| sitelink1 | |
|---|---|
| sitelink2 | |
| sitelink3 | |
| sitelink4 | |
| extra_vars5 | |
| extra_vars6 |
* SBOM NTIA minimum element conformant
- 소프트웨어 자재 명세서(SBOM)에 대한 최소 필수 요소
- NTIA : National Telecommunications and Information Administration (미국 전기통신정보청)
- NTIA 기준은 2021년 미국 대통령 행정명령(EO 14028)에 기반한 연방 조달/공공 기관/국방계약에 제출하는 SBOM 문서의 표준으로 활용됩니다.
| 상황 | 영향 |
|---|---|
| 미국 국방부 납품 | NTIA 기준 미준수 시 SBOM 불충분으로 간주 |
| 미국 정부기관용 소프트웨어 | 공급망 투명성 평가에서 불이익 가능 |
| 수출 통제 대상 국가 수출 | SPDX/NTIA 무관, EAR/ITAR 여부만 중요 |
* OSS : OPEN SOURCE SOFTWARE
* SBOM : Software Bill of Materials (소프트웨어 자재 명세서)
* SCA: Software Composition Analysis
* SBOM의 3가지 표준 포맷
-
SPDX(Software Package Data Exchange)
- SPDX는 Linux Foundation에서 관리하는 오픈 표준 형식으로, 소프트웨어 패키지, 라이선스, 저작권 및 보안 관련 정보를 교환하기 위한 목적으로 설계되었습니다.
- 법적 라이선스 관리에 강하며 기업/정부 컴플라이언스 중심
- Windows / Linux / macOS / Android / iOS 지원 -
CycloneDX (OWASP 주도)
- 경량형 표준 포맷 중 하나로, OWASP(Open Web Application Security Project) 에서 개발하고 유지하고 있는 보안 중심의 SBOM 규격
- DevSecOps 친화적이고 보안에 강해서 '보안 취약점 식별', '라이선스 컴플라이언스', '공급망 위험 평가' 등에 특화됨
- Windows / Linux / macOS / Android / iOS 지원 -
SWID (Software Identification Tags, ISO 표준)
- 소프트웨어 구성 요소 식별을 위한 표준 형식이며, 기업 및 정부의 자산 관리·보안 통제 목적에 특히 최적화
- 주요 목적 : 소프트웨어 자산 관리 (SAM), 라이선스 관리, 보안 식별
- Windows / Linux 중심 (iOS/Android는 제한적)
- 주로 iso 와 같은 소프트웨어 설치를 위한 배포 파일에 함께 포함되어 관리됨
|
항목 |
SWID |
CycloneDX |
SPDX |
|---|---|---|---|
|
표준 |
ISO/IEC 19770-2 |
OWASP |
Linux Foundation |
|
포맷 |
XML |
JSON, XML |
RDF, JSON, YAML |
|
주 대상 |
설치형 SW, 시스템 기반 |
보안 취약점 관리 |
라이선스 및 OSS 관리 |
|
활용 |
자산관리, 보안관리 |
DevSecOps, 공급망 보안 |
OSS 컴플라이언스 |
|
자동화 지원 |
설치 시 자동 배포 |
CI/CD 통합 생성 |
분석기 중심 생성 |
댓글 0
| 번호 | 제목 | sitelink1 | 글쓴이 | 날짜 | 조회 수 |
|---|---|---|---|---|---|
| » | [계속 추가중] SBOM 용어 정의 | 황제낙엽 | 2025.04.10 | 199 | |
| 공지 | [계속 추가중] Keycloak 용어 및 설정 옵션 정의 | 황제낙엽 | 2024.02.02 | 733 | |
| 13 | [Copilot] javax.crypto 패키지를 사용하여 암호화, 복호화 하는 방법 | 황제낙엽 | 2024.06.07 | 121 | |
| 12 | Apache Log4j 2 보안 업데이트 권고 | https://www.boho.or.kr/data/secNoticeVie...ence=36389 | 황제낙엽 | 2021.12.13 | 149 |
| 11 | OpenSSL사용방법 메모, RSA암호의 최대 사이즈, JCA/JCE가이드 | 황제낙엽 | 2007.09.27 | 176 | |
| 10 | Java Cryptography Extension (JCE) 개요 | 황제낙엽 | 2007.09.27 | 415 | |
| 9 | Java에서 암호화하고 C++에서 복호화하는 방법 | 황제낙엽 | 2007.09.27 | 387 | |
| 8 | 비밀키를 Keytool에서 취급할 수 있는 형식으로 변환방법 | http://java-house.jp/ml/archive/j-h-b/051472.html | 황제낙엽 | 2007.09.27 | 270 |
| 7 | 공개키 암호화의 수학적 알고리즘과 자바 구현 | 황제낙엽 | 2007.09.22 | 216 | |
| 6 | RSA 암호화 알고리즘을 구현한 자바예제 (산술계산) | 황제낙엽 | 2007.09.17 | 338 | |
| 5 |
RSA 암호화 프로그램 예제 (BigInteger 이용)
 | 황제낙엽 | 2007.09.08 | 265 | |
| 4 | 해쉬를 이용한 패스워드 로그인 | 황제낙엽 | 2007.09.05 | 116 | |
| 3 |
Java 보안과 암호화 (개론)
| 황제낙엽 | 2007.09.05 | 125 | |
| 2 | RSA 공개키 암호화 방식 (java.security, javax.crypto, au.net.aba.crypto.provider 패키지 이용) | 황제낙엽 | 2007.09.05 | 281 | |
| 1 | 자바 암호화 기법 - MD5를 이용한 해쉬키 생성 (Hash) | 황제낙엽 | 2007.09.01 | 322 |