SBOM (Software Bill of Materials)

SBOM (Software Bill of Materials)

소프트웨어를 구성하는 모든 컴포넌트, 라이브러리, 의존성의 목록으로, 소프트웨어의 "재료 명세서"

특징: 투명성, 취약점 관리 용이, 공급망 가시성

구성요소: 컴포넌트 이름, 버전, 라이선스, 의존성, 작성자/공급자

기술요소: SPDX(표준 형식), CycloneDX(보안 중심), Syft/Trivy(SBOM 생성 도구), SBOM 저장소

활용: 취약점 추적(CVE 매칭), 라이선스 관리, 공급망 위험 분석, 규제 준수(미국 행정명령)

생성 시점: 빌드 시(CI/CD), 배포 전, 주기적 업데이트

대응: 자동 SBOM 생성(CI/CD 통합), SBOM 저장/버전 관리, 취약점 스캔과 연계, SBOM 검증

규제: 미국 행정명령 14028(연방 정부 소프트웨어 SBOM 필수), EU Cyber Resilience Act

적용사례: 오픈소스 관리, 공급망 보안, 규제 대응

비교: SPDX(범용/ISO 표준) vs CycloneDX(보안 중심/OWASP)

연관: 공급망 보안, SCA, DevSecOps, 취약점 관리