ITPE * JackerLab

개요Dependency-Track는 소프트웨어 구성요소 목록(SBOM: Software Bill of Materials)을 기반으로 오픈소스 및 서드파티 컴포넌트의 취약점을 추적하고 분석하는 공급망 보안 플랫폼입니다. 소프트웨어 라이프사이클 전반에 걸쳐 구성요소의 보안 상태를 지속적으로 모니터링하여, 조직의 소프트웨어 보안 수준을 향상시킵니다.1. 개념 및 정의 항목 내용 정의SBOM을 기반으로 소프트웨어 구성요소의 보안 취약점을 추적하는 플랫폼목적오픈소스 및 서드파티 라이브러리의 위험 식별과 관리필요성공급망 공격 증가에 대응한 소프트웨어 컴포넌트 수준의 가시성 확보2. 주요 특징특징설명차별 요소SBOM 분석 자동화CycloneDX, SPDX 등 다양한 SBOM 포맷 지원DevOps 파이프라인 통합 용..

개요오픈소스 소프트웨어 사용이 급격히 증가하면서 라이선스 준수, 보안 취약점 관리, 소프트웨어 공급망 투명성이 중요한 과제가 되고 있습니다. 이러한 문제를 해결하기 위해 개발된 글로벌 표준이 바로 **SPDX(Software Package Data Exchange)**입니다. SPDX는 소프트웨어 구성 요소, 라이선스, 보안 취약점 정보를 표준화된 형식으로 교환할 수 있도록 지원하여, SBOM(Software Bill of Materials) 관리의 핵심 역할을 합니다.1. 개념 및 정의SPDX는 리눅스 재단(Linux Foundation) 주도로 개발된 소프트웨어 구성 요소 메타데이터 교환 표준입니다. 라이선스 정보, 보안 취약점, 패키지 버전 등을 기계가 이해할 수 있는 형태로 정의하여, 소프트웨어 ..

개요Software Composition Analysis(SCA)는 애플리케이션 내에 포함된 오픈소스 소프트웨어의 보안 취약점, 라이선스 위험, 버전 관리 상태를 자동으로 분석하는 보안 기술입니다. SCA는 오픈소스 의존성이 늘어나면서 발생하는 공급망 보안 문제를 해결하기 위한 핵심적인 DevSecOps 접근 방식으로 자리 잡고 있습니다.1. 개념 및 정의SCA는 애플리케이션 빌드 시 사용된 오픈소스 구성 요소들을 식별하고, 해당 구성 요소들의 보안 취약점, 비호환 라이선스, 패치 미적용 상태 등을 분석합니다. 이를 통해 개발 초기 단계에서부터 보안 위협을 제거하고, 소프트웨어 라이프사이클 전반에 걸쳐 리스크를 최소화할 수 있습니다.SCA는 단순한 취약점 스캐너가 아니라, 라이선스 컴플라이언스와 컴포넌트..