Software Bill of Delivery (SBOD)

개요

Software Bill of Delivery(SBOD)는 소프트웨어가 고객 환경에 전달될 때 포함되어야 할 구성 요소, 배포 단위, 보안 메타데이터, 인증 정보 등을 명세화한 문서 혹은 API 포맷이다. 기존의 Software Bill of Materials(SBOM)가 개발자 중심의 구성 요소 명세라면, SBOD는 배포 시점의 신뢰성과 실행 가능성을 확보하는 운영 중심의 전달 명세이다.

---

1. 개념 및 정의

항목	설명
정의	소프트웨어 릴리스/배포 단위에 포함된 컴포넌트, 보안 상태, 검증 절차 등을 명시한 전달 사양서
목적	배포물의 정합성, 무결성, 보안 상태를 수신자 측에서 자동으로 검증할 수 있도록 지원
필요성	공급망 보안(Supply Chain Security), CI/CD 신뢰성, 규제 대응 요구 증가

---

2. 특징

특징	설명	기존 SBOM과 차이점
배포 단위 중심	컨테이너, 패키지, 실행 파일 단위로 구성	SBOM은 소스코드/라이브러리 중심
실행 가능성 포함	빌드 SHA, 실행환경 조건, 실행 스크립트 명세 포함	SBOM은 정적 정보에 국한됨
자동 검증 대상	서명, 해시, CVE 상태 등을 머신 판독 가능 형태로 제공	운영 자동화 시스템과 직접 연동 가능

SBOD는 ‘무엇을’ 넘어서 ‘어떻게 전달되었는가’를 명확히 한다.

---

3. 구성 요소

구성 요소	설명	역할
Delivery Metadata	패키지명, 버전, 배포 시점, 빌드 ID 등	배포 정보의 식별자 역할
Binary Hash & Signature	실행 파일의 무결성 및 서명 정보	위·변조 여부 검증 가능
Deployment Context	의존 환경, 배포 위치, 설정값 등 실행 조건 명세	재현성 및 구성 자동화 보장
Security Posture Report	취약점(CVE), 라이선스 상태, SBOM 링크	보안/규제 컴플라이언스 대응

구성요소는 ‘누가, 언제, 무엇을, 어떻게 배포했는가’를 입증할 수 있게 한다.

---

4. 기술 요소

기술 요소	설명	연관 기술
Sigstore 기반 서명	배포물에 대한 투명한 서명 체계 제공	cosign, Fulcio, Rekor 연계
SPDX + CycloneDX 확장	기존 SBOM 표준과의 호환 유지	라이선스·보안 정보 연계 가능
GitOps 연계	Git 커밋 기반 배포 검증 및 트레이싱	ArgoCD, Flux, Tekton 등과 통합 가능
API 기반 전달 명세	JSON 또는 YAML로 구조화	CI/CD, 보안 스캐너와 API 연동 가능

SBOD는 SBOM의 실행 지향 확장형으로 볼 수 있다.

---

5. 장점 및 이점

장점	설명	기대 효과
배포 신뢰성 확보	무결성과 실행 정합성 검증 자동화	운영 장애 및 위협 대응 속도 향상
공급망 보안 강화	전달 경로 및 컴포넌트 안전성 입증	제로트러스트 배포 가능
컴플라이언스 대응	규제기관 요청에 대한 전달 로그 제공	감사/리포트 자동화 용이

SBOD는 DevSecOps에서 중요한 역할을 수행한다.

---

6. 주요 활용 사례 및 고려사항

활용 사례	설명	고려사항
엔터프라이즈 SaaS 배포	다중 테넌트 환경에서 버전 및 정책 관리	각 고객의 실행환경 정의 필요
금융/공공기관 소프트웨어 납품	납품물에 대한 검증 가능한 인벤토리 제공	서명, 해시, 감사 로그 요구 충족 필요
오픈소스 소프트웨어 배포	릴리스 바이너리에 SBOD 포함	SBOM과 동기화 및 자동 생성 자동화 필요

도입 시 릴리스 파이프라인과 SBOD 생성 자동화를 함께 고려해야 한다.

---

7. 결론

Software Bill of Delivery는 신뢰 가능한 소프트웨어 배포를 위해 필수적인 전달 명세로, 운영 환경에 실제로 배포되는 소프트웨어가 무엇이며 어떤 방식으로 전송·검증되었는지를 표준화된 형태로 기술한다. SBOM의 정적 정보에 실행 가능성과 배포 맥락을 더한 SBOD는, 공급망 보안과 DevSecOps 시대의 핵심 인프라로 자리잡고 있다.