오픈소스 구성요소가 포함된 애플리케이션의 비율
92
%
자료 제목 :
오픈소스는 어디에나 있다: 설문조사 결과 1부
Open source is everywhere: survey results part 1
자료 출처 :
Tidelift
원본자료 다운로드
발행 날짜 :
2018년 04월 12일
IT 관리 / 개발자 / 보안 / 오픈소스

"선택 아닌 필수" SBOM을 작성하는 베스트 프랙티스와 추천 프로그램 8선

Steven J. Vaughan-Nichols | CSO 2022.07.27


앵커

앵커(Anchore)는 6년 동안 SBOM 사업에 종사해왔으며, 2개의 오픈소스 프로젝트를 기반으로 구축됐다. 컨테이너 이미지 및 파일 시스템에서 SBOM을 생성하기 위한 명령줄 인터페이스(command line interface, CLI) 도구 및 라이브러리인 시프트(Syft)와 컨테이너 이미지 및 파일 시스템을 위한 통합하기 쉬운 취약성 검색 도구인 그리프(Grype)를 제공한다.

시프트와 그리프를 함께 사용하면 소스 코드 리포지토리 및 CI/CD 파이프라인에서 컨테이너 레지스트리 및 런타임에 이르기까지 개발 프로세스의 각 단계에서 SBOM을 생성할 수 있다. 이렇게 생성한 SBOM은 배포 후 완벽한 가시성과 지속적인 모니터링을 위해 중앙 저장소에 보관된다. 사이클론DX, SPDX 및 시프트의 자체 형식을 지원한다.

앵커는 SBOM기능을 앵커 엔터프라이즈 4.0 소프트웨어 SCM(supply chain management) 플랫폼에서 번들로 제공한다. 앵커의 목표는 올인원 소프트웨어 공급망 및 SBOM 보안 업체가 되는 것이다. 목표를 향해 잘 나아가는 중이다.


포사

포사(FOSSA)의 주력 프로그램은 오픈소스 라이선스 컴플라이언스(Open Source License Compliance) 관리 프로그램과 오픈소스 취약점 스캐너다. 생각해 보면 SBOM은 이런 프로그램과 아주 자연스럽게 어울린다. 

포사의 접근 방식에서는 SBOM 도구를 깃허브, 빗버킷 또는 깃랩처럼 사용자가 즐겨 찾는 버전의 제어 시스템과 통합할 수 있다. 또는 CLI를 사용하여 로컬로 실행하거나 CI/CD 파이프라인의 일부로 통합할 수 있다. 어느 쪽이든 프로젝트를 스캔할 때 포사는 대상 코드베이스에 대한 직접 종속성과 심층 종속성을 모두 자동으로 식별한다. Log4j를 호출하는 간접 종속성처럼 깊숙한 곳의 코드 문제는 프로그램 내에 숨어 해커가 혼란을 일으키는 데 여전히 사용될 수 있다.


멘드

한때 화이트소스(WhiteSource)로 알려졌던 멘드(Mend)는 다양한 SCA(software composition analysis) 도구를 제공한다. SBOM은 멘드 SCA(Mend SCA) 도구에 통합되어 있다. 즉, 멘드는 개발자 프로그램이나 CI/CD 도구라기보다는 프로그래머의 오픈소스 라이선스 및 보안 메커니즘이다.

멘드를 사용하면 직접 및 전이 종속성을 포함한 각 구성요소를 추적하고, 취약성을 식별하고, 수정 경로를 제공하고, 구성요소가 변경될 때 SBOM 기록을 자동으로 업데이트할 수 있다. 이 회사는 특허받은 도달 가능한 경로 분석 기술을 통해 라이브러리가 애플리케이션에서 사용되지 않거나 취약성을 노출하는 방식으로 사용되지 않기 때문에 안전하게 무시할 수 있는 취약점을 식별한다고 주장한다. 


레질리온

데브섹옵스(DevSecOps) 업체 레질리온(Rezilion)은 SBOM을 전체 소프트웨어 보안 및 취약성 시스템의 일부로 사용한다. 레질리온의 다이내믹 SBOM(Dynamic SBOM)은 동적 런타임 분석을 사용하여 코드가 변경될 때 소프트웨어 공격 노출 영역을 추적한다. 코드 구성요소에 대한 알려진 약점을 지속해서 찾아낸다. 즉, 코드를 추적하고 보호하기 위한 일석이조의 접근 방식이다.

레질리온은 CI/CD, 스테이징 및 프로덕션 환경에 있는 모든 소프트웨어 구성요소의 라이브 인벤토리를 제공하는 것 외에도 SBOM을 지속적으로 업데이트한다. 사이클론DX 및 엑셀 스프레드시트 형태로 SBOM을 내보낼 수 있다.


SPDX SBOM 제너레이터

독립형 오픈소스 도구인 SPDX SBOM 제너레이터(SPDX SBOM Generator)는 이름 그대로, 현재 패키지 관리자 또는 빌드 시스템에서 SPDX SBOM을 만든다. 자체 CLI를 사용하여 코드에서 SBOM 데이터를 생성할 수 있다. 코드의 구성요소, 라이선스, 저작권 및 보안 참조 사항을 기록하며, 데이터를 SPDX v2.2 사양으로 내보낸다. 기본적인 기능만 필요로 한다면 SPDX SBOM 제너레이터로도 충분할 것이다.


턴 프로젝트

또 다른 오픈소스 SBOM 프로젝트인 턴(Tern)은 SPDX SBOM 제너레이터와 잘 어울린다. 이 SCA 도구 및 파이썬 라이브러리는 패키지 관리자 또는 빌드 시스템으로 작업하는 대신 컨테이너 이미지 및 도커파일에 대한 SBOM을 생성한다. SPDX 형식으로 SBOM을 생성한다.


타우루스시어

타우루스시어(TauruSeer)의 SBOM 프로그램은 SaaS(Software-as-a-Service)로 제공된다. 타우루스시어는 특허받은 애플리케이션 중심의 통합 방법론에 의존해 코그니션 엔진(Cognition Engine) 보안 스캐닝을 SBOM과 결합한다. 타우루스시어 패키지는 개발자와 기업의 고객을 위해 코드를 보호하고 추적하는 데 도움이 될 것이다.


비질런트 옵스

의료 기기 사이버보안 업체인 비질런트 옵스(Vigilant Ops)는 인사이트 플랫폼(InSight Platform)을 통해 SBOM으로 관심을 돌렸다. 비질런트 옵스의 SaaS 플랫폼은 인증된 SBOM을 생성/유지 관리/공유하고 지속적인 취약성 모니터링 및 경고 기능으로 보안을 통합한다. SBOM 인증은 특허받은 알고리즘을 사용해 모든 구성요소의 유효성을 검사하고 취약점과 연결한다. 

인사이트 플랫폼의 보안 기능은 다른 프로그램에서 생성된 SBOM과 함께 사용할 수도 있다. 여기서 생성한 SBOM은 미사용 중이거나 전송 중에는 모두 암호화된다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.