SBOM
라이언의 꿀팁백과
1 정의
A software bill of materials (SBOM) is a list of components in a piece of software. Software vendors often create products by assembling open source and commercial software components. The SBOM describes the components in a product. It is analogous to a list of ingredients on food packaging: where you might consult a label to avoid foods that may cause an allergies, SBOMs can help organizations or persons avoid consumption of software that could harm them. (링크 : 위키피디아)
SBOM은 소프트웨어 재료명세서(BOM ; Bill of Materials) 혹은 소프트웨어 재료표(Software Bill of Materials)의 약칭이다. BOM은 제조 부문에서 유래된 개념으로, 특정 장치의 제작에 사용된 구성요소와 재료를 낱낱이 파악하는 데 중요한 역할을 한다. 가령, 기차의 엔진에 사용된 부품이 일정 수준의 진동에 적합한 등급을 못한 경우, 특정 선로를 달리기가 부적합할 수 있다. BOM은 이 같은 상황에서 진가를 발휘하며 SBOM 또한 마찬가지다. SBOM을 통해 특정 소프트웨어에 사용된 전용, 오픈소스 그리고 라이선스 요소에 만료되거나 불안정한 요소가 없는지 검토할 수 있다. (링크 : CIO)
SBOM은 소프트웨어를 구성하는 여러 구성요소의 목록을 일목요연하게 정리하는 것으로, 소프트웨어 구매자와 공급자 간에 제품의 최신 내역 정보를 공유함으로써 완성된 솔루션을 원활히 관리하게 해준다. 소프트웨어의 구성요소를 파악하기 쉽게 함으로써 문제 발생 시 취약점을 손쉽게 파악하고, 관리 위험을 줄이게 해준다.
2 고려사항
오늘날에는 애플리케이션을 배포하기 전 취약점을 검사하는 것이 관행이다. 하지만 이런 검사만으로 충분하지 않다. 앱 구성 요소를 점검하고 취약점을 감지하는 활동은 앱 사용 중에도 정기적으로 실행해야 하는 것이지 한 번으로 끝낼 수 있는 것이 아니다. 모든 앱 점검 결과는 반드시 기록 및 분석해야 한다. 일시적인 점검을 연속 시스템으로 전환하기 위해서는 툴링(tooling)과 자동화가 중요하다.
3 해외사례
2021년 5월, 미국 사이버보안 개선에 관한 행정 명령에 따르면, 소프트웨어 서비스 업체는 미국 연방 기관에 판매하거나 제공하는 소프트웨어에 대한 SBOM을 제출해야 한다. (링크 : CIO)
4 관련 표준
The Software Package Data Exchange (SPDX) 라는 게 있는데 ISO/IEC 5962:2021 표준이다.
SPDX is an open standard for communicating software bill of material information, including provenance, license, security, and other related information. SPDX reduces redundant work by providing common formats for organizations and communities to share important data, thereby streamlining and improving compliance, security, and dependability. The SPDX specification is recognized as the international open standard for security, license compliance, and other software supply chain artifacts as ISO/IEC 5962:2021.