SBOM (Software Bill of Materials, 소프트웨어 자재명세서)

SBOM (Software Bill of Materials, 소프트웨어 자재명세서)

소프트웨어를 구성하는 모든 컴포넌트(오픈소스/서드파티/자체개발)의 목록과 종속성, 라이선스, 버전 정보를 기록한 명세서

배경: SolarWinds(2020), Log4j(2021) 공급망 공격, 미국 행정명령 14028(2021, 연방 SW 공급업체 SBOM 의무화)

표준 포맷: SPDX(Linux Foundation, ISO/IEC 5962), CycloneDX(OWASP), SWID Tags(ISO/IEC 19770-2)

포함 정보: 컴포넌트명, 버전, 공급자, 라이선스, 해시값, 종속성 관계

활용: 취약점 관리(CVE 매칭), 라이선스 컴플라이언스, 공급망 리스크 평가, 인시던트 대응(영향 범위 파악)

생성 도구: Syft, Trivy, Grype, OWASP Dependency-Track

비교: SBOM(SW 구성표/보안+라이선스) vs BOM(제조 자재명세/하드웨어) vs 자산관리(IT 자산 목록)

연관: 오픈소스 라이선스, SW 공급망 보안, 취약점 관리, DevSecOps