SBOM & 공급망 보안 (SW공학 관점)

별점: ★★★★★ | ★134회, ★136회 기출

답안.

Ⅰ. 개요

정의: SW를 구성하는 모든 컴포넌트·라이브러리·의존성 목록 현대 SW의 70~90%: 오픈소스 라이브러리 Log4Shell(2021): Log4j 취약점 → 수천만 시스템 영향

Ⅱ. 핵심 구성요소

정의: SW를 구성하는 모든 컴포넌트·라이브러리·의존성 목록
= 식품의 성분표 (SW 버전)

[왜 중요한가]
현대 SW의 70~90%: 오픈소스 라이브러리
Log4Shell(2021): Log4j 취약점 → 수천만 시스템 영향
SBOM 없이: 어떤 시스템이 영향받는지 파악 불가 (수일 소요)
SBOM 있으면: 즉시 영향 범위 파악 → 수시간 내 패치

[표준]
SPDX (Linux Foundation): ISO/IEC 5962:2021 공식 표준
CycloneDX (OWASP): 보안 특화, JSON/XML

SLSA (Supply chain Levels for Software Artifacts):
구글 제안, 빌드 공급망 무결성 보장 프레임워크

[SLSA 레벨]
L0: 보장 없음
L1: 빌드 스크립트 존재 (수동 빌드)
L2: 빌드 서비스 사용 (GitHub Actions 등)
L3: 독립 감사 가능 빌드 서비스
L4: 두 관계자 검토, 헤르메틱 빌드

SolarWinds 공격: 빌드 파이프라인 침해
→ SLSA 빌드 무결성으로 대응

[CI/CD에서 SBOM 자동화]


해당 키워드의 기술적 구성요소와 동작 원리를 서술한다.

### Ⅲ. 특징 및 비교

핵심 기술의 장단점과 유사 기술과의 차이를 분석한다.

### Ⅳ. 적용 사례

실무 환경에서의 적용 사례와 기대효과를 제시한다.

### Ⅴ. 전망

최신 기술 동향과 향후 발전 방향을 서술한다.