소프트웨어 자재 명세서 탐색

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 02월 26일
  • 읽기5분

    • 인스턴스에 업로드하는 (SBOM) 파일에서 조직의 애플리케이션에 소프트웨어 자재 명세서 사용되는 구성요소를 식별합니다. 오픈 소스 소프트웨어 사용과 관련된 위험을 파악하여 잠재적 노출을 확인하고, 라이센스 준수를 확인하고, 취약성을 수정합니다.

    소프트웨어 자재 명세서 개요

    타사 및 오픈 소스 구성요소는 소프트웨어 프로젝트를 신속하게 작성하고 릴리스할 수 있도록 여러 가지 이점을 제공합니다. 그러나 다음과 같이 공개적으로 액세스할 수 있는 구성 요소를 사용하는 것과 관련된 위험이 있는 경우도 있습니다.

    • 구성요소 무결성에 대한 가시성 부족
    • 오픈 소스 소프트웨어의 취약성
    • 오픈 소스 소프트웨어용 패키지 인텔리전스
    • 규정 미준수 소프트웨어 라이센스

    API를 통해 또는 수동으로 소프트웨어 BOM 파일을 업로드할 수 있습니다. 엔터티로 임포트한 파일을 봅니다. 이 파일은 소프트웨어에서 사용되는 타사 구성요소 라이브러리의 인벤토리이며 여기에는 전이적 종속성 및 사용 가능한 라이선싱 정보가 포함됩니다.

    CycloneDX 및 SPDX SBOM의 소프트웨어 인벤토리에 포함된 내용에 대한 자세한 내용은 CycloneDX - 소프트웨어 자재 명세서(SBOM)SPDX를 참조하세요.

    소프트웨어 자재 명세서 사용자

    표 1. 사용자
    사용자 설명
    취약성 관리자 및 분석가 업로드된 소프트웨어 자재 명세서 파일을 기록, 데이터 시각화, (SBOM) 작업 공간에서 향상된 취약성 인텔리전스로 볼 수 있습니다 소프트웨어 자재 명세서 .

    취약성 관리자와 분석가는 이 정보를 사용하여 소프트웨어 라이선싱 준수 및 오픈 소스 소프트웨어 사용으로 인한 잠재적 위험 노출을 확인하는 데 도움을 줍니다.
    다음을 포함할 수 있지만 이에 국한되지 않는 사용자:
    • 기술 또는 소프트웨어 변호사
    • IT 관리자
    • 감사자
    • 소프트웨어 자산 관리자 및 팀
    		 업로드된 SBOM 파일의 구성요소에 대해 업로드된 독점 및 오픈 소스 소프트웨어 라이센스를 봅니다.

    구성요소에 대한 독점 및 오픈 소스 소프트웨어 라이센스의 데이터베이스를 구축합니다.

    내부 또는 규제 정책에 따라 누락된 정보가 있는 라이센스를 검토하고 분류합니다.

    구성요소를 라이센스와 매칭하고 전반적인 라이센스 준수를 파악하여 금지, 제한 또는 누락된 라이센스에 대한 잠재적 위험 노출을 확인합니다.

    소프트웨어 자재 명세서 워크플로우

    SBOM 애플리케이션을 사용하면 소프트웨어 자재 명세서(SBOM) 작업 공간에서 엔터티, 구성 요소 인벤토리, 취약성 및 소프트웨어 라이선스 정보에 대한 파일을 업로드하고 세부 정보를 볼 수 있습니다.

    • API를 사용하거나 수동으로 파일을 업로드합니다 SBOM .
    • 작업 공간에서 업로드한 파일의 구성요소 SBOMSBOM 검토합니다.
    • 업로드된 SBOM 파일에서 구성요소 라이센스 정보를 검토하고 분류하여 제한되거나 금지된 라이센스에 대한 노출을 식별하는 데 도움이 됩니다.
    • 위험 노출을 평가하고 연관된 취약성이 있는 구성요소에 대한 취약한 항목을 생성합니다.
    • 작업 공간의 홈페이지에서 보고서와 대시보드뿐 아니라 업로드된 SBOM 구성요소에 대한 전반적인 라이센스 준수도 볼 수 SBOM 있습니다.

    소프트웨어 자재 명세서 이점

    다음과 같은 세 가지 소프트웨어 자재 명세서 애플리케이션을 사용하여 소프트웨어 구성요소 및 관련 위험의 정확한 인벤토리를 볼 수 있습니다.
    • 에 대한 데이터 모델 SBOM
    • SBOM Core
    • SBOM 응답

    호환성 정보는 KB0856498 취약성 대응 호환성 매트릭스 및 릴리스 스키마 변경을 참조하십시오.

