미국 IT 매체 지디넷에 따르면, 소프트웨어 공급 체인 보안 기업인 코드노토리(Codenotary)가 소프트웨어 자재 명세서 오퍼레이터(SBOM Operator)를 오픈소스 커뮤니티인 아테스테이션 서비스(Attestation Service)와 트러스트센터(Trustcenter)에서 배포한다.
SBOM은 컨테이너화된 애플리케이션 자동 구축 및 스케일링 기능을 제공하는 관리 시스템인 쿠버네티스(Kubernetes)를 지원하고자 출시되었다.
SBOM은 소프트웨어 개발에 이용된 각 요소 간의 공급 체인 관계와 상세 정보를 담은 기록이다. 현재 개발되는 대다수 프로그램이 기존의 오픈소스 및 기업용 소프트웨어 요소를 적절히 배치하여 구성된 만큼 각 요소의 이름과 버전 정보를 파악하는 것은 매우 중요하다.
예를 들어, 아파치 로그4j2 버전 2.17.0(Apache Log4j2 versions 2.17.0)을 이용하는 프로그램은 로그포쉘(Log4Shell) 공격에 취약하다. 반면, 2.17.1 이상의 버전을 이용한다면, 안전하다.’
이제 코드노토리의 서비스를 이용하면 한 번에 모든 잠재적 취약점을 파악할 수 있다.
SBOM 오퍼레이터는 쿠버네티스로 실행되는 모든 소프트웨어와 소프트웨어 종속성을 트래킹하여 소프트웨어 공급 체인 공격의 리스크를 줄인다. SBOM은 실행되는 컨테이너 이미지에 대한 SBOM을 생성하고 모든 빌드와 종속성에 대하여 최신 현황을 관리한다. SBOM 오퍼레이터는 자체 SBOM 생성기를 이용하여 SBOM을 생성한다. 새로운 취약점이 발생하여 취약한 아티팩트가 감지되면 경고를 통하여 수정이 필요하다고 알려준다.
코드노토리는 SBOM 기록을 꾸준히 업데이트하며, 관련 데이터를 오픈소스 데이터베이스인 이뮤DB(ImmuDB)에 저장하여 시스템을 유지한다. 이뮤DB는 감사 가능한 제로 트러스트 변조 방지 데이터베이스로 컨테이너 이미지 파일들은 깃 저장소에 보관된다.
저장된 데이터는 언제든 검색 가능하여 코드 내의 임의의 소프트웨어 아티팩트를 몇 초 안에 찾을 수 있다. 또한 이미지 콘텐츠의 변화 추이도 기록된다.
코드노토리의 공동 창업자이자 CTO인 데니스 짐머(Dennis Zimmer)는 “기존의 정보는 새로 업데이트될 때마다 가치를 잃기 때문에 지속적으로 업데이트되지 않는 SBOM은 사실상 쓸모가 없다. 우리의 시스템을 통하여 사용자들은 컨테이너에서 정확히 무엇이 실행되고 있으며, 어떤 최신 정보를 담고 있는지 파악할 수 있어 수정이 필요하면 즉각 처리할 수 있다”라고 말했다.
SBOM 오퍼레이터 수석 개발자 크리스찬 코츠바우어(Christian Kotzbauer)는 “금번 SBOM 오퍼레이터 쿠버네티스 지원 프로젝트에 참여하게 되어 기쁘다. 추가된 보안 기능과 시간 표시 및 검색 기능은 이번 확장의 핵심 요소이다”라고 설명했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
