SW 공급망 보안 (Software Supply Chain Security)

SW 공급망 보안 (Software Supply Chain Security)

소프트웨어 개발부터 배포까지 전체 공급망에서 발생하는 보안 위협을 관리하고 무결성을 보장하는 보안 체계

주요 사고: SolarWinds(빌드 서버 침해, 백도어 삽입), Log4j(오픈소스 취약점, 전 세계 영향), Codecov(CI/CD 스크립트 변조)

위협 유형: 소스코드 변조, 빌드 시스템 침해, 종속성 혼동(Dependency Confusion), 악성 패키지, 인증서 탈취

보안 프레임워크

• •SLSA (Supply-chain Levels for Software Artifacts): Google 주도, 빌드 무결성 4단계 보장
• •Sigstore: 오픈소스 서명/검증 인프라, 코드/컨테이너 서명
• •in-toto: 공급망 단계별 메타데이터 검증

대응 방안: SBOM 관리, 코드 서명, 빌드 재현성, 종속성 검증, CI/CD 보안 강화

비교: SW 공급망 보안(개발→배포 전체/무결성) vs 애플리케이션 보안(코드 취약점/SAST/DAST)

연관: SBOM, 오픈소스 라이선스, DevSecOps, SLSA, 제로 트러스트