[디지털데일리 이종현기자] 오픈소스 기업 OSBC는 소프트웨어 자재명세서(SBOM) 및 ISO 5230 인증 컨설팅 사업을 본격화한다고 26일 밝혔다.
SBOM은 소프트웨어(SW)를 구성하는 다양한 정보와 상세 내역에 대한 목록이다.
OSBC에 따르면 SBOM을 통해 벤더는 고객에게 공급하는 SW의 구성 요소가 최신인지 확인하고, 새 취약점에 신속하게 대응하면서 지속적으로 안전한 SW를 개발, 공급할 수 있다. 또 고객은 사용하는 SW의 구성 요소들에 대한 정보 공유를 통해 저작권 등에 문제가 없고, 취약점이 없는 안전한 SW어 사용과 새롭게 발견되는 취약점 등에 신속히 대처할 수 있다.
작년 미국에서는 국가 사이버보안 개선을 위한 행정 명령을 공표하면서 모든 SW의 공급망 관리를 위한 SBOM을 의무화 했다. 국내에서도 SBOM 관리에 대한 중요성이 증가하는 중인데, OSBC는 ▲포스아이디(FossID) ▲스닉(Snyk) ▲클래리티(Clarity) 등 3개 툴을 제공한다.
OSBC는 고객사의 공급망 환경과 비즈니스 모델 분석을 통해 SBOM 관리 범위를 정의하고, 관리 속성을 도출하는 등 SBOM 컨설팅을 제공한다.
또 OSBC는 ISO/IEC 5230 오픈소스 국제 인증 획득 지원 컨설팅도 본격화한다. ISO/IEC 5230은 오픈소스가 포함된 SW의 공급망 관리를 위해 리눅스 재단의 오픈체인 프로젝트에서 만든 규격이다. 2020년 국제 표준으로 인증됐다.
ISO 5230에서는 ▲프로그램 설립 ▲관련 업무 정의 및 지원 ▲오픈소스 콘텐츠 검토 및 승인 ▲컴플라이언스 산출물 생성 및 전달 ▲오픈소스 커뮤니티 참여에 대한 이해 ▲규격 요구사항 준수 등 6개 요구사항과 36개 세부 요구사항에 대한 관리 이유와 입증 자료를 제시하고 있다.
OSBC는 ISO 5230 규격에서 요구하는 오픈소스 사용, 관리 정책 및 절차 수립, 각종 산출물 실무 양식 정의 등 인증을 위한 실무 가이드를 제공한다.