SBOM์ ์ด์ฉํ ์ทจ์ฝ์ ์๋ณ ์๋ํ ์์คํ
Automation System for Vulnerability Identification Using SBOM
- CBOM์ SBOM์ ์ด์ฉํ์ฌ ์ํํธ์จ์ด์ ์ทจ์ฝ์ ์ ์๋ณํ๊ณ ํฌ๋ช ์ฑ์ ๊ฒ์ฆํ ์ ์๋ ์๋ฃจ์ ์ ๋๋ค.
- ์ทจ์ฝ์ ์๋ณ ์ธ์๋ ์ํํธ์จ์ด์ ์ฌ์ฉ๋ ์คํ์์ค์ ๋ผ์ด์ ์ค๋ฅผ ํ์ธํ ์ ์์ต๋๋ค.
- ๋์๋ณด๋๋ฅผ ํตํด ์ทจ์ฝ์ ์๋ณ ๊ฒฐ๊ณผ๋ฅผ ํ๋์ ํ์ธํ ์ ์์ต๋๋ค.
- ์ทจ์ฝ์ ์๋ณ ๊ฒฐ๊ณผ์ SBOM ์ ๋ณด๋ฅผ Report๋ก ์ ์ฅํ ์ ์์ต๋๋ค.
๊ฐ๋ฏผ์ | ๊น๋ํ | ์ต์ํธ | ์ต์ํ |
---|---|---|---|
@MynameisMansik |
@Dxhyeon |
@S4nso |
์ต์ํ |
Front-end Develop | Back-end Develop | Back-end Develop | Front-end Develop |
- OS : Ubuntu Server 20.04 LTS
- Front-end : Django, Bootstrap, Chart.js
- Back-end : Python, Django
- Database : MariaDB
- ํ์ ํด : Notion, Discord, Github
SBOM(Software Bill Of Materials)์ ์ํํธ์จ์ด์ ๊ตฌ์ฑ ์์ ๋ฐ ์ข ์์ฑ์ ์ฒด๊ณ์ ์ผ๋ก ๋ฌธ์ํํ ๋ชฉ๋ก์ ๋๋ค. ์ด ๋ฌธ์๋ ์ํํธ์จ์ด ์ ์์ ์ฌ์ฉ๋ ๋ชจ๋ ๊ตฌ์ฑ ์์์ ๊ทธ๋ค๊ฐ์ ๊ด๊ณ์ ์์ธํ ์ ๋ณด๋ฅผ ํฌํจํ๋ฉฐ, ์ํํธ์จ์ด ๋ณด์ ๋ฐ ์ํํธ์จ์ด ๊ณต๊ธ๋ง ๊ด๋ฆฌ์ ํต์ฌ ๊ตฌ์ฑ ์์์ ๋๋ค.
ํญ๋ชฉ | ์ค๋ช |
---|---|
๊ณต๊ธ์ ์ ๋ณด | ์ํํธ์จ์ด ์ปดํฌ๋ํธ๋ฅผ ์ ๊ณตํ ์กฐ์ง ๋๋ ๊ฐ์ธ์ ์ ๋ณด |
์ปดํฌ๋ํธ ์ด๋ฆ ๋ฐ ์๋ณ์ | ๊ฐ ๊ตฌ์ฑ ์์์ ์ด๋ฆ๊ณผ ๊ณ ์ ํ ์๋ณ ๋ฒํธ |
๋ฒ์ ์ ๋ณด | ์ปดํฌ๋ํธ์ ๋ฒ์ ์ ๋ณด๋ก, ์ ๋ฐ์ดํธ ๋ฐ ๋ณ๊ฒฝ ์ฌํญ์ ์ถ์ ํ ์ ์์ต๋๋ค. |
์ปดํฌ๋ํธ ํด์ | ์ปดํฌ๋ํธ์ ๋ฌด๊ฒฐ์ฑ์ ํ์ธํ๊ธฐ ์ํ ํด์ ๊ฐ |
์ข ์์ฑ ๋ฐ ๊ด๊ณ | ์ปดํฌ๋ํธ ๊ฐ์ ์์กด์ฑ ๋ฐ ์ํธ ์์ฉ ์ ๋ณด |
์์ฑ์ ์ ๋ณด | ์ปดํฌ๋ํธ๋ฅผ ์์ฑํ ๊ฐ์ธ ๋๋ ํ์ ์ ๋ณด |
๋ผ์ด์ ์ค ์ ๋ณด | ์ปดํฌ๋ํธ์ ์ ์ฉ๋ ๋ผ์ด์ ์ค ์ ํ๊ณผ ์กฐ๊ฑด |
์ทจ์ฝ์ฑ ์ ๋ณด | ์ปดํฌ๋ํธ์ ๋ณด์ ์ทจ์ฝ์ ๋ฐ ๊ด๋ จ๋ ๋ณด์ ์ ๋ฐ์ดํธ ์ ๋ณด |
SBOM์ ์ํํธ์จ์ด์ ํฌ๋ช ์ฑ์ ๋์ด๊ณ , ๋ณด์ ์ ๋ฌธ๊ฐ๊ฐ ์ทจ์ฝ์ ์ ์๋ณํ๊ณ ๊ด๋ฆฌํ๋ ๋ฐ ํฐ ๋์์ ์ ๊ณตํฉ๋๋ค. ๋ํ, ๊ฐ๋ฐ, ์ ์ง๋ณด์, ๋ณด์ ์ธก๋ฉด์์ ํจ์จ์ ์ธ ์ํํธ์จ์ด ๊ด๋ฆฌ์ ๊ด๋ จ๋ ๋ค์ํ ์์ ์ ์ง์ํ๋ ํ์ ๋๊ตฌ์ ๋๋ค.
