| sitelink1 | |
|---|---|
| sitelink2 | |
| sitelink3 | |
| sitelink4 | |
| extra_vars5 | |
| extra_vars6 |
* SCA: Software Composition Analysis
* SBOM의 3가지 표준 포맷
- SPDX(Software Package Data Exchange)
- SPDX는 Linux Foundation에서 관리하는 오픈 표준 형식으로, 소프트웨어 패키지, 라이선스, 저작권 및 보안 관련 정보를 교환하기 위한 목적으로 설계되었습니다.
- 법적 라이선스 관리에 강하며 기업/정부 컴플라이언스 중심
- Windows / Linux / macOS / Android / iOS 지원 - CycloneDX (OWASP 주도)
- 경량형 표준 포맷 중 하나로, OWASP(Open Web Application Security Project) 에서 개발하고 유지하고 있는 보안 중심의 SBOM 규격
- DevSecOps 친화적이고 보안에 강해서 '보안 취약점 식별', '라이선스 컴플라이언스', '공급망 위험 평가' 등에 특화됨
- Windows / Linux / macOS / Android / iOS 지원 - SWID (Software Identification Tags, ISO 표준)
- 소프트웨어 구성 요소 식별을 위한 표준 형식이며, 기업 및 정부의 자산 관리·보안 통제 목적에 특히 최적화
- 주요 목적 : 소프트웨어 자산 관리 (SAM), 라이선스 관리, 보안 식별
- Windows / Linux 중심 (iOS/Android는 제한적)
- 주로 iso 와 같은 소프트웨어 설치를 위한 배포 파일에 함께 포함되어 관리됨
| 항목 | SWID | CycloneDX | SPDX |
|---|---|---|---|
| 표준 | ISO/IEC 19770-2 | OWASP | Linux Foundation |
| 포맷 | XML | JSON, XML | RDF, JSON, YAML |
| 주 대상 | 설치형 SW, 시스템 기반 | 보안 취약점 관리 | 라이선스 및 OSS 관리 |
| 활용 | 자산관리, 보안관리 | DevSecOps, 공급망 보안 | OSS 컴플라이언스 |
| 자동화 지원 | 설치 시 자동 배포 | CI/CD 통합 생성 | 분석기 중심 생성 |
