SBOM의 부상 - SBOM에 대한 Gartner의 혁신 통찰력 보고서에 대한 우리의 견해

모든 게시물

바락 브루도

타사 구성 요소의 사용이 증가하고 소프트웨어 공급망이 길어짐에 따라 공격자는 이제 단일 악용을 통해 많은 소프트웨어 패키지를 동시에 손상시킬 수 있습니다. 이 새로운 공격 벡터에 대응하여 더 많은 개발 및 DevOps 팀과 보안 전문가가 SBOM(Software Bill of Materials)을 통합하려고 합니다.

소프트웨어 공급망에는 엔지니어가 작성하는 고유한 코드부터 사용하는 개발 도구, 코드 베이스의 타사 구성 요소(독점 및 오픈 소스)까지 애플리케이션을 만드는 데 사용되는 모든 것이 포함됩니다. 개발자가 자신의 코드에 대해 책임을 지는 반면, SBOM 모든 타사 구성 요소의 보안을 보장하는 데 필요한 정보를 추적합니다. 여기에는 다음이 포함됩니다.

  • 출처가 어디인지
  • 사용 중인 특정 버전
  • 알려진 취약점 및 패치 상태
  • 애플리케이션에서 사용되는 장소와 시기
  • 라이선스 정보

그리고 기타 관련 보안 정보.

최종 제품에 포함되는 모든 코드 라인을 이해함으로써 조직은 안전한 개발 방식을 입증하고 고객에게 확신을 제공할 수 있습니다.

SBOM의 사용 범위가 훨씬 더 넓어짐에 따라 IT 연구 및 컨설팅 회사 Gartner는 최근 “SBOM을 위한 혁신 통찰력”을 발표했습니다.,” 개념, 이점, 사용 중인 다양한 표준, SBOM을 구현하는 조직을 위한 권장 사항을 설명하는 보고서입니다.

많은 사람들이 Gartner의 전체 보고서에 접근할 수 없기 때문에 우리는 성공적인 SBOM 사용을 위해 조직이 고려해야 할 사항에 대한 주요 조사 결과와 우리의 의견을 제시합니다. 하지만 먼저 현재 상황에 대해 논의해 보겠습니다. 소프트웨어 공급망 공격.

소프트웨어 공급망에 대한 위험 증가

소프트웨어 패키지는 경쟁사와 차별화하고 무엇이 차별화되는지에 초점을 맞추려고 노력하지만 기본 기능 측면에서는 항상 일부 중복되는 부분이 있습니다. 예를 들어 모든 조직은 사용자 데이터를 암호화해야 하며 대부분의 조직은 여러 장치 간의 동기화를 고려해야 합니다. 

개발자는 이러한 일반 기능을 수행하기 위해 코드를 작성하는 데 상당한 시간과 노력을 들일 수 있지만 이미 사용 중인 미리 만들어진 구성 요소를 통합하는 것이 훨씬 쉽습니다. 구매한 소스든 오픈 소스든 타사 코드는 개발 프로세스를 단순화하고 출시 시간을 크게 단축합니다. 

그러나 취약점도 발생합니다. 오늘날의 소프트웨어는 공급망에서 가장 취약한 부분만큼만 안전합니다. 공격자들은 이러한 사실을 악용하여 점점 더 빠른 속도로 소프트웨어 공급망에서 일반적으로 사용되거나 오래된 구성 요소를 표적으로 삼고 있습니다. 

최근 보고서 216년 2015월부터 2019년 929월 사이에 소프트웨어 공급망 공격은 2019건에 불과했습니다. 이 수치는 2020년 12,000월부터 2021년 650월 사이에 XNUMX건으로 크게 증가했으며, 이어서 XNUMX년에는 전년 대비 소프트웨어 공급망 공격이 XNUMX건 이상 폭발적으로 증가했습니다. XNUMX% 증가.

2021 포레스터 설문조사 사이버 보안 의사 결정자 중 530명 중 33%가 현재 외부 공격의 XNUMX%가 제XNUMX자 서비스나 소프트웨어 취약성에서 비롯되는 것으로 나타났습니다.

최근 공격이 가속화되는 상황을 고려하면 미국 정부가 다음과 같은 조치를 취한 것은 놀라운 일이 아닙니다. 소프트웨어 공급망 보안 새로운 우선순위. 여기에는 보안 소프트웨어 개발 프레임워크(SSDF) 그리고 2022년 XNUMX월 OMB 메모 2024 회계연도의 사이버 투자 우선순위를 설정하며, 두 가지 모두 공급망 위험을 완화하는 데 충분한 관심을 기울입니다.

