소프트웨어 재료 명세서(SBOM)의 가치

지난 1년 동안 공급망 안전에 대해 잠시 생각해 본 적이 있다면 아마도 SBOM으로 줄여서 "소프트웨어 BOM(Software Bill of Materials)"이라는 용어를 알고 계실 것입니다. 가장 간단한 형태로 SBOM은 소프트웨어의 구성 요소 목록과 비교할 수 있습니다. 그러나 실제로는 훨씬 더 정교합니다.

소프트웨어 리셀러, 오픈 소스 도구, 화이트라벨 애플리케이션에 대한 의존도가 높은 오늘날의 디지털 기반 기업에서 소프트웨어 BOM(Bill of Materials)의 가치는 아무리 강조해도 지나치지 않습니다.

SBOM 정의: 소프트웨어 자재 명세서(SBOM)란 무엇입니까?

소프트웨어 BOM은 제품을 구축하는 데 사용되는 기본 구성 요소(예: 코드 리소스)의 목록입니다. 이는 기계가 읽을 수 있는 정보와 공급망의 다양한 소프트웨어 요소 간의 연결을 설명하는 세부 정보를 제공합니다.

SBOM은 기본적으로 신뢰와 보안에 중점을 두고 작업하는 디지털 "자료"의 무결성에 관한 것입니다. 소프트웨어의 구성 요소, 이러한 파일의 출처, 빌드 방법, 신뢰할 수 있는 개인이 안전하게 서명했는지 여부를 식별할 수 있습니다.

SBOM은 소프트웨어 개발자와 소비자가 소프트웨어 개발 및 배포 수명주기에 대한 확신과 신뢰성을 키우는 데 사용할 수 있는 도구입니다.

Gartner는 2025년까지 중요 인프라용 소프트웨어를 개발하거나 조달하는 조직의 60%가 SBOM을 사용해야 할 것으로 예상합니다. 이는 2022년의 20% 미만에서 급격히 증가한 수치입니다. 그 이유와 소프트웨어 청구서의 가치가 정확히 무엇인지 살펴보겠습니다. 재료.

SBOM 및 사이버 보안: 소프트웨어 BOM 유지가 중요한 이유

공공 부문과 민간 부문 모두에서 사이버 공격은 이제 너무 흔해졌습니다. 2022년 하반기에는 정부 부문에 대한 침입 건수가 2021년 같은 기간에 비해 95%나 급증했다.

사이버 공격이 세계 경제에 미치는 영향은 2022년 8조 4400억 달러에서 2027년 23조 8400억 달러로 급격하게 증가할 것으로 예상됩니다.

그렇기 때문에 기업, 사이버 보안 옹호 단체, 심지어 정부까지도 ​​SBOM을 있으면 좋은 부분이 아니라 디지털 인프라의 중요한 부분으로 추진하고 있습니다.

실제로 2021년 5월의 미국 행정명령(EO) 14028은 "국가의 사이버 보안 개선"이라는 제목으로 미국 연방 데이터베이스의 보안을 강화하기 위해 SBOM 사용을 의무화하고 있습니다. 이는 정부 기관과 협력하는 모든 소프트웨어 제공업체에 대해 소프트웨어 BOM을 의무화합니다.

궁극적으로 기업이 소프트웨어 내부의 내용을 알지 못하면 소프트웨어가 회사 또는 가능한 다운스트림 고객에게 가져오는 위험을 완전히 이해하거나 평가할 수 없습니다.

SBOM 사용 사례

타사 소프트웨어에 대한 가시성을 제공하여 공급망 공격에 더 쉽게 대처할 수 있도록 하는 것 외에도 소프트웨어 BOM은 다음과 같은 이점을 제공합니다.

1. 공급업체-구매자 관계 강화

   소프트웨어 개발자와 사용자 모두 자신이 작업하는 소프트웨어에 대한 믿음을 가져야 합니다. SBOM에 포함된 메타데이터는 개인이 소프트웨어의 무결성을 확인하고 시스템 및 프로세스에 영향을 미칠 수 있는 결함이 있거나 취약한 구성 요소를 신속하게 인식하는 데 사용할 수 있습니다.