    표 2. SBOM 이점
    혜택 애플리케이션 지원되는 버전
    이 애플리케이션은 데이터를 저장하는 SBOM 데 사용되는 테이블을 제공합니다. 이 애플리케이션은 필수입니다. 여기에는 데이터를 읽는 SBOM 데 필요한 테이블, ACL 및 역할이 포함됩니다. 에 대한 데이터 모델 SBOM v4.0, v3.0, v2.0
    이 애플리케이션은 필수입니다. 여기에는 문서를 업로드 SBOM 하는 데 필요한 API와 해당 문서의 데이터를 구문 분석하고 인스턴스로 임포트하는 데 필요한 비즈니스 논리가 포함됩니다. 작업 공간에서 소프트웨어 구성요소의 인벤토리를 볼 수 SBOM 있지만 방문 페이지에서 데이터 시각화를 볼 수는 없습니다.

    CycloneDX 및 SPDX 표준으로 소프트웨어 BOM 파일을 업로드, 구문 분석 및 처리합니다. 이러한 제품에 지원되는 파일 형식 및 버전에 대해서는 지원되는 버전 열을 참조하십시오. BOM(자재 명세서) 엔터티 및 소프트웨어 구성요소의 인벤토리를 봅니다. BOM 엔터티는 SBOM 파일의 루트 수준 구성요소입니다. 예를 들어 메타데이터에 CycloneDX SBOM나열된 구성 요소는 BOM 엔터티로 간주됩니다.

    		 SBOM Core

    v6.0, v5.0, v4.0

    버전 4.0 SBOM 부터 Core는 다음을 지원합니다.

    • CycloneDX의 XML 및 JSON 버전 1.0에서 1.6까지.
    • SPDX의 JSON 버전 2.2에서 2.3까지.
    • SBOMSBOM 작업 공간의 방문 페이지에서 기능 및 데이터 시각화에 액세스하려면 응답이 필요합니다.
    • SBOM 응답하려면 취약성 대응 애플리케이션이 필요합니다.
    • 구성요소 인벤토리를 보고 작업 공간에서의 위험 노출을 SBOM 평가합니다. 애플리케이션 취약 항목(AVIT)을 자동으로 생성하고 워크플로우를 애플리케이션 취약성 대응 통해 정정하는 규칙을 설정합니다.
    • 라이센스 관리 모듈에서 파일과 함께 SBOM 업로드되는 구성요소 라이센스 정보를 봅니다. 파일에 업로드 애플리케이션 취약성 대응 하는 구성요소를 분류하고 해결(일치)하여 전반적인 라이센스 준수 상태를 확인할 수 있습니다.
    • 응답 버전 4.0 애플리케이션 취약성 대응 부터 작업 공간에서 사용할 수 있는 PaCE(Policy as Code Engine) 인터페이스에서 부실하거나 '미준수'로 중단된 구성요소를 SBOM 볼 수 있습니다.

    • OSV.dev 및 Deps.dev 통합은 Response를 설치할 SBOM 때 포함됩니다.

      • OSV.dev 는 패키지 또는 라이브러리의 특정 버전에 대한 취약성 인텔리전스 정보를 제공하는 오픈 소스 API입니다.
      • Deps.dev 는 지정된 패키지 또는 라이브러리에 대한 버전 목록을 제공하고 부실중단됨 상태에 있는 구성 요소를 식별하는 오픈 소스 API입니다.

      자세한 내용은 용 Deps.dev, OSV.dev 및 PaCE 통합 구성 소프트웨어 자재 명세서 문서를 참조하십시오.

      PaCE 및 PaCE 정책에 대한 자세한 내용은 을 참조하십시오 Integrating PaCE with other applications .

    		 SBOM 응답 v6.0, v5.0, v4.0
    지속적 통합과 지속적 배포 개발 주기 동안 소프트웨어에 대한 파일을SBOM 생성하고 (소프트웨어 자재 명세서)합니다. SBOM 응답
    • 데이터 SBOM모델 : v1.4 이상.
    • SBOM Core: v3.0 이상.
    • SBOM 응답: v4.0 이상.

    다음으로 살펴볼 내용

    소프트웨어 자재 명세서 구성 및 사용에 대한 자세한 내용은 다음을 참조하십시오.