| sitelink1 | |
|---|---|
| sitelink2 | |
| sitelink3 | |
| sitelink4 | |
| extra_vars5 | |
| extra_vars6 |
* GPT답변 :
“SBOM은 취약점 관리만을 위한 문서가 아니라,
최종 배포물에 포함된 모든 소프트웨어 구성 요소를 투명하게 관리하기 위한 문서입니다.
취약점 대상이 아니더라도, 구성 요소 식별 목적상 SBOM에는 반드시 포함되어야 합니다.”
* SBOM에는 들어가야 하지만 NVD 분석은 불가능/불필요한 경우에 대한 처리 (FOSSLight Hub 기준 처리 방법)
① 자체 개발 바이너리
- 회사 내부에서 개발한 exe, dll, so, jar 등
- CPE 없음 → NVD 대상 아님
- SBOM에는 반드시 포함
OSS Name: company.internal.module
License: Proprietary
Version: NOASSERTION
Vulnerability: N/A
- Identification 단계에서 Internal / Proprietary로 확정
- Required 오류 제거
- Vulnerability 단계에서는 자동 제외
② 상용 바이너리
- 상용 SDK, DRM 모듈, 보안 모듈 등
- NVD에 등록되지 않음
- SBOM에는 포함 + 별도 취약점 관리
OSS Name: CommercialSDK-XYZ
License: Commercial
Supplier: VendorName
Vulnerability: Managed separately
- “OSS”는 아니지만 SBOM 관리 대상
- Hub에서 상용 컴포넌트로 관리
③ OSS이지만 NVD 대상 아님
- strip된 바이너리
- 심볼 정보 없음
- OSS는 맞으나 NVD 매칭 불가
OSS Name: libfoo
License: MIT
Version: NOASSERTION
Vulnerability: N/A
Comment: Version info not detectable from binary
- OSS 식별은 유지
- 취약점만 제외 처리
