| sitelink1 | |
|---|---|
| sitelink2 | |
| sitelink3 | |
| sitelink4 | |
| extra_vars5 | |
| extra_vars6 |
* SBOM NTIA minimum element conformant
- 소프트웨어 자재 명세서(SBOM)에 대한 최소 필수 요소
- NTIA : National Telecommunications and Information Administration (미국 전기통신정보청)
- NTIA 기준은 2021년 미국 대통령 행정명령(EO 14028)에 기반한 연방 조달/공공 기관/국방계약에 제출하는 SBOM 문서의 표준으로 활용됩니다.
| 상황 | 영향 |
|---|---|
| 미국 국방부 납품 | NTIA 기준 미준수 시 SBOM 불충분으로 간주 |
| 미국 정부기관용 소프트웨어 | 공급망 투명성 평가에서 불이익 가능 |
| 수출 통제 대상 국가 수출 | SPDX/NTIA 무관, EAR/ITAR 여부만 중요 |
* OSS : OPEN SOURCE SOFTWARE
* SBOM : Software Bill of Materials (소프트웨어 자재 명세서)
* SCA: Software Composition Analysis
* SBOM의 3가지 표준 포맷
-
SPDX(Software Package Data Exchange)
- SPDX는 Linux Foundation에서 관리하는 오픈 표준 형식으로, 소프트웨어 패키지, 라이선스, 저작권 및 보안 관련 정보를 교환하기 위한 목적으로 설계되었습니다.
- 법적 라이선스 관리에 강하며 기업/정부 컴플라이언스 중심
- Windows / Linux / macOS / Android / iOS 지원 -
CycloneDX (OWASP 주도)
- 경량형 표준 포맷 중 하나로, OWASP(Open Web Application Security Project) 에서 개발하고 유지하고 있는 보안 중심의 SBOM 규격
- DevSecOps 친화적이고 보안에 강해서 '보안 취약점 식별', '라이선스 컴플라이언스', '공급망 위험 평가' 등에 특화됨
- Windows / Linux / macOS / Android / iOS 지원 -
SWID (Software Identification Tags, ISO 표준)
- 소프트웨어 구성 요소 식별을 위한 표준 형식이며, 기업 및 정부의 자산 관리·보안 통제 목적에 특히 최적화
- 주요 목적 : 소프트웨어 자산 관리 (SAM), 라이선스 관리, 보안 식별
- Windows / Linux 중심 (iOS/Android는 제한적)
- 주로 iso 와 같은 소프트웨어 설치를 위한 배포 파일에 함께 포함되어 관리됨
|
항목 |
SWID |
CycloneDX |
SPDX |
|---|---|---|---|
|
표준 |
ISO/IEC 19770-2 |
OWASP |
Linux Foundation |
|
포맷 |
XML |
JSON, XML |
RDF, JSON, YAML |
|
주 대상 |
설치형 SW, 시스템 기반 |
보안 취약점 관리 |
라이선스 및 OSS 관리 |
|
활용 |
자산관리, 보안관리 |
DevSecOps, 공급망 보안 |
OSS 컴플라이언스 |
|
자동화 지원 |
설치 시 자동 배포 |
CI/CD 통합 생성 |
분석기 중심 생성 |
