소프트웨어 자재 명세서 (SBOM)
소프트웨어 제품에 포함된 구성 요소, 라이브러리 및 모듈을 일반적으로 사용되는 기계가독형 형식으로 공식 기록한 문서. CRA 부속서 I 제II부에 따라 제조업체는 최소한 최상위 의존성을 포함하는 SBOM을 작성해야 한다.
출처 인용
법적 근거
규정(EU) 2024/2847 부속서 I 제II부 제1항(다)은 다음을 규정한다:
「(...) 일반적으로 사용되는 기계가독형 형식의 소프트웨어 재료 목록을 포함하여 취약점 식별을 위해 제품의 구성 요소를 특정하고 문서화할 것.」
최소 필수 콘텐츠
SBOM은 최소한 다음을 포함해야 한다:
- 최상위 의존성 (전체 의존성 트리가 아닌)
- 각 구성 요소의 명칭 및 버전
- 공급업체 및 라이선스 정보
- 알려진 취약점 (CVE/VEX 참조)
SBOM 형식
일반적인 기계가독형 형식:
- SPDX (Software Package Data Exchange) — ISO/IEC 5962
- CycloneDX — OWASP 표준
- SWID — ISO/IEC 19770-2
공개 의무
SBOM은 시장 감시 당국의 요청 시 제공해야 한다. 일반 공개는 CRA에서 요구하지 않으나 사이버보안 모범 사례로 권장된다.
취약점 관리에서의 활용
SBOM을 통해 제조업체는 새로운 CVE가 공개될 때 영향받는 구성 요소를 신속히 특정하여 적시에 패치를 제공할 수 있다.