점점 더 많은 기업이 모든 제품과 새 릴리스의 일부로 최신 SBOM의 중요성을 인식하고 있습니다. NSA는 심지어 논문을 발표 기업이 이 도구를 채택하여 사이버 인식을 높이고 소프트웨어 공급망을 더 잘 보호하도록 권장합니다. SBOM을 생성하는 것이 올바른 일이라고 결론을 내렸더라도 이를 어떻게 수행할지, 어떤 도구를 사용할지, 구현 방법을 확신할 수 없을 수도 있습니다. 시장에는 다양한 SBOM 생성 도구가 있으며 일부는 독점이고 일부는 무료이며 일부는 오픈 소스 도구입니다. 이 문서에서는 SBOM 생성 도구를 요구 사항에 맞게 만들기 위해 필요한 주요 기능에 대해 설명합니다.
SBOM 형식
크게 두 가지가 있다 SBOM 형식 현재 시장에서 사용되는 SPDX 및 CycloneDX.
소프트웨어 패키지 데이터 교환(SPDX) Linux 재단의 기계 판독 가능한 오픈 소스 SBOM 프로젝트입니다. SPDX의 최신 버전은 NTIA의 표준에 맞춰 설계되었습니다.소프트웨어 BOM의 최소 요소.' 여기에는 소프트웨어의 구성 요소, 저작권, 라이센스 및 보안 참조가 나열됩니다.
사이클론DX(CDX) 또한 OWASP(Open Web Application Security Project) 커뮤니티에서 개발한 오픈 소스 및 기계 판독 가능한 SBOM 형식입니다. BOM 형식인 CycloneDX에는 소프트웨어 BOM 준비 이상의 다른 응용 프로그램이 있습니다. 또한 하드웨어 및 클라우드 시스템의 구성요소, 취약점, 서비스를 컴파일하는 데에도 사용할 수 있습니다.
다양한 도구를 확인하기 전에 귀하의 요구 사항에 가장 적합한 형식을 고려하십시오. 현재 시간뿐만 아니라 미래의 요구 사항도 고려하는 것이 가장 좋습니다. 일단 특정 형식을 결정하면 해당 형식을 고수하는 것이 더 쉬울 것이기 때문입니다. SBOM이 보게 될 용도와 데이터 분석에 사용할 도구를 고려하십시오. 어떤 형식을 사용해야 할지 확실하지 않은 경우 두 형식을 모두 생성할 수 있는 도구를 찾으세요.
SBOM 도구 주요 기능
좋은 SBOM 생성 도구에서 찾아야 할 몇 가지 기능은 다음과 같습니다.
SCM과 최종 제품 모두에서 SBOM 수집 – 제품에 대한 전체 범위를 확보하는 것이 좋은 SBOM의 핵심입니다. 개발 단계에서 항상 모든 종속성을 가져와서 프로젝트에 통합하는 것은 아니라는 것은 잘 알려져 있습니다. 이는 일반적으로 CI/CD 파이프라인 끝의 최종 컴파일에서만 수행되는 작업입니다. SCM과 최종 제품에서 SBOM을 얻으면 두 제품을 비교할 수 있으며, 그 사이의 단계에서 파일이나 폴더에 원치 않는 변경 사항이 발생하지 않았는지 확인할 수 있습니다. SBOM 간의 파일 및 폴더 비교는 각각에 대해 계산된 해시 값을 비교하여 수행할 수 있습니다. 이를 자동으로 수행할 수 있는 도구가 있으면 많은 시간과 걱정을 절약할 수 있습니다.
SBOM 분석 – SBOM은 많은 양의 데이터가 포함된 파일입니다. 얻고 싶은 통찰력을 얻기 위해 분석할 수 있는 소프트웨어를 구축하는 것이 가장 좋습니다. 물론, 이러한 소프트웨어를 직접 구축하는 것은 느리고 시간이 많이 걸리므로 수천 줄의 SBOM 파일의 앞부분이나 뒷부분을 만드는 것보다 결과 보고서를 확인할 수 있도록 분석 소프트웨어가 이미 포함된 도구를 얻는 것이 훨씬 낫습니다. . 고려해야 할 일부 보고서로는 모든 종속성에 대한 포괄적인 취약성 보고서, 소프트웨어에 사용된 오래된 구성 요소에 대한 보고서, 사용된 모든 오픈 소스 라이선스에 대한 보고서, 오픈 소스의 상대적 상태에 대한 보고서 등이 있습니다. 사용된 소스 구성 요소. 마지막 것은 다음과 같은 요소를 활용할 수 있습니다. OpenSSF 스코어카드 사용된 각 패키지에 공정한 점수를 부여합니다.