   마찬가지로 SBOM은 소프트웨어 개발자가 안전한 최첨단 소프트웨어를 만들기 위해 취해야 하는 안전 조치를 강조할 수 있습니다.

2. 보다 포괄적인 취약점 분석 수행

   회사는 SBOM 구성 요소에 대한 취약점을 검사할 수 있습니다. 문제가 있는 경우 수정해야 할 종속성도 염두에 두어야 합니다. 취약점은 소프트웨어를 손상시키거나 소프트웨어가 작동하는 시스템에 해를 끼치려는 악의적인 행위자가 악용할 수 있는 결함입니다.

   SBOM은 사용 중인 소프트웨어가 최신 아바타로 정기적으로 업데이트되도록 할 수 있습니다. 그렇지 않은 경우 소프트웨어 전체를 검토하는 데 리소스를 낭비하는 대신 오래된 구성 요소에 대해서만 위험 분석을 수행할 수 있습니다.

3. 더 나은 품질의 소프트웨어 제공

   "당신이 하는 일을 말하고, 당신이 말하는 대로 하십시오"라는 오래된 속담처럼, 비슷한 맥락에서 SBOM을 만들고 평가하는 행위는 일반적으로 개발자가 소프트웨어 빌드가 실제로 가장 최적의 상태에 있는지 여부를 결정하는 데 도움이 됩니다.

   일관되고 반복 가능합니까? 생성된 SBOM은 엔지니어가 소프트웨어에 포함되어 있다고 믿는 내용을 반영합니까? 아니면 틈이 존재하는가? 대부분의 SBOM 생성기는 공급업체가 인식하지 못한 소프트웨어에 대한 몇 가지 항목을 찾아내므로 소프트웨어 품질을 개선하고 최상의 빌드만 게시할 수 있습니다.

4. 조달 의사결정 개선

   타사 소프트웨어 제공업체가 제공하는 SBOM을 사용하면 조달 관리자가 더 많은 정보를 바탕으로 소프트웨어 구매 결정을 내릴 수 있습니다. 소프트웨어 BOM을 통해 IT 조달 전문가는 소프트웨어의 '내부'를 살펴보고 구매하기 전에 소프트웨어의 작동 방식을 파악할 수 있습니다.

   

   구매 전에 SBOM을 사용할 수 없는 경우 구매 후 합리적인 기간(공급업체 잠금이 설정되기 전) 내에 이 사용 사례를 활용하고 필요한 경우 공급자를 전환할 수 있습니다.

5. 상호 운용 가능한 엔터프라이즈 시스템 구축

   엔터프라이즈 아키텍트는 회사의 기술 프레임워크 구축을 담당합니다. 건물 건축가와 마찬가지로, 현재 리소스의 각 요소를 파악하면 기술 스택을 구성하는 것이 훨씬 간단합니다. 이는 설계자가 소프트웨어의 출처, 기능 및 제한 사항에 대한 완전한 가시성을 갖지 못하는 인수 합병의 경우 특히 그렇습니다.

6. 보안사고 대응 강화

   SBOM은 무엇이 잘못되었는지에 대한 방향 지표인 이벤트 결과 및 권장 사항에 대한 검증 역할을 할 수 있습니다. 증거를 뒷받침하기 위해 SBOM은 사건 조사와 동시 시스템 또는 이전 시스템 버전에 대한 영향 평가를 지원합니다.

   사고 발생 중과 발생 후에 SBOM은 협력자, 피해를 입은 그룹, 고객 간의 상호 작용을 촉진할 수도 있습니다.

   SBOM에 의해 열거된 콘텐츠가 배포 당시 상당히 정확했고 식별되거나 해결되지 않은 취약점이 존재하지 않았음을 검증하는 것은 사고 대응 관리에 SBOM을 추가로 적용하는 것입니다.

