본문 바로가기

Home > 열린마당 > 공개SW 소식

공개SW 소식

2021.07.29.
ⓒCIO Korea / Jon Gold | Network World

 

바이든 행정부가 지난 5월 행정 명령을 통해 소프트웨어 재료명세서(SBOM)의 위상을 격상했다. 연방정부와 사업 계약을 맺은 기업이라면 SBOM 제출을 의무화하도록 한 것이다. 이를 계기로 기업들도 소프트웨어 공급사로부터 좀더 높은 투명성을 기대해볼 수 있게 될 전망이다. 

SBOM은 소프트웨어 재료명세서(BOM ; Bill of Material)의 약칭이다. BOM은 제조 부문에서 유래된 개념으로, 특정 장치의 제작에 사용된 구성요소와 재료를 낱낱이 파악하는 데 중요한 역할을 한다. 

가령, 기차의 엔진에 사용된 부품이 일정 수준의 진동에 적합한 등급을 못한 경우, 특정 선로를 달리기가 부적합할 수 있다. BOM은 이 같은 상황에서 진가를 발휘하며 SBOM 또한 마찬가지다. SBOM을 통해 특정 소프트웨어에 사용된 전용, 오픈소스 그리고 라이선스 요소에 만료되거나 불안정한 요소가 없는지 검토할 수 있다. 

IDC의 리서치 디렉터 짐 머서는 "SBOM 같은 명세서는 '현재적인 요소'뿐만 아니라 '미래적인 요소'도 보여준다는 장점이 있다”라며 “SBOM을 통해 (소프트웨어의) 현재 구성요소를 파악할 수 있는 것은 물론, 각종 리스크를 피할 수 있다. 가령, 해묵은 오픈소스 소프트웨어를 사용 중인지 여부를 알 수 있다”라고 말했다. 

표준 SBOM 포맷이 등장하면 일부  분야(네트워킹 등)에서 특히 유용할 수 있다. 기존의 지적 자산을 많이 활용하는 여러 스택이 얽혀 있는  영역이다. 최근 일어난 몇몇 악명 높은 보안 침해 사건들은 리플20(Ripple20)과 하트블리드(Heartbleed) 등 흔히 사용되는 소프트웨어 구성요소의 보안 결함에서 비롯됐다. 

451 리서치의 정보보안 리서치 디렉터인 스콧 크로포드는 SPDX, 사이클론DX(CycloneDX) 및 SWID태그(SWIDtags) 등 일부 표준 데이터 포맷들이 SBOM과 같은 형식으로 정보를 표시한다고 전했다. 다만 각 포맷의 역할과 목적은 조금씩 다르다는 설명이다. 

예를 들어, SPDX는 리눅스 재단의 작업 그룹이 관리하는 범용 SBOM 포맷이며, 사이클론DX는 오픈소스 웹 애플리케이션 보안 프로젝트(OWASP)가 개발한 것이다. 후자의 경우 대체로 애플리케이션의 보안 이슈에 초점을 맞추고 있다.

크로포드는 바이든 행정부가 해결하고자 하는 문제 중 하나가 바로 이 같은 SBOM 포맷의 상이함이라고 전했다.

그는 "'알고 있지만 확실치 않은 것'(known unknown)이 식별될 수 있도록 SBOM에 분명하게 표시할 것을 바이든 행정부가 명령했다”라며 "이론적으로는 이를 통해 조립형 소프트웨어의 전체 구성요소를 추적할 수 있다. 하지만 현실적으로 일부 종속성은 식별하기가 어려울 것이다. 충분히 가시화하기 힘든 바이너리가 있을 수 있다"라고 말했다. 

보안 업계 일각에서는 새 포맷을 만드는 대신 SPDX를 기성 표준으로 간주하자는 입장이다. 리눅스 재단은 이런 견해를 환영한다. 가트너의 수석 리서치 디렉터인 데일 가드너는 리눅스 재단 외에도 SPDX를 받아들인 기관이 많다고 설명했다. 단 미 국립표준기술원(NST)은 다소 다른 입장이다.

(후략)

 

[원문 기사 : https://www.ciokorea.com/news/203049 ]

 

※ 본 내용은 한국아이디지(주) (https://www.idg.co.kr/)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒ 2020 International Data Group. 무단전재 및 재배포 금지. 

공개SW 소식 - 번호, 제목, 조회수, 작성
번호 제목 조회수 작성
공지 [Open UP 활용가이드] 공개SW 활용 및 개발, 창업, 교육 "Open UP을 활용하세요" 365478 2020-10-27
공지 [Open UP 소개] 공개SW 개발·공유·활용 원스톱 지원 Open UP이 함께합니다 355265 2020-10-27
9500 ‘오픈소스’, 미래 SW산업 생태계를 바꾸다 4623 2021-07-29
9499 낱낱이 SW 요소 공개하라··· 美 정부의 'SBOM 의무화'가 미칠 영향 4829 2021-07-29
9498 깃허브, ‘개발자 권리 펠로우십’ 발표··· DMCA 분쟁 해결 지원 4047 2021-07-28
9497 [주간 OSS 동향 리포트] 공공 '클라우드 전면전환' 시동.. '국산·공개소프트웨어' 활성화 이끈다 4507 2021-07-27
9496 MS, 타입스크립트 4.4 베타 출시··· “성능 개선 및 제어 흐름 분석 지원" 4815 2021-07-27
9495 데이터 과학을 위해 '더 개선된' 최신 필수 파이썬 툴 6가지 4874 2021-07-27
9494 공공 '클라우드 전면전환' 시동…'국산·공개 SW' 활성화 이끈다 4601 2021-07-26
9493 [FTA 시대 훌쩍 넘는 농업의 '제3인류'-에필로그] "틱톡·넷플릭스·아마존 알고리듬처럼" 초개인화(Hyper-Personalization)로 진화하고 있는 농업 4705 2021-07-26
9492 인공지능이 생물학‧의학에 혁신적인 비전 제시!... 딥마인드 AI '알파폴드' 인간 단백질 2만개, 3D 구조 등 예측하고 가장 완벽한 데이터베이스 공개 5075 2021-07-26
9491 리눅스 커널에서 7년 동안 아무도 몰랐던 취약점 2개 발견돼 4609 2021-07-26
맨 위로
맨 위로