스 라이선스& 보안취약점 전반에
걸쳐 고객이 요구하는 다양한
관리 속성을 종합적으로 도출합니다.
OSBC의 거버넌스 전문 컨설턴트는
SBOM관리 정책 및 프로세스 구축을 통해
SBOM이 지속적으로 관리, 유지 될 수 있도록
변화관리 컨설팅을 제공합니다.
요구사항
분석