   이를 통해 데이터 침해 또는 동일한 심각도의 사고에 직면한 기업의 법적 위험과 책임을 줄일 수 있습니다.

SBOM 사용에 대한 기업 고려 사항: 가치를 극대화하는 방법

귀하가 사용할 완전한 소프트웨어 BOM을 조립, 형식화 및 제공하는 것은 공급업체의 책임입니다. 그러나 SBOM을 획득하는 것만으로는 충분하지 않습니다. 기업에는 SBOM을 가장 가치 있는 사용 사례로 라우팅하기 위한 거버넌스 전략이 필요합니다.

1. SBOM 요청을 보낼 공급업체 파악

   리소스에는 일반적으로 사용량이 고정되어 있으므로 비즈니스 영향 분석부터 시작하여 가장 필수적인 서비스 제공업체와 Commercial Off The Shelf 또는 COTS 소프트웨어 솔루션을 결정해야 합니다.

   엄격한 보안 표준을 적용하는 일부 기업의 경우 조직의 데이터에 영향을 미치는 모든 공급업체는 SBOM을 제출해야 합니다. 다른 당사자의 경우 주요 서비스 제공업체 중 일부만 이 프로세스에 참여하면 됩니다.

   또한 고려해야 할 중요한 사항은 공급업체의 전문 지식 수준입니다. 확고한 기업 벤더는 허술한 스타트업에 비해 귀하가 요구하는 것을 제공할 준비가 더 잘 되어 있습니다.

2. SBOM 업데이트 주기 결정 및 자동화 사용

   SBOM을 제출해야 하는 규칙성을 고려하는 것도 중요합니다. 특정 산업에서는 소프트웨어가 업데이트될 때마다 고객이 업데이트를 요구할 수 있습니다.

   이는 SaaS 플랫폼의 경우 지속적으로(매시간 또는 매일) 발생할 수 있지만 이러한 수준의 빈도는 공급업체에 SBOM 데이터 수집 및 전달 의무를 과중하게 합니다. 일반적으로 예정된 간격(매일, 모든 새 버전 등)에 따라 제품의 SBOM "개요 또는 스냅샷"을 요청하는 것이 좋습니다.

   계약에 SBOM 제공을 위한 공식 서비스 수준 계약(SLA)이 포함되어 있는지 확인하세요.

3. SBOM 교환 및 버전 제어 워크플로우 구축

   JSON 및 XML 파일로 가득 찬 메일함은 데이터를 관리하는 비효율적인 방법입니다. 조직에는 최소한 각 SBOM 버전을 모니터링하고 감독하기 위한 구조화된 방법이 필요합니다.

   이상적으로는 포함된 정보를 수집, 디코딩 및 평가할 수 있는 시스템이 필요합니다. SBOM 데이터는 Anchore 및 Mend.io와 같은 플랫폼에서 수집되어 자동화된 경고를 보내고 자동화된 보안 분석을 수행하는 등의 기능을 수행할 수 있습니다.

다음 단계

조직의 보안 프로토콜을 더욱 강화하려면 SBOM을 취약성 관리 도구와 연결하세요. 예를 들어 앱 또는 컨테이너 스캐너는 SBOM 데이터를 사용하여 인식된 취약성과 위험을 검색할 수 있습니다.

사이버 공격의 빈도가 증가함에 따라 이제 공급망 안전은 모든 기업에서 필수적인 고려 사항이 되었습니다. 소프트웨어 부품 명세서(SBOM)는 조직이 소프트웨어 구성 요소를 식별하고 모니터링하는 데 도움이 되는 매우 유용한 도구입니다. 또한 잠재적인 안전이나 효율성 문제에 대해 사용자에게 완전히 알려줍니다.

다음으로, 규정 준수를 넘어서는 보안 에 대한 Splunk의 최신 통찰력을 활용하여 SBOM 전략을 구축하세요 . 이 기사를 재미있게 읽으셨다면 상단의 Facebook, Twitter, LinkedIn 버튼을 클릭하여 소셜 미디어에 공유해 주세요!