'SW도 식품처럼 성분 표시'…스패로우, 관리도구에 기능 탑재

[이데일리 김국배 기자] 스패로우는 오픈소스 취약점 관리 도구인 ‘스패로우 SCA’에 소프트웨어 자재명세서(SBOM) 내보내기 기능을 적용했다고 16일 밝혔다.

손쉽게 소프트웨어의 구성요소를 파악할 수 있도록 지원해 공급망 보안을 강화할 수 있다는 설명이다. SBOM은 유통되는 식품에 사용된 구성 성분을 표시하는 식품원재료표와 유사한 개념으로, 소프트웨어를 구성하는 요소를 정리한 목록이다.

(사진=스패로우)

로그4j 등 전세계적으로 오픈소스 보안 위협이 큰 가운데, 사용하고 있는 오픈소스의 출처를 쉽고 간편하게 확인할 수 있어 각광받고 있다. 미국 바이든 행정부는 지난 5월 발표한 행정명령에서 SBOM 도입 의무화를 명시하기도 했다.

사용자는 스패로우 SCA로 파일을 분석한 후 SBOM 내보내기 버튼을 클릭하기만 하면 컴포넌트 명칭과 버전 정보, 공급자 명칭 등을 한눈에 확인할 수 있다. 라이선스 관리는 물론 보안 취약점 발견 시 신속한 업데이트가 가능하다는 게 회사 측 설명이다.

장일수 스패로우 대표는 “SBOM 기능이 적용된 스패로우 SCA를 활용함으로써 소프트웨어 개발 과정 뿐 아니라 배포 이후의 복잡다단한 공급망 내에서 보안을 지속적으로 관리할 수 있을 것”이라고 말했다.