현재 오픈소스 라이브러리를 활용한 소프트웨어 증가로 인해 소프트웨어 공급망에 대한 보안이 요구되는 실정이다. 소프트웨어 공급망은 소프트웨어 제품이 개발되고 배포되는 과정에서의 여러 단계와 구성요소를 포함하며, 전체적인 과정에서 다양한 위협에 노출될 수 있다. 해커들은 소프트웨어 취약점을 이용하여 악의적인 코드를 삽입하거나 공급망의 특정 단계를 통제하여 위조된 소프트웨어를 배포할 수 있다. 이로 인해 소프트웨어 공급망 보안이 중요한 이슈로 대두되고 있으며, 소프트웨어 공급망 보안에 대한 각국의 정책 및 지침이 제시되고 있다. 소프트웨어 공급망 보안의 해결책 중 하나인 SBOM은 소프트웨어 자재명세서로 소프트웨어에 대한 모든 정보들이 담겨있다. SBOM은 소프트웨어에 대한 가시성을 확보하고 취약성 및 위험을 이해하는 기반으로 사용되고 있다. 그러나 ...
현재 오픈소스 라이브러리를 활용한 소프트웨어 증가로 인해 소프트웨어 공급망에 대한 보안이 요구되는 실정이다. 소프트웨어 공급망은 소프트웨어 제품이 개발되고 배포되는 과정에서의 여러 단계와 구성요소를 포함하며, 전체적인 과정에서 다양한 위협에 노출될 수 있다. 해커들은 소프트웨어 취약점을 이용하여 악의적인 코드를 삽입하거나 공급망의 특정 단계를 통제하여 위조된 소프트웨어를 배포할 수 있다. 이로 인해 소프트웨어 공급망 보안이 중요한 이슈로 대두되고 있으며, 소프트웨어 공급망 보안에 대한 각국의 정책 및 지침이 제시되고 있다. 소프트웨어 공급망 보안의 해결책 중 하나인 SBOM은 소프트웨어 자재명세서로 소프트웨어에 대한 모든 정보들이 담겨있다. SBOM은 소프트웨어에 대한 가시성을 확보하고 취약성 및 위험을 이해하는 기반으로 사용되고 있다. 그러나 SW 개발사가 제공하는 SBOM과 사용자에게 제공되는 SBOM이 동일한 문서인지 확인하기 어렵기 때문에 SBOM의 무결성을 검증하는 데 한계가 있다. 본 논문에서는 SBOM의 무결성 확보를 위해 블록체인 기술의 특성인 무결성을 SBOM에 적용한다. 그러나 블록체인은 단순히 암호화폐 거래 내역만을 저장할 수 있어 데이터를 저장할 수 있는 스마트컨트랙트 블록체인을 활용하여 SBOM의 무결성을 확보하고자 한다. 본 논문을 통해 스마트컨트랙트를 이용하여 SBOM을 작성할 수 있는 SBOM 생성 프로그램에 대한 개발 방안을 제안하고자 한다. SBOM 생성 프로그램을 통해 SBOM이 작성될 시, SBOM은 스마트컨트랙트 블록체인 네트워크에 분산저장되기 때문에 위·변조가 불가능하여 무결성 확보가 가능하다. 기존 SW에 대한 해시값만 제공하는 게 아닌, SBOM 제공으로 SW 및 소프트웨어 공급망의 가시성이 확보되며, SBOM의 입력값 중 NTIA에서 제공하는 SBOM 최소구성요소의 권장사항인 컴포넌트 해시를 필수 입력값으로 적용해 SW에 사용된 오픈소스 컴포넌트들에 대한 무결성도 확보할 수 있다. SBOM의 무결성을 확보함으로써 사용자들은 더 안전한 소프트웨어를 이용할 수 있으며, 소프트웨어에 대한 사용자의 신뢰성이 향상될 수 있다.
