소프트웨어 자재 명세서
(SBOM, Software Bill of Materials)
CRA의 요구사항 중 하나는 SBOM(Software Bill of Materials), 즉 소프트웨어 자재 명세서를 일반적으로 사용되는 양식 및 기계 판독이 가능한 형식으로 작성하는 것입니다. 이 SBOM에는 최소한 각 제품의 최상위 수준의 의존성이 포함되어 있어야 합니다.
SBOM을 정확한 방식으로 직접 제작하는 것에는 오랜 시간이 걸리기 때문에, 자동화가 필수적입니다.
EU CRA 근거 조항
부속서 1, 제2편 제1조
디지털 요소가 포함된 제품(PDE)의 제조자는 제품의 취약점과 구성요소를 식별하고 문서화해야 하며, 이를 위해 SBOM을 작성해야 합니다. 이 명세서는 일반적으로 사용되는 양식 및 기계가 읽을 수 있는 형식이어야 하며, 최소한 제품의 최상위 수준의 의존성을 포함하고 있어야 합니다.
OWASP SAMM 참조
소프트웨어 보안 성숙도 모델
소프트웨어 보안 성숙도 모델(SAMM, The Software Assurance Maturity Model)은 기업이 자사 소프트웨어의 보안 관행을 분석할 수 있도록 돕는 오픈 프레임워크입니다. SAMM을 구현하면 대상 제품 환경 전반에서 사용되는 모든 의존성을 기록으로 관리해야 합니다. 여기에는 각 애플리케이션에 대한 SBOM을 생성하는 것도 포함됩니다.
SAMM에 대해 자세히 알아보기Qt Framework Highlights
SBOM 자동 생성
Qt 6.8.0 이상에서는 빌드 과정에서 SBOM을 자동으로 생성할 수 있습니다. 이렇게 생성된 SBOM은 취약점 탐지, 라이선스 규정 준수 여부 확인, 파일 무결성 검사, 저작권 관리 등에 활용될 수 있습니다.
Qt SBOM의 구성 기반
SBOM에는 다양한 유형과 형식이 있지만, Qt는 그중에서도 빌드 SBOM을 사용합니다. 빌드 SBOM은 소스 파일, 의존성 정보, 빌드 구성 요소, 휘발성 빌드 데이터, 그리고 기타 SBOM들을 기반으로 합니다.
SPDX v2.3 형식으로 제공되는 SBOM
Qt는 각 Qt 프레임워크 git 저장소(repository)별로 SPDX v2.3 형식의 SBOM 문서를 제공합니다. 문서는 tag:value 형식과 JSON 형식 두 가지로 제공되며, 온라인 설치 관리자를 사용할 경우 SBOM은 자동으로 전용 디렉토리(directory)에 저장됩니다.
Qt Group의 향후 계획
QQUL용 SBOM 생성 (Qt for MCUs)
Axivion용 SBOM 생성
Squish용 SBOM 생성
Coco용 SBOM 생성
SBOM 관련 다른 게시글 보기
* 이 페이지 및 웹사이트에 포함된 정보는 정보 제공 및 주제 논의 목적으로만 제공되며, 법률 자문으로 간주될 수 없습니다. 이 페이지의 콘텐츠는 변경될 수 있으며, Qt Group은 이 페이지에 포함된 내용의 정확성 또는 최신성을 보증하지 않습니다. 또한 이 페이지와 연결된 외부 웹사이트의 내용이나 운영에 대해 책임을 지지 않습니다. 이 페이지에 포함된 정보는 법률 자문의 대체물로 사용되어서는 안 됩니다.