급증하는 공격, 뉴스에 나오는 유명한 사례(예: SolarWinds, Log4J 등), 미국 정부의 경고 등으로 인해 조직은 소프트웨어 공급망의 가시성을 높이고 각 소프트웨어에 대한 포괄적인 소프트웨어 BOM을 유지해야 합니다. 그들의 제품.

SBOM이 구출해 드립니다! 소프트웨어 공급망의 가시성, 신뢰도 및 보안 향상

필요는 발명의 어머니이며, 공급망 공격만큼 심각한 위협에는 확실히 해결책이 필요합니다. 다행히도 SBOM의 발명은 이제 우리가 반격할 수 있는 도구를 갖게 되었음을 의미하며, 안전하고 신뢰할 수 있는 구성 요소만 코드베이스에 포함되도록 보장합니다.

SBOM은 제조 또는 건설 분야에서 일반적으로 사용되는 물리적 BOM(자재 명세서)을 기반으로 합니다. 예를 들어, 자동차 제조업체는 BOM을 활용하여 OEM 또는 타사에서 제작한 각 차량에 사용된 모든 구성 요소의 목록을 작성합니다. 특정 부품에 문제가 발생하는 경우 제조업체는 BOM을 통해 영향을 받는 모든 차량을 식별하고 소유자에게 알릴 수 있습니다.

SBOM은 소프트웨어 산업과 동일합니다. 각 제품에 존재하는 모든 소프트웨어 구성 요소에 대한 인벤토리 역할을 합니다. 구성 요소에 취약점이 있는 것으로 확인되면 조직은 영향을 받는 사용자를 신속하게 파악하고 위험을 알리고 완화할 계획을 세울 수 있습니다.

수많은 오픈 소스 및 기타 타사 구성 요소를 통합하는 복잡한 소프트웨어 스택을 사용하면 제품이 노출되는 모든 위험을 추적하는 것이 어려울 수 있습니다. SBOM을 사용하면 개발, DevOps, 보안 팀은 물론 고객까지 이러한 위험을 이해하고 새로 식별된 취약성이 영향을 미치는지 신속하게 확인할 수 있습니다.

SBOM은 다음에도 도움이 됩니다. 

  • 라이선스 오염 방지 - 오픈 소스 구성 요소가 지적 재산을 공개하면 모든 사람이 볼 수 있도록 제품이 노출됩니다.
  • 레거시 코드의 위험 식별 - 기존 코드 기반을 분석하여 모든 타사 라이브러리, 오픈 소스 리포지토리, 개발 도구 등을 식별하여 잠재적으로 오래된 구성 요소 또는 존재하는 기타 위험을 확인합니다.

다양한 혜택이 제공되면서 SBOM은 상당한 활용도를 보이고 있습니다. 그러나 최근 신고 76%의 조직이 어느 정도 SBOM "준비"를 갖추고 있는 반면, 47년에는 2021%만이 SBOM을 적극적으로 사용하고 있는 것으로 나타났습니다. 이 수치는 2022년에는 조직의 78/90 이상(XNUMX%)으로 증가할 것으로 예상되며 거의 XNUMX%가 다음 해.

2021~2023년 SBOM의 예측 성장 다이어그램

출처: VentureBeat

SBOM을 위한 Gartner의 혁신 통찰력 보고서 - 상위 수준 요약

SBOM에 대한 Gartner의 2022년 혁신 통찰력 보고서는 소프트웨어 BOM의 중요성과 구현에 대한 중요한 정보를 제공합니다.

“소프트웨어 BOM은 소프트웨어 공급망에서 독점 및 오픈 소스 코드의 가시성, 투명성, 보안 및 무결성을 향상시킵니다. 이러한 이점을 실현하려면 소프트웨어 엔지니어링 리더는 소프트웨어 제공 수명 주기 전반에 걸쳐 SBOM을 통합해야 합니다."

조직은 독점 및 오픈 소스 종속성에 대한 가시성을 유지하는 데 어려움을 겪는 경우가 많습니다. 소프트웨어 공급망 보안 위험 잠재적인 규정 준수 문제. 이는 적절한 도구가 부족하거나 안전한 개발 관행 및 표준을 구현하지 못하기 때문입니다. 