현재 오픈소스 라이브러리를 활용한 소프트웨어 증가로 인해 소프트웨어 공급망에 대한 보안이 요구되는 실정이다. 소프트웨어 공급망은 소프트웨어 제품이 개발되고 배포되는 과정에서의 여러 단계와 구성요소를 포함하며, 전체적인 과정에서 다양한 위협에 노출될 수 있다. 해커들은 소프트웨어 취약점을 이용하여 악의적인 코드를 삽입하거나 공급망의 특정 단계를 통제하여 위조된 소프트웨어를 배포할 수 있다. 이로 인해 소프트웨어 공급망 보안이 중요한 이슈로 대두되고 있으며, 소프트웨어 공급망 보안에 대한 각국의 정책 및 지침이 제시되고 있다. 소프트웨어 공급망 보안의 해결책 중 하나인 SBOM은 소프트웨어 자재명세서로 소프트웨어에 대한 모든 정보들이 담겨있다. SBOM은 소프트웨어에 대한 가시성을 확보하고 취약성 및 위험을 이해하는 기반으로 사용되고 있다. 그러나 SW 개발사가 제공하는 SBOM과 사용자에게 제공되는 SBOM이 동일한 문서인지 확인하기 어렵기 때문에 SBOM의 무결성을 검증하는 데 한계가 있다. 본 논문에서는 SBOM의 무결성 확보를 위해 블록체인 기술의 특성인 무결성을 SBOM에 적용한다. 그러나 블록체인은 단순히 암호화폐 거래 내역만을 저장할 수 있어 데이터를 저장할 수 있는 스마트컨트랙트 블록체인을 활용하여 SBOM의 무결성을 확보하고자 한다. 본 논문을 통해 스마트컨트랙트를 이용하여 SBOM을 작성할 수 있는 SBOM 생성 프로그램에 대한 개발 방안을 제안하고자 한다. SBOM 생성 프로그램을 통해 SBOM이 작성될 시, SBOM은 스마트컨트랙트 블록체인 네트워크에 분산저장되기 때문에 위·변조가 불가능하여 무결성 확보가 가능하다. 기존 SW에 대한 해시값만 제공하는 게 아닌, SBOM 제공으로 SW 및 소프트웨어 공급망의 가시성이 확보되며, SBOM의 입력값 중 NTIA에서 제공하는 SBOM 최소구성요소의 권장사항인 컴포넌트 해시를 필수 입력값으로 적용해 SW에 사용된 오픈소스 컴포넌트들에 대한 무결성도 확보할 수 있다. SBOM의 무결성을 확보함으로써 사용자들은 더 안전한 소프트웨어를 이용할 수 있으며, 소프트웨어에 대한 사용자의 신뢰성이 향상될 수 있다.
Currently, security in the software supply chain is required due to the increase in software using open source libraries. The software supply chain includes several stages and components in the process of developing and distributing software products, and can be exposed to various threats throughout...
Currently, security in the software supply chain is required due to the increase in software using open source libraries. The software supply chain includes several stages and components in the process of developing and distributing software products, and can be exposed to various threats throughout the entire process. Hackers can exploit software vulnerabilities to inject malicious code or take control of specific steps in the supply chain to distribute counterfeit software. As a result, software supply chain security is emerging as an important issue, and policies and guidelines for software supply chain security are being proposed in each country. SBOM, one of the solutions to software supply chain security, is a software bill of materials and contains all information about software. SBOM is used as a basis for gaining visibility into software and understanding vulnerabilities and risks. However, there is a limit to verifying the integrity of the SBOM because it is difficult to check whether the SBOM provided by the SW developer and the SBOM provided to the user are the same document. In this paper, integrity, a characteristic of blockchain technology, is applied to SBOM to ensure the integrity of SBOM. However, since blockchain can simply store cryptocurrency transaction details, we aim to secure the integrity of SBOM by utilizing a smart contract blockchain that can store data. In this paper, we proposed a development plan for an SBOM creation program that can create SBOM using smart contracts. When an SBOM is created through the SBOM creation program, the SBOM is distributed and stored in the smart contract blockchain network, so forgery and alteration are impossible, ensuring integrity. Visibility of the SW and software supply chain is secured by providing SBOM, rather than only providing hash values for existing SW, and among SBOM input values, component hash, which is recommended for SBOM minimum components provided by NTIA, is applied as a required input value. The integrity of open source components used in SW can also be secured. By ensuring the integrity of SBOM, users can use more secure software, and user trust in the software is improved.
Currently, security in the software supply chain is required due to the increase in software using open source libraries. The software supply chain includes several stages and components in the process of developing and distributing software products, and can be exposed to various threats throughout the entire process. Hackers can exploit software vulnerabilities to inject malicious code or take control of specific steps in the supply chain to distribute counterfeit software. As a result, software supply chain security is emerging as an important issue, and policies and guidelines for software supply chain security are being proposed in each country. SBOM, one of the solutions to software supply chain security, is a software bill of materials and contains all information about software. SBOM is used as a basis for gaining visibility into software and understanding vulnerabilities and risks. However, there is a limit to verifying the integrity of the SBOM because it is difficult to check whether the SBOM provided by the SW developer and the SBOM provided to the user are the same document. In this paper, integrity, a characteristic of blockchain technology, is applied to SBOM to ensure the integrity of SBOM. However, since blockchain can simply store cryptocurrency transaction details, we aim to secure the integrity of SBOM by utilizing a smart contract blockchain that can store data. In this paper, we proposed a development plan for an SBOM creation program that can create SBOM using smart contracts. When an SBOM is created through the SBOM creation program, the SBOM is distributed and stored in the smart contract blockchain network, so forgery and alteration are impossible, ensuring integrity. Visibility of the SW and software supply chain is secured by providing SBOM, rather than only providing hash values for existing SW, and among SBOM input values, component hash, which is recommended for SBOM minimum components provided by NTIA, is applied as a required input value. The integrity of open source components used in SW can also be secured. By ensuring the integrity of SBOM, users can use more secure software, and user trust in the software is improved.
AI-Helper
※ AI-Helper는 부적절한 답변을 할 수 있습니다.