Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
IT 관리 / 개발자 / 보안 / 오픈소스

"선택 아닌 필수" SBOM을 작성하는 베스트 프랙티스와 추천 프로그램 8선

Steven J. Vaughan-Nichols | CSO 2022.07.27
소프트웨어를 실제로 보호하려면 코드 안에 무엇이 있는지 알아야 한다. 그렇기 때문에 오늘날 소프트웨어 자재 명세서(Software Bill of Material, SBOM)는 필수적이다. 과거에는 코드 보안에 대해 크게 걱정하지 않았다. 어리석은 일이었다.
 
ⓒ Getty Images Bank

그리고 보안 문제가 잇따라 발생했다. 솔라윈즈 소프트웨어 공급망 공격, 여전히 진행 중인 Log4j 취약점 및 npm 메인테이너 항의 코드가 잘못된 사건으로 보안 업계는 소프트웨어 공급망을 정리해야 한다는 사실을 분명히 깨달았다. 독점 소프트웨어는 제작자가 프로그램 내부에 무엇이 있는지 알려주지 않으므로 불가능하다. 그러나 오픈소스 프로그램을 사용하면 SBOM(s-bomb으로 발음됨)으로 정리할 수 있다.

사실 SBOM은 더 이상 ‘하면 좋은 것’이 아니다. 미국에서는 연방정부의 명령이다. 미국 대통령 조 바이든이 2021년 7월 12일 발표한 ‘국가 사이버보안 개선에 관한 행정명령’에서는 SBOM이 요구사항에 포함된다. 행정명령은 SBOM을 ‘소프트웨어 구축에 사용되는 다양한 구성요소의 세부 사항 및 공급망 관계를 포함하는 공식 기록’으로 정의한다. ‘소프트웨어 개발자와 공급업체는 종종 기존 오픈소스 및 상용 소프트웨어 구성요소를 조립하여 제품을 만드는 경우가 많다’는 점 때문에 오픈소스 소프트웨어에서 특히 중요한 문제다.

그렇다. 오픈소스 소프트웨어가 모든 곳에서, 모든 것을 위해 사용된다는 것은 모두가 안다. 하지만 오픈소스 구성요소를 포함한 애플리케이션이 무려 92%에 달한다는 사실을 알고 있었는가? 사실 평균적인 현대 프로그램은 70%가 오픈소스 소프트웨어로 구성되어 있다. 

분명히 조치가 필요하다. 리눅스 재단과 오픈소스 보안 재단(Open Source Security Foundation, OpenSSF), 오픈체인(OpenChain)에 따르면 정답은 SBOM이다. 리눅스 재단의 연구 담당 부사장 스티븐 헨드릭은 SBOM을 다음과 같이 정의한다. 
 

“소프트웨어 패키지와 그 내용을 고유하게 식별하는 공식적이고 기계가 읽을 수 있는 메타데이터이며, 저작권 및 라이선스 데이터를 포함해 내용에 대한 기타 정보가 포함될 수 있다. SBOM은 조직 간에 공유되도록 설계되었고 소프트웨어 공급망 참여자가 제공하는 구성요소의 투명성을 제공하는 데 특히 유용하다.”


SBOM을 작성하는 베스트 프랙티스

SBOM에는 다음과 같은 사항을 포함해야 한다.
 
  • 애플리케이션의 오픈소스 라이브러리
  • 프로그램 플러그인, 확장 프로그램 및 기타 추가 기능
  • 개발자가 사내에서 작성한 사용자 지정 소스 코드
  • 이런 구성요소의 버전, 라이선스 상태 및 패치 상태에 대한 정보
  • 자동 구성요소 암호화 서명 및 확인
  • 지속적 통합/지속적 배포(CI/CD) 파이프라인의 일부로 SBOM을 생성하는 자동 검색 기능

일관된 형식을 사용하는 것도 중요하다. 가장 보편적으로 사용되는 SBOM 형식은 SPDX(Software Package Data Exchange), SWID 태깅(Software Identification Tagging) 및 OWASP(The Open Web Application Security Project)의 사이클론DX(CycloneDX)가 대표적이다. 모두 표준이지만, 바이든 정부의 행정명령은 특정한 SBOM 형식을 요구하지는 않는다. 사실상의 산업 표준으로 떠오른 것은 아직 아무것도 없다. 

SBOM을 실용화하기 위해 SBOM 생성을 자동화하는 것뿐만 아니라 CI/CD 파이프라인의 일부로 만들려는 노력이 있다. 미국통신정보관리청(National Telecommunications and Information Administration, NTIA)이 말했듯이 궁극적인 목표는 ‘기계 속도’로 SBOM을 생성하는 것이다.
 Tags SBOM 추천 오픈소스
Sponsored

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.