ITPE * JackerLab

개요Software Composition Analysis(SCA)는 애플리케이션 내에 포함된 오픈소스 소프트웨어의 보안 취약점, 라이선스 위험, 버전 관리 상태를 자동으로 분석하는 보안 기술입니다. SCA는 오픈소스 의존성이 늘어나면서 발생하는 공급망 보안 문제를 해결하기 위한 핵심적인 DevSecOps 접근 방식으로 자리 잡고 있습니다.1. 개념 및 정의SCA는 애플리케이션 빌드 시 사용된 오픈소스 구성 요소들을 식별하고, 해당 구성 요소들의 보안 취약점, 비호환 라이선스, 패치 미적용 상태 등을 분석합니다. 이를 통해 개발 초기 단계에서부터 보안 위협을 제거하고, 소프트웨어 라이프사이클 전반에 걸쳐 리스크를 최소화할 수 있습니다.SCA는 단순한 취약점 스캐너가 아니라, 라이선스 컴플라이언스와 컴포넌트..

개요공급망 공격(Supply Chain Attack)은 해커가 기업이나 조직의 직접적인 보안망이 아닌, 그 조직과 연결된 협력사, IT 솔루션, 개발 라이브러리, 서비스 공급자 등을 통해 침투하는 사이버 공격 방식입니다. 한 번의 침투로 다수의 하위 시스템을 감염시킬 수 있어, 그 피해 범위와 위협 강도가 매우 크며, 최근 SolarWinds, Kaseya, MOVEit 등 다양한 글로벌 사건으로 주목받고 있습니다.1. 개념 및 정의 항목 설명 정의공급망 내의 신뢰된 외부 파트너나 소프트웨어를 악용하여 본래의 타깃 조직에 침투하는 공격 방식대상소프트웨어 라이브러리, 개발자 도구, 제3자 API, 하드웨어 제조사, 물류업체 등목적감지 회피, 대규모 감염, 신뢰 체계 악용2. 주요 공격 방식방식설명사례소프..

개요SBOM(Software Bill of Materials)은 하나의 소프트웨어 제품이 어떤 오픈소스·서드파티 구성요소로 이루어져 있는지를 명확히 기술한 소프트웨어 구성 목록입니다. 최근 공급망 공격(Supply Chain Attack) 증가와 더불어, SBOM은 보안 및 컴플라이언스 관리를 위한 핵심 도구로 부상하고 있으며, **미국 정부의 보안 규정(NIST, EO 14028)**에서도 필수 요소로 언급되고 있습니다. 본 글에서는 SBOM의 개념, 보안 가치, 관리 방법 및 실무 적용 전략을 소개합니다.1. SBOM이란? 항목 설명 SBOM소프트웨어에 포함된 모든 구성 요소(라이브러리, 모듈, 종속성 등)를 기록한 BOM 형식의 문서구성 항목구성요소 이름, 버전, 공급자, 해시값, 라이선스 정보,..