소프트웨어 구성 요소 검출을 위한 제로샷 시맨틱 유사성 기반 SBOM 자동 생성

SBOM 생성 과정에서 소프트웨어 제품명과 버전 정보 외에도 다른 메타데이터를 활용할 수 있는 방법으로는 소프트웨어의 라이센스 정보, 제작자 정보, 사용된 라이브러리 및 의존성 정보, 빌드 환경 정보, 릴리즈 노트, 보안 패치 내역 등이 있습니다. 이러한 메타데이터는 소프트웨어의 구성 요소와 관련된 추가 정보를 제공하여 SBOM의 완전성과 유용성을 향상시킬 수 있습니다. 예를 들어, 라이센스 정보를 통해 소프트웨어의 사용 조건을 파악하고, 보안 패치 내역을 통해 취약점을 식별할 수 있습니다.

제안된 모델의 성능을 더욱 향상시키기 위해 버전 문자열의 구조적 특성을 활용하는 방법으로는 정형화된 버전 네이밍 규칙을 활용하는 것이 있습니다. 버전 문자열에는 종종 일정한 패턴이 존재하는데, 이를 활용하여 정규식이나 구조적 분석을 통해 버전 정보를 추출하고 해석할 수 있습니다. 또한, Semantic Versioning (SemVer)와 같은 표준 버전 관리 체계를 활용하여 버전 문자열을 의미 있는 부분으로 분해하고 이를 모델에 입력으로 제공함으로써 모델의 학습과 예측 성능을 향상시킬 수 있습니다.

SBOM 생성 자동화 기술의 발전으로 소프트웨어 공급망 보안에는 새로운 기회와 과제가 함께 발생할 수 있습니다. 새로운 기회로는 보다 효율적인 취약점 분석과 관리, 신속한 보안 업데이트 및 대응, 공급망 투명성 강화 등이 있습니다. 자동화된 SBOM 생성은 보안 전문가들이 취약점을 신속하게 식별하고 대응할 수 있는 기회를 제공합니다. 또한, 공급망의 투명성을 높여 제품의 신뢰성을 향상시키는 데 도움이 될 수 있습니다. 그러나 동시에, 이러한 기술 발전은 데이터 보호와 개인 정보 보호에 대한 새로운 과제를 도출할 수 있습니다. 민감한 소프트웨어 정보가 자동화된 시스템을 통해 수집되고 처리될 때, 데이터 누출, 해킹, 또는 악의적인 활용과 같은 위협에 노출될 수 있습니다. 따라서 보안 및 개인 정보 보호에 대한 강력한 대책이 필요하며, 이러한 측면을 고려한 안전한 자동화 기술이 발전해야 합니다.