SBOM을 사용하면 개발자는 소프트웨어 패키지의 모든 타사 코드에 대한 보안 세부 정보를 검색하고 컴파일할 수 있습니다. 소프트웨어 공급망 공격의 증가는 오픈 소스 또는 상용 코드를 빈틈없고 안전한 "블랙 박스"로 취급하는 데 실패했음을 보여줍니다. 

"상자" 안에 무엇이 들어 있는지 알지 못하면 소프트웨어가 노출되는 위험을 진정으로 이해할 수 없습니다. 따라서 가장 좋은 해결책은 알려진 취약점을 확인하는 데 사용하는 모든 "박스"를 꼼꼼하게 추적하는 것입니다.

Gartner는 모든 조직에 다음을 권장합니다.

  • 생산하는 모든 소프트웨어 패키지에 대해 SBOM을 생성합니다.
  • 사용된 모든 소프트웨어(오픈 소스 또는 상용)에 대한 SBOM을 확인합니다.
  • SBOM 데이터를 지속적으로 재평가하여 새로운 보안 위험을 파악합니다(배포 전후 모두)

점점 더 위협적인 소프트웨어 공급망 환경을 고려할 때 Gartner는 중요 인프라용 소프트웨어를 구축하거나 구매하는 조직의 60%가 SBOM을 의무화할 것으로 예측합니다. 이는 20년 현재 수치(2022%)의 XNUMX배입니다.

“SBOM은 보안 및 규정 준수 도구 상자의 필수 도구입니다. 소프트웨어 무결성을 지속적으로 확인하고 이해관계자에게 보안 취약성과 정책 위반에 대해 경고하는 데 도움이 됩니다.”

이 모든 것이 당신에게 어떤 영향을 미치나요?

그렇다면 이 모든 것이 귀하와 귀하의 조직에 무엇을 의미합니까? Gartner는 조직에 다음을 권장합니다.

  • 소프트웨어 개발 수명 주기의 모든 구성 요소를 고려하여 SBOM을 활용하여 전체 소프트웨어 공급망의 종속성을 추적합니다.
  • 제품을 체계적으로 스캔하고 검증하는 도구를 사용하여 SBOM 생성을 자동화합니다.
  • 소프트웨어 공급망 내에서 발견된 영향을 받는 구성요소에 신속하게 대응
  • 모든 새로운 소프트웨어 아티팩트로 SBOM을 업데이트합니다. 즉, 프로젝트 시작 시에만 SBOM을 생성하는 것이 아니라 빌드 프로세스 중에 SBOM을 생성합니다.
  • 검증되고 안전한 SBOM이 포함된 모듈만 재사용하세요.
  • SPDX(Software Package Data Exchange), SWID(Software Identification) 또는 CycloneDX와 같이 널리 지원되는 형식을 기반으로 표준 기반 SBOM 프로세스를 구현합니다.
  • 함께 작업하는 모든 상용 소프트웨어 제공업체도 표준 기반 접근 방식으로 SBOM을 활용하도록 보장하세요.
  • 이해관계자와 SBOM 및 출처 데이터를 공유하여 영향을 받는 구성 요소 및 위험 관련 데이터를 인식할 수 있도록 합니다.

SBOM은 최신 소프트웨어 보안을 위한 중요한 도구입니다. 그러나 업계 전반의 상황을 개선하려면 조직 내부와 외부에서 액세스할 수 있어야 합니다. SBOM 형식으로 취약성 데이터를 공유하면 이해관계자의 확신과 신뢰가 높아져 자신이 사용하는 소프트웨어에 알려진 취약성이 없음을 알릴 수 있습니다.

Scribe Security는 공유 기능을 갖춘 호스팅된 SBOM 관리 플랫폼을 제공합니다. 조직이 컨테이너 무결성을 보장하고 생산하는 소프트웨어에 대한 실행 가능한 통찰력을 제공하도록 지원합니다. 조기 액세스에 등록하여 무료로 시작하세요. 스크라이브 플랫폼.

Scribe Security는 Gartner의 보고서를 검토합니다. 투명성과 증거가 핵심입니다.

At 서기 보안, 우리는 SBOM이 확장되는 공급망 위에 구축된 최신 소프트웨어 패키지를 보호하는 데 핵심이라고 믿습니다. SBOM은 개발 프로세스를 포괄적으로 문서화하여 전체 공급망에 대한 엔드투엔드 가시성을 보장합니다. 우리 플랫폼은 팀과 조직 전반에 걸쳐 기능을 공유함으로써 SBOM의 가시성과 투명성을 결합합니다.

