소프트웨어 자재 명세서 탐색

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 04월 03일
  • 소요 시간: 5분

    • 인스턴스에 업로드하는 (SBOM) 파일에서 조직의 애플리케이션에 소프트웨어 자재 명세서 사용되는 구성요소를 식별합니다. 오픈 소스 소프트웨어 사용과 관련된 위험을 이해하여 잠재적 노출을 확인하고, 라이센스 준수를 확인하고, 취약성을 수정하는 데 도움이 됩니다.

    소프트웨어 자재 명세서 개요

    타사 및 오픈 소스 구성요소는 소프트웨어 프로젝트를 신속하게 생성하고 릴리스하는 데 많은 이점을 제공합니다. 그러나 일부 경우에는 다음과 같이 공개적으로 접근 가능한 구성요소를 사용하는 것과 관련된 위험이 있습니다.

    • 구성요소 무결성에 대한 가시성 부족
    • 오픈 소스 소프트웨어의 취약성
    • 오픈 소스 소프트웨어용 패키지 인텔리전스
    • 미준수 소프트웨어 라이센스

    API를 통해 또는 수동으로 소프트웨어 자재 명세서 파일을 업로드할 수 있습니다. 전이적 종속성 및 사용 가능한 라이선싱 정보를 포함하여 소프트웨어에 사용되는 타사 구성요소 라이브러리의 인벤토리인 엔터티로 임포트하는 파일을 봅니다.

    CycloneDX 및 SPDX SBOM의 소프트웨어 인벤토리에 포함된 항목에 대한 자세한 내용은 CycloneDX - SBOM(소프트웨어 자재 명세서)SPDX를 참조하세요.

    소프트웨어 자재 명세서 사용자

    표 1. 사용자
    사용자 설명
    취약성 관리자 및 분석가 () 작업 공간에서 기록, 데이터 시각화 및 향상된 취약성 인텔리전스에서 업로드된 소프트웨어 자재 명세서 파일을 봅니다.소프트웨어 자재 명세서SBOM

    취약성 관리자 및 분석가는 이 정보를 사용하여 소프트웨어 라이선싱 준수 및 오픈 소스 소프트웨어 사용으로 인한 잠재적 위험 노출을 파악합니다.
    다음을 포함할 수 있지만 이에 국한되지 않는 사용자:
    • 기술 또는 소프트웨어 변호사
    • IT 관리자
    • 감사자
    • 소프트웨어 자산 관리자 및 팀
    		 업로드된 SBOM 파일의 구성요소에 대해 업로드된 독점 및 오픈 소스 소프트웨어 라이센스를 봅니다.

    구성요소에 대한 독점 및 오픈 소스 소프트웨어 라이센스 데이터베이스를 빌드합니다.

    내부 또는 규제 정책에 따라 누락된 정보가 있는 라이센스를 검토하고 분류합니다.

    구성요소를 라이센스와 매칭하고 전반적인 라이센스 준수를 확인하고 금지, 제한 또는 누락된 라이센스에 대한 잠재적 위험 노출을 확인합니다.

    소프트웨어 자재 명세서 워크플로우

    SBOM 애플리케이션을 사용하면 SBOM(소프트웨어 자재 명세서) 작업 공간에서 파일을 업로드하고 엔터티, 구성요소 인벤토리, 취약성 및 소프트웨어 라이센스 정보에 대한 상세 정보를 볼 수 있습니다.

    • API를 사용하여 또는 수동으로 파일을 업로드 SBOM 합니다.
    • 작업 공간에서 업로드한 파일의 구성요소를 SBOM 검토합니다 SBOM .
    • 업로드된 SBOM 파일의 구성요소 라이센스 정보를 검토하고 분류하면 제한되거나 금지된 라이센스에 대한 노출을 식별하는 데 도움이 됩니다.
    • 위험 노출을 평가하고 관련된 취약성이 있는 구성요소에 대해 취약한 항목을 생성합니다.
    • 작업 공간의 홈페이지에서 SBOM 업로드된 SBOM 구성요소에 대한 보고서와 대시보드는 물론 전반적인 라이센스 준수도 확인합니다.

    소프트웨어 자재 명세서 이점

    세 가지 소프트웨어 자재 명세서 애플리케이션을 사용하면 소프트웨어 구성요소 및 관련 위험의 정확한 인벤토리를 볼 수 있습니다.
    • SBOM의 데이터 모델
    • SBOM 코어
    • SBOM 응답

    호환성 정보는 KB0856498 취약성 대응 호환성 매트릭스 및 릴리스 스키마 변경을 참조하십시오.

