소프트웨어 재료 명세서

Software bill of materials

SBOM(Software Bill of Materials[1])은 소프트웨어 한 조각의 구성요소 목록이다.소프트웨어 벤더는 오픈 소스상용 소프트웨어 컴포넌트를 조립하여 제품을 만드는 경우가 많다.SBOM은 제품의 구성요소를 설명한다.[2][3]이것은 식품 포장의 성분 목록과 유사하다: 알레르기를 일으킬 수 있는 식품을 피하기 위해 라벨을 참조할 수 있는 SBOM은 조직이나 개인이 자신들에게 해를 끼칠 수 있는 소프트웨어의 소비를 피하도록 도울 수 있다.

BOM의 개념은 공급망 관리의 일환으로 전통 제조업에서 잘 확립되어 있다.[4]제조업체는 BOM을 사용하여 제품을 만드는 데 사용하는 부품을 추적한다.나중에 특정 부품에서 결함이 발견되면 BOM을 통해 해당 제품을 쉽게 찾을 수 있다.

사용법

SBOM은 소프트웨어 제품의 제조자(제조자)와 구매자(고객) 모두에게 유용하다.건설업자는 종종 사용 가능한 오픈 소스 및 타사 소프트웨어 구성요소를 활용하여 제품을 만든다. SBOM은 건설업자가 그러한 구성요소가 최신인지 확인하고 새로운 취약성에 신속하게 대응할 수 있도록 한다.[5]구매자는 SBOM을 사용하여 취약성 또는 라이센스 분석을 수행할 수 있으며, 두 가지 모두 제품의 위험을 평가하는 데 사용할 수 있다.

많은 기업이 일반적인 BOM 관리를 위해 Microsoft Excel[6] 문서를 사용하는 반면, 스프레드시트에 작성된 SBOM에는 추가적인 위험과 문제가 있다.SBOM은 다른 자동화 시스템의 일부가 될 수 있는 저장소에 집합적으로 저장될 때 다른 애플리케이션에 의해 쉽게 쿼리되는 더 큰 가치를 얻는다.

소프트웨어의 공급망 이해, SBOM 획득, 알려진 취약성 분석에 사용하는 것은 리스크 관리에 매우 중요하다.[7][8][9]

입법

2014년[10] 사이버 공급망 관리 및 투명성 법은 정부 기관이 구매하는 신제품에 대해 SBOM을 획득하도록 요구하는 미국 법률이다.또한 "미국 정부가 사용 중인 모든 소프트웨어, 펌웨어 또는 제품"을 위한 SBOM을 획득해야 할 것이다.비록 결국 통과되지는 않았지만, 이 법은 정부에 경각심을 불러일으켰고 "2017년 사물인터넷 사이버보안 개선법"과 같은 후기 입법에 박차를 가했다.[11][12]

미국 행정 명령은 국민의 사이버 보안 확보해 5월 12일, 2021[13]개선된 NIST90일 이내에 위해" 소프트웨어 빌은 재료의(SBOM)각 produ에 대한 구매자 제공하는 등"소프트웨어 공급망의 보안을 향상시키"에 몇몇 화제"표준, 절차, 또는 기준에 대한 포함한다"에 대한 지침을 발표할 것을 지시했다.ct."또한 60일 이내에 NTIA가 "SBOM을 위한 최소 요소 게시"를 의무화했다.

NTIA 최소 요소는 2021년 7월 12일에 발표되었으며,[14] 또한 "소프트웨어 공급망의 투명성을 높이기 위해 SBOM 사용 사례를 설명하고, 향후 진화를 위한 옵션을 제시한다."최소 요소는 데이터 필드(각 소프트웨어 구성요소에 대한 기본 정보), 자동화 지원(기계 및 사람이 읽을 수 있는 형식으로 SBOM을 생성하는 기능), 실행 및 프로세스(조직이 SBOM을 생성하는 방법과 시기)의 세 가지 광범위한 범주로 구성된다."자동화 지원" 요건은 소프트웨어 구성 분석(SCA) 솔루션의 사용으로 가능한 "자동 생성"의 필요성을 명시한다.[15]

참조

  1. ^ "Software Bill of Materials". ntia.gov. Retrieved 2021-01-25.
  2. ^ "Securing A Mobile World" (PDF). Crosstalkonline.org. Retrieved 2015-06-12.
  3. ^ "[Part 2] Code, Cars, and Congress: A Time for Cyber Supply Chain Management". Retrieved 2015-06-12.
  4. ^ "Code, Cars, and Congress: A Time for Cyber Supply Chain Management". Retrieved 2015-06-12.
  5. ^ "Software Bill of Materials improves Intellectual Property management". Embedded Computing Design. Retrieved 2015-06-12.
  6. ^ "Using Excel for Bill of Materials (BOM) Management". Retrieved 2018-08-02.
  7. ^ "Appropriate Software Security Control Types for Third Party Service and Product Providers" (PDF). Docs.ismgcorp.com. Retrieved 2015-06-12.
  8. ^ "Top 10 2013-A9-Using Components with Known Vulnerabilities". Retrieved 2015-06-12.
  9. ^ "Cyber-security risks in the supply chain" (PDF). Cert.gov.uk. Retrieved 2020-07-28.
  10. ^ "H.R.5793 - 113th Congress (2013-2014): Cyber Supply Chain Management and Transparency Act of 2014 - Congress.gov - Library of Congress". 4 December 2014. Retrieved 2015-06-12.
  11. ^ "Internet of Things Cybersecurity Improvement Act of 2017" (PDF). Retrieved 2020-02-26.
  12. ^ "Cybersecurity Improvement Act of 2017: The Ghost of Congress Past". 17 August 2017. Retrieved 2020-02-26.
  13. ^ "Executive Order on Improving the Nation's Cybersecurity". The White House. 2021-05-12. Retrieved 2021-06-12.
  14. ^ "The Minimum Elements For a Software Bill of Materials (SBOM)". NTIA.gov. 2021-07-12. Retrieved 2021-12-12.
  15. ^ "NTIA Releases Minimum Elements for a Software Bill of Materials". NTIA.gov. 2021-07-12. Retrieved 2022-03-22.