- ์ ์ฒด ๊ฐ๋ฐ ๊ธฐ๊ฐ : 2023-09-05 ~ 2023-11-21
- DB ์ค๊ณ & ๊ตฌ์ถ : 2023-09-21 ~ 2023-10-14
- Web ์ค๊ณ & ๊ตฌ์ถ : 2023-09-28 ~ 2023-10-16
- ์ทจ์ฝ์ ์๋ณ ๊ธฐ๋ฅ ๊ตฌํ : 2023-09-05 ~ 2023-11-21
- Notion๊ณผ Discord๋ฅผ ์ฌ์ฉํ์ฌ ์งํ ์ํฉ์ ๊ณต์ ํ์์ต๋๋ค.
- ๋งค ์ฃผ ๋๋ฉด ํ์๋ฅผ ์งํํ๋ฉฐ ์์ ์์์ ๋ํ์ฌ ๋ ผ์ํ๊ณ , Trouble Shooting์ ์งํํ์์ต๋๋ค.
๋จ๊ณ | ๋ด์ฉ |
---|---|
1. SBOM ์ ๋ก๋ | ์ฌ์ฉ์๋ ์น ํ๋ซํผ์ SBOM์ ์ ๋ก๋ |
2. SBOM ๊ตฌ์ฑ ์์ ์ถ์ถ ๋ฐ ์ถ๋ ฅ | ๊ฐ ๊ตฌ์ฑ ์์์ ํจํค์ง์ ๋ฒ์ ๋ฑ ์ฌ์ฉ๋ ์ ๋ณด๋ฅผ ์ถ์ถํ์ฌ ์ฌ๊ฐ๊ณต ๋ฐ ์น ํ๋ซํผ ์ถ๋ ฅ |
3. ์ทจ์ฝ์ ์๋ณ ๋ฐ ๋ถ์ | CVE์ CWE ๋ฐ์ดํฐ๋ฅผ ํ์ฉํ์ฌ ์คํ ์์ค ํจํค์ง์ ์ทจ์ฝ์ ์ ์๋ณํ๊ณ ํด๋น ์ทจ์ฝ์ ๋ด์ฉ ์ถ์ถํ์ฌ ์ ์ฅ |
4. ์๊ฐ์ ๊ฒฐ๊ณผ ์ ๊ณต | ์ทจ์ฝ์ ๋ถ์ ๊ฒฐ๊ณผ๋ ์น ํ๋ซํผ์ ํตํด ์ฌ์ฉ์์๊ฒ ์๊ฐ์ ์ผ๋ก ์ ๊ณต |
- ์ ์ ์ด๊ธฐํ๋ฉด์ธ ์๋น์ค ์๊ฐ ํ์ด์ง์ ๋๋ค.
- SBOM์ ๋ํ ์ ๋ณด์ ์ค์์ฑ, ์๋น์ค์ ์ค๋ช ์ด ์๊ฐ๋์ด ์์ต๋๋ค.
์ด๊ธฐํ๋ฉด |
---|
- SBOM์ ์ ๋ก๋ํ์ฌ ์ทจ์ฝ์ ์ ์๋ณํฉ๋๋ค.
