SBOM을 생성하는 방법

SBOM을 생성하는 방법

​

최신 애플리케이션(오픈소스, 독점 및 상용 코드 등)의 복잡성으로 인해 소프트웨어 공급망 보안 관리가 비즈니스에 매우 중요한 요소가 되었습니다. 강력한 소프트웨어 공급망 보안을 위해서는 조직의 소프트웨어 구성 요소에 대한 철저한 이해, 즉 코드 구성에 대한 완전한 가시성이 필요하며 이는 소프트웨어 자재 명세서(SBOM)를 통해 가장 잘 달성할 수 있습니다.

SBOM이 필요한 이유

오픈소스 소프트웨어가 지속적으로 확장됨에 따라 소프트웨어 공급망은 더욱 복잡해지고 모호해지며 이전보다 더 많은 링크와 종속성을 포함하게 됩니다. 이러한 위험을 완화할 수 있는 유일한 희망은 사용 중인 오픈소스 소프트웨어에 대한 가시성을 확보 및 유지하고 식별된 위험 영역을 해결하는 것입니다.

또한 조직 애플리케이션의 모든 독점 코드는 종종 보안 경험이나 교육이 부족한 개발자가 작성합니다. 오픈소스 소프트웨어와 마찬가지로 독점 코드의 위험은 복잡하고 숙련된 보안 전문가라도 식별하기 어려울 수 있습니다. 자신의 코드에 있는 이러한 취약점은 민감한 데이터 및 시스템으로 침입하는 역할을 할 수 있습니다. 이것이 바로 애플리케이션에서 써드 파티 코드와 함께 독점 소프트웨어를 보호하는 것이 중요한 이유입니다.

이러한 위험을 식별하고 제한하는 가장 효율적이고 효과적인 방법은 모든 코드를 포괄하는 정확하고 강력한 SBOM입니다.

Black Duck으로 SBOM을 생성하는 방법

Black Duck은 다양한 오픈소스 검색 방법을 사용하여 직접 및 전이적 종속성을 모두 식별하여 SBOM 생성을 단순화합니다. Black Duck을 사용하면 완전하고 정확한 SBOM을 생성하는 데 새로운 프로세스가 필요하지 않으며 개발 속도가 느려지지 않습니다. Black Duck은 개발자가 메인 브랜치에 변경 사항을 적용할 때마다 자동으로 애플리케이션을 검사할 수 있습니다. 다중 요소 감지 기능은 모든 종속성을 식별하여 알려진 위험을 노출시키는 완전한 구성 요소 인벤토리를 생성하며 NTIA 호환 SBOM 형식으로 내보낼 수 있습니다.

최신 소프트웨어 공급망이 상당히 관련되어 있을 수 있지만 Black Duck은 SBOM 생성을 쉽게 설명하여 잠재적인 위험을 쉽게 식별하고 규정을 쉽게 준수할 수 있도록 도와줍니다. Black Duck이 간단하면서도 상세한 SBOM을 만드는 데 어떻게 도움이 되는지 자세히 읽어보거나 지금 데모를 예약 할 수 있습니다.

더 나은 방법은 Gartner 보고서인 '엔터프라이즈 소프트웨어 공급망 보안 위험 완화'를 읽고 SBOM이 공급망 보안에 이토록 중요한 이유를 이해하는 것입니다.

Black Duck 더 알아보기 CLICK

원문 게시일: 2024.01.31

원문 기고자: Mike McGuire

출처: https://www.synopsys.com/blogs/software-security/how-to-generate-an-sbom.html