ITPE * JackerLab

개요CycloneDX는 OWASP(Open Web Application Security Project)에서 개발한 SBOM(Software Bill of Materials) 표준 포맷 중 하나로, 소프트웨어의 구성요소, 라이브러리, 종속성, 보안 취약점 등의 정보를 체계적으로 표현하기 위한 경량화된 메타데이터 스펙입니다. SBOM을 통해 조직은 소프트웨어 공급망(Supply Chain) 전반의 투명성과 보안성을 확보할 수 있습니다.1. 개념 및 정의항목내용비고정의소프트웨어 구성요소 및 종속성을 명세하는 경량 SBOM 표준 포맷OWASP 주도 프로젝트목적소프트웨어 공급망 내 보안 취약점, 라이선스 위험, 변경 이력 추적보안 가시성 확보필요성오픈소스 및 서드파티 구성요소 증가로 인한 공급망 공격 대응글로벌 ..

개요CSAF 2.0(Common Security Advisory Framework)은 보안 취약점에 대한 정보를 구조화된 방식으로 전달하기 위한 국제 표준 포맷입니다. OASIS(Open Standards for the Information Society)에서 정의한 이 포맷은 JSON 기반이며, 자동화된 보안 대응과 취약점 공유를 위해 설계되었습니다. 소프트웨어 공급망, 제품 보안 팀, 보안 솔루션 벤더 등 다양한 보안 이해관계자 간의 원활한 협력을 지원합니다.1. 개념 및 정의 항목 내용 비고 정의취약점 관련 정보를 기계 판독 가능하게 제공하는 JSON 기반 보안 권고문 표준OASIS 표준 (2022년 승인)목적보안 취약점 정보를 일관되고 자동화된 방식으로 배포CVE, VEX와 연계 가능필요성복잡..

개요SBOM VEX Automation은 소프트웨어 공급망의 보안 취약점을 자동으로 식별하고, 해당 취약점이 실제로 제품에 영향을 미치는지를 VEX(Vulnerability Exploitability eXchange)를 통해 판별·자동화함으로써, SBOM(Software Bill of Materials)의 실효성과 대응 속도를 높이는 전략이다. 공급망 보안, DevSecOps, 취약점 리스크 관리에 있어 필수적인 자동화 컴포넌트로 부상하고 있다.1. 개념 및 정의SBOM VEX Automation은 SBOM 내 포함된 모든 구성 요소에 대해 발견된 취약점 정보를 수집하고, 각 취약점이 실제 악용 가능한지 여부를 자동 판단하여 VEX 문서로 생성 및 업데이트하는 일련의 자동화된 보안 프로세스이다.목적: 불..

개요VEX(Vulnerability Exploitability eXchange)는 소프트웨어 구성 요소(SBOM, Software Bill of Materials) 내 발견된 취약점(Vulnerability)에 대한 실제 악용 가능성(Exploitability) 여부를 명확히 전달하기 위해 개발된 표준 포맷입니다. 단순히 취약점 존재를 알리는 것에 그치지 않고, 취약점이 현재 환경에서 실제로 영향을 미치는지를 판단할 수 있도록 정보를 제공합니다. VEX는 SBOM+VEX 조합을 통해 **공급망 보안(Supply Chain Security)**을 강화하는 데 핵심 역할을 합니다.1. 개념 및 정의 항목 설명 정의소프트웨어 내 특정 취약점에 대한 악용 가능성 여부 및 상태를 명시하는 보안 데이터 교환 포맷..