- ํต์ฌ ๊ฒฐ๊ณผ๋ฅผ ์๊ฐํํ์ฌ ๊ฐ๋ ์ฑ์ ๋ํ์ต๋๋ค.
์ทจ์ฝ์ ์๋ณ ๊ฒฐ๊ณผ |
---|
- ์๋ณ๋ ์ทจ์ฝ์ ์ ๋ํ CVE ํ์ด์ง๋ฅผ ํธ์ถํฉ๋๋ค.
- CVE์ ์์ธํ ๋ด์ฉ์ ํ์ธํ ์ ์์ต๋๋ค.
CVE ํ์ด์ง ํธ์ถ |
---|
- SBOM์ ์์ธํ ์ ๋ณด๋ฅผ ํ์ธํ ์ ์์ต๋๋ค.
- ์ปดํฌ๋ํธ ์ด๋ฆ๊ณผ ๋ฒ์ , ์ ๊ณต์, ๋ผ์ด์ ์ค ์ ๋ณด, ํด์ฌ๊ฐ์ด ํฌํจ๋์ด ์์ต๋๋ค.
SBOM Detailed Information |
---|
- ์๋ณ๋ ์ทจ์ฝ์ ์ ์์ธํ ์ ๋ณด๋ฅผ ํ์ธํ ์ ์์ต๋๋ค.
- CVE ID, CWE ID, Description, Risk Score, Risk Level์ ์ ๊ณตํฉ๋๋ค. ( National Vulnerability Database ๊ธฐ์ค )
Vulnerability Detailed Information |
---|
- ์๋ณ๋ ์ทจ์ฝ์ ์ ๋ํ CWE ํ์ด์ง๋ฅผ ํธ์ถํฉ๋๋ค.
- CWE์ ์์ธํ ๋ด์ฉ์ ํ์ธํ ์ ์์ต๋๋ค.
CWE ํ์ด์ง ํธ์ถ |
---|
- ์ฌ์ฉ๋ ๋ผ์ด์ ์ค์ ์ ๋ณด๋ฅผ ํ์ธํ ์ ์์ต๋๋ค.
- ์ฌ์ฉ ์๋ฌด ์ฌํญ๊ณผ Description์ ์ ๊ณตํฉ๋๋ค.
License Detailed Information |
---|
- ์ฌ์ฉ๋ ๋ผ์ด์ ์ค์ ๋ํ ํ์ด์ง๋ฅผ ํธ์ถํฉ๋๋ค.
- ๋ผ์ด์ ์ค์ ์์ธํ ๋ด์ฉ์ ํ์ธํ ์ ์์ต๋๋ค.
License ํ์ด์ง ํธ์ถ |
---|
- ์ทจ์ฝ์ ์๋ณ ๊ฒฐ๊ณผ์ SBOM ์ ๋ณด๋ฅผ Report๋ก ์ ์ฅํฉ๋๋ค.
Generate Report |
---|
- ์ทจ์ฝ์ ์กฐ์น ๋ฐฉ์ ์๋ํ
- ์ทจ์ฝ์ ์๋ณ์ ๊ฐ๋ฅํ๋, ํด๋น ์ทจ์ฝ์ ์ ๋ํ ๋์ ๋ฐฉ์์ ์์ธํ๊ฒ ์ ์ ์์
- AI๋ฅผ ํตํด ์ ์ ํ ๋์ ๋ฐฉ์์ ์ ๊ณตํ ์ ์๋ ๋ฐฉํฅ์ผ๋ก ๊ณํ
- ์ปดํฌ๋ํธ ๋ฌด๊ฒฐ์ฑ ๊ฒ์ฌ
- SBOM์ ์ปดํฌ๋ํธ ํด์ ๊ฐ์ ํ์ฉํ์ง ๋ชปํ์
- ๊ฒ์ฌ๋ฅผ ํตํด ํ์ผ ๋ณ์กฐ ๋ฑ ์ํํธ์จ์ด์ ๋ฌด๊ฒฐ์ฑ ๊ฒ์ฆ
- ๋ผ์ด์ ์ค ์ถฉ๋ ํ์ง
- ๋ผ์ด์ ์ค์ ๋ํ ์ ๋ณด๋ฅผ ํ์ฉํ์ง ๋ชปํ์
- ์ฌ์ฉ๋ ์คํ์์ค์ ๋ผ์ด์ ์ค๊ฐ์ ์ถฉ๋์ ํ์งํ์ฌ ๋ผ์ด์ ์ค ์๋ฆฝ์ฑ(Compatibility) ๋ฌธ์ ํด๊ฒฐ