Black Duck SCA 활용한 S/W 공급망 보안 강화 전략
SBOM 활용해 구성요소 및 취약점 관리 방안 눈길 끌어
[보안뉴스 조재호 기자] 소프트플로우는 소프트웨어 공급망 보안 전문 기업으로 SBOM 기반 공급망 보안 강화 사업을 통해 공공기관과 산업계 공급망 보안 체계 구축을 지원하면서 주목받고 있는 기업이다.
▲클라우드 기반 소프트웨어 검증 및 확인 자동화 도구 [자료: 소프트플로우]
회사는 IEC 62443 및 FDA 사이버보안 거버넌스 준수 등 해외 보안 인증에 대응하는 SBOM 관리 체계 구축과 기술 지원, 국내 주요 기관과의 컨소시엄을 통한 실증 사업도 진행 중이다.
ISEC 2025에서 소프트플로우는 Black Duck SCA와 Polaris 플랫폼을 기반으로 한 소프트웨 공급망 보안 통합 솔루션을 소개한다. 두 제품은 오픈소스 보안 분석부터 정적 분석 DevSecOps 통합까지 공급망 보안 전 주기를 아우른 기능을 제공한다.
‘Black Duck SCA’은 소프트웨어에 포함된 모든 오픈소스 구성 요소의 SBOM을 자동 생성하고, 관련 보안 취약점 및 라이선스 리스크를 실시간으로 식별한다. 조직의 라이선스 정책에 따라 자동화된 검출과 차단 정책을 설정할 수 있어, 개발 초기부터 오픈소스 보안을 관리할 수 있다. Jenkins, GitHub 등 다양한 DevOps 환경에서 통합되어 지속적인 보안 검증을 구현한다.
‘Polaris’는 클라우드 기반 솔루션으로 테스트와 워크플로우, 리스트 관리를 한 곳에서 통합한다. 내장 fAST 엔진은 동급 최고 수준의 정적·동적·SCA를 제공해 IDE 배포까지 AppSec 준수를 관리하고 추적할 수 있다. 또, 사용자를 지정할 수 있는 대시보드와 보고서를 통해 조직 전반의 AppSec 위험 상태를 시각화한다.
소프트플로우는 올해 SBOM 기반 보안의 실용화와 산업 확산의 전환점으로 삼아, 실제 수요에 부합한 보안 솔루션을 제공한다는 계획이다. 이를 위해 다양한 산업군 특성에 맞춘 SBOM 기반 공급망 보안 솔루션 최적화와 더불어 고객 중심의 보안 운영 체계 구축을 통해 효율적이고 자율성이 보장된 지속 가능한 운영을 지원한다는 목표를 제시했다.
한편, 대한민국 대표 사이버 보안 콘퍼런스이자 아시아 최대 규모로 자리 잡은 ‘ISEC 2025(제19회 국제 시큐리티 콘퍼런스)’가 오는 8월 26일(화)부터 27일(수)까지 양일간 서울 코엑스에서 개최된다.
이번 행사는 AI Security가 ISEC의 핵심 아젠다이자 상징으로 AI 기반 보안의 모든 기술과 트렌드를 ISEC 2025에서 체험할 수 있다는 의미를 담은 ‘AI·SECURITY’를 주제로 코엑스 전시장(Hall D)과 오디토리움, 아셈볼룸에서 지난해보다 확대된 규모로 개최된다. 특히, 올해는 총 20여개 트랙, 100개 세션 발표와 150여개 사이버보안 솔루션 기업이 참여한 160여개의 솔루션 전시 부스도 마련될 예정이다.
아울러 행사 기간 중 보안 책임자 및 보안 담당자를 대상으로 현장 투표와 설문 조사, 영상 평가 등을 통해 선발한 명강연자들을 시상하는 ‘ISEC 2025 베스트 스피커 어워즈’와 카이스트 사이버보안연구센터와 공동 주관해 사이버 공격에 대한 실습을 통해 대응법을 마스터하고 보안업무에 활용할 수 있는 유료 ‘트레이닝 코스’ 등 콘텐츠의 질적 향상 및 강연 수준 제고에 끊임없이 나설 계획이다. 이와 관련된 세부 사항은 ISEC 홈페이지를 참조하거나 ISEC 조직위원회에 문의하면 된다.