SBOM 자동화 및 보안 스토리지 – SLSA 보안 프레임워크 원칙의 일부는 각 보안 기능을 자동으로 만들고 가능한 한 조작하기 어렵게 만드는 것입니다. 사람들이 보안 기능 결과를 조작할 수 있도록 허용하면 필요에 따라 해당 기능을 취소하거나 조작할 여지가 생긴다는 생각입니다. 해당 개념의 일부로 각 CI/CD 파이프라인에서 독립적으로 실행되거나 인적 요소 개입 없이 컴파일 실행이 완료되도록 완전히 자동화할 수 있는 SBOM 도구를 찾을 수 있습니다. 또한 적절하게 검증된 직원만 액세스할 수 있도록 안전한 위치에 증거를 저장하는 SBOM 도구를 찾으십시오. 그러면 상황에 관계없이 SBOM 증거가 조작되거나 삭제될 수 없습니다.
지속적인 SBOM 분석 – 제3자가 SBOM을 저장하는 것의 또 다른 잠재적 이점은 해당 제3자가 지속적으로 새로운 취약점을 검색할 수 있다는 것입니다. 새로운 취약점은 지속적으로 발견되고 보고되며, 오늘은 깨끗한 것으로 알려진 패키지라도 내일은 그대로 유지되지 않을 수 있습니다. 모든 SBOM을 지속적으로 검사하고 새로운 취약점을 찾아 발견한 내용을 알려주는 SBOM 기능을 사용하면 매일, 매주 또는 매월 새 SBOM을 생성하지 않더라도 제품에 포함된 이전에 깨끗한 패키지에 새로운 취약점이 있습니다.
SBOM 스마트 공유 – 가능한 소프트웨어 공급망 문제를 확인할 수 있는 소스를 갖는 것 외에 좋은 SBOM을 보유하는 주요 이유 중 하나는 이를 다른 사람들과 공유하는 것입니다. 다른 내부 팀, 고객, 제3자 계약자 또는 감사자와 정보를 공유할 수도 있습니다. 물론 언제든지 SBOM 파일을 관심 있는 당사자에게 이메일로 보낼 수 있지만 빈번한 소프트웨어 업데이트와 그에 따른 빈번한 새 SBOM을 고려하면 이는 매우 지루한 일이 될 수 있습니다. 공유 기능이 내장된 도구를 사용하면 구독자 목록을 정의할 수 있고, 보고서가 포함되거나 포함되지 않은 새 SBOM이 프로젝트, 구독자, 관심 수준 등에 따라 자동으로 공유될 수 있으므로 훨씬 더 좋습니다. .
SBOM 권고 – 이미 언급했듯이 SBOM에는 수천 개의 종속성이 포함될 수 있습니다. 취약점이 전혀 없는 깨끗한 상태를 기대하는 것은 현실적이지 않습니다. 항상 취약점이 있을 것입니다. 가장 큰 질문은 제품의 정확한 구성에서 이러한 취약점이 악용될 수 있는가입니다. 개발자만이 해당 질문에 답할 수 있지만 SBOM 도구에 이러한 결과를 공유할 수 있는 기능이 있는지 확인해야 합니다. 동일한 취약점 질문에 1000번 대답하고 싶지는 않습니다. 발견된 각 취약점의 정확한 상태를 기록하는 조언을 SBOM에 추가할 수 있으면 고객과 파트너 모두에게 상황을 보여주고 개발자가 특정 취약점이 있음을 확인한 후 결과를 공유할 수 있습니다. 지원 귀하의 제품에서 악용될 수 있습니다.
SBOM 생성 도구를 시작하는 방법
SBOM 생성 도구에서 찾고 찾을 수 있는 다른 많은 기능이 있지만 우리의 기능 목록을 보면 좋은 SBOM 도구가 단일 요소 이상이라는 점을 분명히 알 수 있다고 생각합니다. SBOM 생성, 분석(현물 및 연속 모두), 보고서 및 공유를 통합하는 전체 시스템을 찾는 것이 가장 좋습니다.
미국 규제 요소의 관심이 높아지고 있는 점을 고려하면 머지않아 동반 SBOM이 각각의 새로운 소프트웨어 릴리스에 대한 표준이 될 것으로 보입니다. 그런 일이 발생하면 이미 최고의 도구를 선택하여 SDLC에 통합하고 싶을 것입니다. 또한 SBOM은 귀하의 IP를 침해할 수 없다는 점을 지적하고 싶습니다. SBOM은 어떤 코드도 '검색'하지 않고 파일 이름, 버전 등만 검색합니다. 즉, SBOM을 공유하거나 신뢰할 수 있는 제3자가 안전한 위치에 저장한다고 해서 귀하의 보안이나 IP가 위험에 빠지지는 않습니다.
Scribe Security 플랫폼과 같은 서비스는 이 문서에서 다루는 모든 기능을 제공하며 항상 더 많은 기능이 추가됩니다. 우리의 플랫폼을 확인하고 SBOM 생성 도구에 포함되어 귀하와 귀하의 조직에 도움이 될 수 있는 다른 기능이 무엇인지 알아보십시오.