    표 2. SBOM 이점
    혜택 애플리케이션 지원되는 버전
    이 애플리케이션은 데이터를 저장 SBOM 하는 데 사용되는 테이블을 제공합니다. 이 애플리케이션은 필수입니다. 여기에는 데이터를 읽 SBOM 는 데 필요한 테이블, ACL 및 역할이 포함됩니다. SBOM의 데이터 모델 v4.0, v3.0, v2.0
    이 애플리케이션은 필수입니다. 여기에는 문서를 업로드 SBOM 하는 데 필요한 API와 해당 문서의 데이터를 구문 분석하고 인스턴스로 임포트하는 데 필요한 비즈니스 논리가 포함됩니다. 작업 공간에서 소프트웨어 구성요소의 인벤토리를 볼 수 SBOM 있지만 방문 페이지에서 데이터 시각화를 볼 수는 없습니다.

    CycloneDX 및 SPDX 표준으로 소프트웨어 자재 명세서 파일을 업로드, 구문 분석 및 처리합니다. 이러한 제품에 대해 지원되는 파일 형식과 버전은 지원되는 버전 열을 참조하십시오. BOM(자재 명세서) 엔터티 및 소프트웨어 구성요소 인벤토리를 봅니다. BOM 엔터티는 SBOM 파일의 루트 수준 구성요소입니다. 예를 들어 CycloneDX SBOM의 경우 메타데이터에 나열된 구성 요소는 BOM 엔터티로 간주됩니다.

    		 SBOM 코어

    v6.0, v5.0, v4.0

    버전 4.0 SBOM 부터 Core는 다음을 지원합니다.

    • CycloneDX의 XML 및 JSON 버전 1.0에서 1.6까지.
    • SPDX의 JSON 버전 2.2에서 2.3까지.
    • SBOMSBOM 작업 공간의 방문 페이지에서 기능 및 데이터 시각화에 액세스하려면 응답이 필요합니다.
    • SBOM 응답하려면 애플리케이션이 취약성 대응 필요합니다.
    • 작업 공간에서 구성요소 인벤토리를 보고 위험 노출을 평가합니다.SBOM AVIT(애플리케이션 취약 항목)를 자동으로 생성하고 워크플로우를 애플리케이션 취약성 대응 통해 정정하는 규칙을 설정합니다.
    • 라이센스 관리 모듈에서 파일과 함께 SBOM 업로드된 구성요소 라이센스 정보를 봅니다. 파일에 업로드 애플리케이션 취약성 대응 하는 구성요소를 라이센스에 분류하고 해결(일치)하여 전반적인 라이센스 준수 상태를 확인할 수 있습니다.
    • 응답 버전 4.0 애플리케이션 취약성 대응 부터 작업 공간에서 SBOM 사용할 수 있는 PaCE(Policy as Code Engine) 인터페이스에서 부실하거나 '미준수'로 포기된 것으로 식별된 구성요소를 볼 수 있습니다.

    • 응답을 설치할 SBOM 때 OSV.dev 및 Deps.dev 통합이 포함됩니다.

      • OSV.dev 은 지정된 버전의 패키지 또는 라이브러리에 대한 취약성 인텔리전스 정보를 제공하는 오픈 소스 API입니다.
      • Deps.dev 는 지정된 패키지 또는 라이브러리에 대한 버전 목록을 제공하고 부실중단됨 상태의 구성요소를 식별하는 오픈 소스 API입니다.

      자세한 내용은 소프트웨어 자재 명세서의 Deps.dev, OSV.dev 및 PaCE 통합 구성 문서를 참조하십시오.

      PaCE 및 PaCE 정책에 대한 자세한 내용은 다음을 참조하십시오 Integrating PaCE with other applications .

    		 SBOM 응답 v6.0, v5.0, v4.0
    지속적 통합 및 지속적 배포 개발 주기 동안 소프트웨어에 대한 () 파일을 생성하고 업로드소프트웨어 자재 명세서SBOM합니다. SBOM 응답
    • 데이터 모델 SBOM: v1.4 이상.
    • SBOM Core: v3.0 이상.
    • SBOM 응답: v4.0 이상.

    취약성 대응 애플리케이션CSDM 테이블

    , 애플리케이션 취약성 대응, 타사 취약성 통합 및 소프트웨어 자재 명세서 애플리케이션이 취약성 대응테이블을 관리(데이터 기여) CSDM 합니다. 이러한 애플리케이션은 다른 애플리케이션이 생성하는 테이블의 CSDM 데이터도 사용합니다. 따라서 여러 ServiceNow 제품이 이러한 보안 운영 애플리케이션의 이점을 누리고 가치를 더합니다. 자세한 내용은 취약성 대응 애플리케이션 및 CSDM 테이블 문서를 참조하십시오.

    다음으로 살펴볼 내용

    소프트웨어 자재 명세서 구성 및 사용에 대한 자세한 내용은 다음을 참조하십시오.