😉CBOM

SBOM을 이용한 취약점 식별 자동화 시스템
Automation System for Vulnerability Identification Using SBOM

프로젝트 소개

• CBOM은 SBOM을 이용하여 소프트웨어의 취약점을 식별하고 투명성을 검증할 수 있는 솔루션입니다.
• 취약점 식별 외에도 소프트웨어에 사용된 오픈소스와 라이선스를 확인할 수 있습니다.
• 대시보드를 통해 취약점 식별 결과를 한눈에 확인할 수 있습니다.
• 취약점 식별 결과와 SBOM 정보를 Report로 저장할 수 있습니다.

팀원 구성

강민식	김도현	최수호	최영훈
@MynameisMansik	@Dxhyeon	@S4nso	최영훈
Front-end Develop	Back-end Develop	Back-end Develop	Front-end Develop

1. 개발 환경

• OS : Ubuntu Server 20.04 LTS
• Front-end : Django, Bootstrap, Chart.js
• Back-end : Python, Django
• Database : MariaDB
• 협업 툴 : Notion, Discord, Github

2. SBOM

SBOM 이란?

SBOM(Software Bill Of Materials)은 소프트웨어의 구성 요소 및 종속성을 체계적으로 문서화한 목록입니다. 이 문서는 소프트웨어 제작에 사용된 모든 구성 요소와 그들간의 관계의 상세한 정보를 포함하며, 소프트웨어 보안 및 소프트웨어 공급망 관리의 핵심 구성 요소입니다.

SBOM에 포함되는 주요 정보

항목	설명
공급자 정보	소프트웨어 컴포넌트를 제공한 조직 또는 개인의 정보
컴포넌트 이름 및 식별자	각 구성 요소의 이름과 고유한 식별 번호
버전 정보	컴포넌트의 버전 정보로, 업데이트 및 변경 사항을 추적할 수 있습니다.
컴포넌트 해시	컴포넌트의 무결성을 확인하기 위한 해시 값
종속성 및 관계	컴포넌트 간의 의존성 및 상호 작용 정보
작성자 정보	컴포넌트를 작성한 개인 또는 팀의 정보
라이선스 정보	컴포넌트에 적용된 라이선스 유형과 조건
취약성 정보	컴포넌트의 보안 취약점 및 관련된 보안 업데이트 정보

SBOM의 중요성

SBOM은 소프트웨어의 투명성을 높이고, 보안 전문가가 취약점을 식별하고 관리하는 데 큰 도움을 제공합니다. 또한, 개발, 유지보수, 보안 측면에서 효율적인 소프트웨어 관리와 관련된 다양한 작업을 지원하는 필수 도구입니다.

3. 개발 기간 및 작업 관리

개발 기간

• 전체 개발 기간 : 2023-09-05 ~ 2023-11-21
• DB 설계 & 구축 : 2023-09-21 ~ 2023-10-14
• Web 설계 & 구축 : 2023-09-28 ~ 2023-10-16
• 취약점 식별 기능 구현 : 2023-09-05 ~ 2023-11-21

작업 관리

• Notion과 Discord를 사용하여 진행 상황을 공유하였습니다.
• 매 주 대면 회의를 진행하며 작업 순서에 대하여 논의하고, Trouble Shooting을 진행하였습니다.

4. 프로젝트 구성도

단계	내용
1. SBOM 업로드	사용자는 웹 플랫폼에 SBOM을 업로드
2. SBOM 구성 요소 추출 및 출력	각 구성 요소의 패키지와 버전등 사용된 정보를 추출하여 재가공 및 웹 플랫폼 출력
3. 취약점 식별 및 분석	CVE와 CWE 데이터를 활용하여 오픈 소스 패키지의 취약점을 식별하고 해당 취약점 내용 추출하여 저장
4. 시각적 결과 제공	취약점 분석 결과는 웹 플랫폼을 통해 사용자에게 시각적으로 제공

5. 페이지별 기능

[초기화면]

• 접속 초기화면인 서비스 소개 페이지입니다.
• SBOM에 대한 정보와 중요성, 서비스의 설명이 소개되어 있습니다.

초기화면

[대시보드]

1. 취약점 식별

• SBOM을 업로드하여 취약점을 식별합니다.
• 핵심 결과를 시각화하여 가독성을 높혔습니다.

취약점 식별 결과

2. CVE 페이지 호출

• 식별된 취약점에 대한 CVE 페이지를 호출합니다.
• CVE의 자세한 내용을 확인할 수 있습니다.

CVE 페이지 호출

[SBOM List]

• SBOM의 자세한 정보를 확인할 수 있습니다.
• 컴포넌트 이름과 버전, 제공자, 라이선스 정보, 해쉬값이 포함되어 있습니다.

SBOM Detailed Information

[Vulnerability List]

1. 식별된 취약점 정보 확인

• 식별된 취약점의 자세한 정보를 확인할 수 있습니다.
• CVE ID, CWE ID, Description, Risk Score, Risk Level을 제공합니다. ( National Vulnerability Database 기준 )

Vulnerability Detailed Information

2. CWE 페이지 호출

• 식별된 취약점에 대한 CWE 페이지를 호출합니다.
• CWE의 자세한 내용을 확인할 수 있습니다.

CWE 페이지 호출

[License List]

1. 사용 라이선스 정보 확인

• 사용된 라이선스의 정보를 확인할 수 있습니다.
• 사용 의무 사항과 Description을 제공합니다.

License Detailed Information

2. 라이선스 페이지 호출

• 사용된 라이선스에 대한 페이지를 호출합니다.
• 라이선스의 자세한 내용을 확인할 수 있습니다.

License 페이지 호출

[Generate Report]

• 취약점 식별 결과와 SBOM 정보를 Report로 저장합니다.

Generate Report

6. 향후 계획

• 취약점 조치 방안 자동화
  • 취약점 식별은 가능하나, 해당 취약점에 대한 대응 방안을 자세하게 알 수 없음
  • AI를 통해 적절한 대응 방안을 제공할 수 있는 방향으로 계획

• 컴포넌트 무결성 검사
  • SBOM의 컴포넌트 해시 값을 활용하지 못했음
  • 검사를 통해 파일 변조 등 소프트웨어의 무결성 검증

• 라이선스 충돌 탐지
  • 라이선스에 대한 정보를 활용하지 못했음
  • 사용된 오픈소스의 라이선스간의 충돌을 탐지하여 라이선스 양립성(Compatibility) 문제 해결