Scribe는 소프트웨어 제작자와 소비자가 함께 모여 다양한 소프트웨어 패키지 또는 구성 요소의 신뢰성에 대한 증명을 공유할 수 있는 허브를 제공합니다. 우리는 암호화 기술을 활용하여 개발 중 변경 사항을 추적하는 디지털 서명을 수집합니다. 이러한 서명은 소프트웨어 공급망의 유효성과 보안을 보장하는 증거 기반을 보장합니다.

현재 SBOM 생성을 고려하지 않는 소규모 작업이라도 프로세스를 이해하면 이점을 얻을 수 있습니다. Scribe는 프로덕션 환경에 안정적인 버전이 있더라도 지속적인 검사를 제공하므로 소프트웨어 개발 수명 주기 전반에 걸쳐 새로운 취약점을 확인하고 추세를 식별할 수 있습니다.

요약

소프트웨어 공급망 공격이 엄청나게 증가함에 따라 조직은 자신이 구축하는 소프트웨어 제품과 사용하는 소프트웨어 제품의 안전을 보장하기 위한 새로운 방법을 고려해야 합니다. 

첫 번째 단계는 소프트웨어 패키지 코드베이스에 존재하는 모든 구성 요소를 자세히 설명하는 소프트웨어 BOM을 생성하는 것입니다. 실행 중인 항목을 이해하면 조직은 취약점을 미리 파악하고 애플리케이션 빌드의 무결성을 공유할 수 있습니다.

SBOM에 대한 Gartner의 최근 보고서는 상황을 잘 요약하고 있습니다.

“SBOM은 조직이 이전에 소프트웨어 구성 요소에서 식별된 보안 취약성에 취약한지 판단하는 데 도움이 됩니다. 이러한 구성 요소는 내부적으로 개발되거나 상업적으로 조달되거나 오픈 소스 소프트웨어 라이브러리일 수 있습니다. SBOM은 구성 요소 간의 코드 출처와 관계에 대한 정보를 생성하고 확인하며, 이는 소프트웨어 엔지니어링 팀이 개발(예: 코드 삽입) 및 배포(예: 바이너리 변조) 중에 악의적인 공격을 감지하는 데 도움이 됩니다.”

기치

이 콘텐츠는 소프트웨어 공급망 전반에 걸쳐 코드 아티팩트와 코드 개발 및 전달 프로세스에 최첨단 보안을 제공하는 선도적인 엔드투엔드 소프트웨어 공급망 보안 솔루션 제공업체인 Scribe Security에서 제공합니다. 자세히 알아보기.

관련 게시물

문서 공유의 추상적 이미지
CISA의 SBOM 공유 수명 주기 보고서에서 배울 수 있는 내용

2023년 XNUMX월 DHS, CISA, DOE, CESER는 '소프트웨어 자재 명세서(SBOM) 공유 수명 주기 보고서'라는 제목의 보고서를 발표했습니다. 보고서의 목적은 사람들이 SBOM을 공유하는 현재 방식을 검토하고 이러한 공유가 어떻게 더 효율적이고 정교하게 수행될 수 있는지 개괄적으로 설명하는 것이었습니다.

1200x628 이미지
가장 약한 고리가 되지 마십시오: 소프트웨어 공급망 보안에서 개발자의 역할

세 개의 미국 정부 기관이 함께 모여 개발자들이 특정 관행을 채택하도록 "강하게 권장"할 때 주의를 기울여야 합니다. CISA, NSA 및 ODNI는 사이버 해커의 위협과 SolarWinds 공격의 여파를 인식하여 소프트웨어 공급 보안을 위한 권장 사항 모음을 공동으로 발표할 것이라고 발표했습니다. [...]

CI/CD 파이프라인을 보여주는 이미지
취약점에서 승리까지: CI/CD 파이프라인 방어

자동화된 CI/CD(지속적 통합/지속적 전달) 파이프라인은 개발 속도를 높이는 데 사용됩니다. 코드를 가져오고, 병합하고, 빌드하고, 테스트하고, 자동으로 제공하는 트리거나 일정을 갖추는 것은 정말 멋진 일입니다. 그러나 속도와 사용 편의성을 위해 구축되었다는 것은 대부분의 파이프라인이 본질적으로 […] 보안 기능을 갖추고 구축되지 않았다는 것을 의미합니다.

인기 게시물
구조를 위한 SBOM 도구 – XZ Utils 백도어 케이스MLOps 파이프라인 보호를 위한 실제 단계혼돈에서 명료함으로: 규정 준수를 위한 정책 엔진 탐색ASPM이란 무엇입니까?®
카테고리