백서

치명적인 결과를 초래하는 소프트웨어 위협

사이버 위협 방지 목적의 코드가 적용된 디지털 잠금 이미지

소프트웨어 취약점은 마치 빙산과 같습니다. 빙산의 정점과 같이 소프트웨어 개발 팀은 팀이 개발 중인 소프트웨어 소스 코드는 상세하게 파악할 수 있습니다. 하지만 빙산과 마찬가지로 소프트웨어 제품 대다수는 보이지 않습니다. 개발 팀이 작성한 코드의 경우 완벽한 가시성을 확보하지만, 일반적인 소프트웨어 빌드에는 소프트웨어 개발 팀이 관리하는 소스 코드 외에 외부 라이브러리, 오픈 소스 프로젝트 및 타사 벤더의 소스 코드 및 오브젝트가 포함됩니다. 소프트웨어 제품 개발 팀은 이 중 많은 부분을 확실하게 이해할 수 없습니다.

SBOM(Software Bill-of-Materials)이란?

소프트웨어가 오늘날 제품에서 점차 핵심적인 부분을 차지하게 되면서 소프트웨어 구축 방법을 파악하는 것이 그 어느 때보다 중요합니다. 소프트웨어는 EBOM 또는 MBOM에서 단일 컴포넌트로 표현되는 경우가 많지만 소프트웨어 구축 방식에 대한 상세 분석은 이루어지지 않습니다. SBOM은 소프트웨어 빌드를 구성하는 모든 컴포넌트와 해당 소프트웨어가 구축된 환경을 식별하며, 각 컴포넌트에 대한 중요 메타 데이터와 해당 컴포넌트 간의 관계 구조를 포함하여 구축된 소프트웨어 제품 내의 소프트웨어 컴포넌트를 식별하고 나열합니다.

SBOM으로 소프트웨어 위협 및 취약점 식별

취약점으로부터 조직을 보호하기 위한 핵심 요소는 소프트웨어를 구성하는 컴포넌트에 즉시 액세스할 수 있는 기능입니다. SBOM은 게시된 취약점 데이터베이스와 SBOM을 지속적으로 비교하여 소프트웨어 제품에 포함될 수 있는 위협 및 취약점을 식별하는 기반을 제공합니다. 거의 모든 산업에서 소프트웨어 제품의 위협과 취약점을 식별하고 대응하는 것은 필수 기능입니다.

SBOM 및 ALM(애플리케이션 라이프사이클 관리) 도구

SBOM 생성은 ALM(애플리케이션 라이프사이클 관리) 영역의 필수 프로세스로 관리되는 CI/CD(지속적인 통합/지속적인 배포) 파이프라인에 통합됩니다. ALM 프로세스는 라이프사이클 전반에서 포괄적인 추적 기능을 제공합니다.

소프트웨어 위협 및 취약점을 관리하려면 위험을 식별하고 위험 완화를 위한 요구사항을 개발해야 합니다. 위험 관리에 대한 요구사항은 SBOM 생성을 주도하는 메타 데이터 요소로 직접 추적됩니다. 이러한 추적성은 취약점 데이터베이스에 대한 검증과 결합하여 소프트웨어 위협 및 취약점 관리를 위한 폐루프 솔루션을 생성합니다.

공유

관련 자료