SBOM [계속 추가중] SBOM 용어 정의

황제낙엽 2025.04.10 09:09 조회 수 : 5058

sitelink1  
sitelink2  
sitelink3  
sitelink4  
extra_vars5  
extra_vars6  

Compliance : 규정 준수

Vulnerability : 취약점

* OSS : OPEN SOURCE SOFTWARE

* SBOM : Software Bill of Materials (소프트웨어 자재 명세서)

* SCA : Software Composition Analysis

SBOM NTIA minimum element conformant

   - 소프트웨어 자재 명세서(SBOM)에 대한 최소 필수 요소 

   - NTIA : National Telecommunications and Information Administration (미국 전기통신정보청)

   - NTIA 기준은 2021년 미국 대통령 행정명령(EO 14028)에 기반한 연방 조달/공공 기관/국방계약에 제출하는 SBOM 문서의 표준으로 활용됩니다.

상황 영향
미국 국방부 납품 NTIA 기준 미준수 시 SBOM 불충분으로 간주
미국 정부기관용 소프트웨어 공급망 투명성 평가에서 불이익 가능
수출 통제 대상 국가 수출 SPDX/NTIA 무관, EAR/ITAR 여부만 중요

 

* SBOM의 3가지 표준 포맷

  • SPDX(Software Package Data Exchange)
    - SPDX는 Linux Foundation에서 관리하는 오픈 표준 형식으로, 소프트웨어 패키지, 라이선스, 저작권 및 보안 관련 정보를 교환하기 위한 목적으로 설계되었습니다.
    - 법적 라이선스 관리에 강하며 기업/정부 컴플라이언스 중심
    - Windows / Linux / macOS / Android / iOS 지원

  • CycloneDX (OWASP 주도)
    - 경량형 표준 포맷 중 하나로, OWASP(Open Web Application Security Project) 에서 개발하고 유지하고 있는 보안 중심의 SBOM 규격
    - DevSecOps 친화적이고 보안에 강해서 '보안 취약점 식별', '라이선스 컴플라이언스', '공급망 위험 평가' 등에 특화됨
    - Windows / Linux / macOS / Android / iOS 지원

  • SWID (Software Identification Tags, ISO 표준)
    - 소프트웨어 구성 요소 식별을 위한 표준 형식이며, 기업 및 정부의 자산 관리·보안 통제 목적에 특히 최적화
    - 주요 목적 : 소프트웨어 자산 관리 (SAM), 라이선스 관리, 보안 식별
    - Windows / Linux 중심 (iOS/Android는 제한적)
    - 주로 iso 와 같은 소프트웨어 설치를 위한 배포 파일에 함께 포함되어 관리됨

항목

SWID

CycloneDX

SPDX

표준

ISO/IEC 19770-2

OWASP

Linux Foundation

포맷

XML

JSON, XML

RDF, JSON, YAML

주 대상

설치형 SW, 시스템 기반

보안 취약점 관리

라이선스 및 OSS 관리

활용

자산관리, 보안관리

DevSecOps, 공급망 보안

OSS 컴플라이언스

자동화 지원

설치 시 자동 배포

CI/CD 통합 생성

분석기 중심 생성

 

 

 

 

 

 

 

 

 

이 게시물을
목록
쓰기 태그