구글, “취약점이 소프트웨어 물자의 이름을 불러 주었을 때 꽃이 된다”

http://m.boannews.com/html/detail.html?idx=107528

구글, “취약점이 소프트웨어 물자의 이름을 불러 주었을 때 꽃이 된다”

SBOM(Software Bills of Materials) 소프트웨어 재료표

소프트웨어 공급망을 보호하려는 미국 여러 기관들의 움직임에 힘이 실리고 있다. 하지만 구글이 여기에 한 마디를 보탰다. 소프트웨어 물자표만으로는 큰 소용이 없다는 것이다. 취약점 정보와 연결되어야 비로소 의미가 생긴다는 게 그들의 주장이다.

구글의 오픈소스보안팀(Open Source Security Team)이 오늘 블로그를 통해 “SBOM만 사용해서는 원하는 효과를 거두기 힘들다”고 주장하고 나섰다. 정확히는 특정 소프트웨어가 위험에 얼마나 노출되어 있는지 확인하기 위한 도구로서 SBOM은 그렇게 강력하지 못하다는 내용이다. SBOM의 정보와 더불어 취약점 데이터베이스와의 비교 분석 자료가 함께 있어야 한다. 이 두 가지 정보를 비교하고 연결함으로써 소비자들은 소프트웨어 안에 정확히 어떤 것이 내포되어 있는지를 알 수 있게 됩니다. 구성 요소들만이 아니라 취약한 요소들, 그리고 관련된 위험성까지 모두를 말이죠. 또한 이를 바탕으로 소프트웨어를 구매해도 되는지, 구매해서 고쳐 쓸 만한지도 전부 판단할 수 있게 됩니다.”
구글은 “소프트웨어 구성 요소들과 공개된 취약점 정보를 연결시켜주는 작업이야 말로 SBOM을 도입하는 궁극적 목적을 달성하게 되는 길”임을 강조했다.
3줄 요약
1. 구글의 오픈소스 보안 전문가들, 소프트웨어 물자표 제도에 대해 한 마디 던짐.
2. 물자표를 공유하는 것 자체는 좋은 생각이나, 물자표만 가지고는 큰 도움이 될 수 없다고 주장.
3. 물자표를 취약점 정보와 연결시켜야 소프트웨어 공급망을 보다 효과적으로 보호할 수 있음.