[조재호 기자(sw@boannews.com)]
SBOM 활용해 구성요소 및 취약점 관리 방안 눈길 끌어
[보안뉴스 조재호 기자] 소프트플로우는 소프트웨어 공급망 보안 전문 기업으로 SBOM 기반 공급망 보안 강화 사업을 통해 공공기관과 산업계 공급망 보안 체계 구축을 지원하면서 주목받고 있는 기업이다.
▲클라우드 기반 소프트웨어 검증 및 확인 자동화 도구 [자료: 소프트플로우]
회사는 IEC 62443 및 FDA 사이버보안 거버넌스 준수 등 해외 보안 인증에 대응하는 SBOM 관리 체계 구축과 기술 지원, 국내 주요 기관과의 컨소시엄을 통한 실증 사업도 진행 중이다.
ISEC 2025에서 소프트플로우는 Black Duck SCA와 Polaris 플랫폼을 기반으로 한 소프트웨 공급망 보안 통합 솔루션을 소개한다. 두 제품은 오픈소스 보안 분석부터 정적 분석 DevSecOps 통합까지 공급망 보안 전 주기를 아우른 기능을 제공한다.
‘Black Duck SCA’은 소프트웨어에 포함된 모든 오픈소스 구성 요소의 SBOM을 자동 생성하고, 관련 보안 취약점 및 라이선스 리스크를 실시간으로 식별한다. 조직의 라이선스 정책에 따라 자동화된 검출과 차단 정책을 설정할 수 있어, 개발 초기부터 오픈소스 보안을 관리할 수 있다. Jenkins, GitHub 등 다양한 DevOps 환경에서 통합되어 지속적인 보안 검증을 구현한다.
‘Polaris’는 클라우드 기반 솔루션으로 테스트와 워크플로우, 리스트 관리를 한 곳에서 통합한다. 내장 fAST 엔진은 동급 최고 수준의 정적·동적·SCA를 제공해 IDE 배포까지 AppSec 준수를 관리하고 추적할 수 있다. 또, 사용자를 지정할 수 있는 대시보드와 보고서를 통해 조직 전반의 AppSec 위험 상태를 시각화한다.
소프트플로우는 올해 SBOM 기반 보안의 실용화와 산업 확산의 전환점으로 삼아, 실제 수요에 부합한 보안 솔루션을 제공한다는 계획이다. 이를 위해 다양한 산업군 특성에 맞춘 SBOM 기반 공급망 보안 솔루션 최적화와 더불어 고객 중심의 보안 운영 체계 구축을 통해 효율적이고 자율성이 보장된 지속 가능한 운영을 지원한다는 목표를 제시했다.
한편, 대한민국 대표 사이버 보안 콘퍼런스이자 아시아 최대 규모로 자리 잡은 ‘ISEC 2025(제19회 국제 시큐리티 콘퍼런스)’가 오는 8월 26일(화)부터 27일(수)까지 양일간 서울 코엑스에서 개최된다.
이번 행사는 AI Security가 ISEC의 핵심 아젠다이자 상징으로 AI 기반 보안의 모든 기술과 트렌드를 ISEC 2025에서 체험할 수 있다는 의미를 담은 ‘AI·SECURITY’를 주제로 코엑스 전시장(Hall D)과 오디토리움, 아셈볼룸에서 지난해보다 확대된 규모로 개최된다. 특히, 올해는 총 20여개 트랙, 100개 세션 발표와 150여개 사이버보안 솔루션 기업이 참여한 160여개의 솔루션 전시 부스도 마련될 예정이다.
아울러 행사 기간 중 보안 책임자 및 보안 담당자를 대상으로 현장 투표와 설문 조사, 영상 평가 등을 통해 선발한 명강연자들을 시상하는 ‘ISEC 2025 베스트 스피커 어워즈’와 카이스트 사이버보안연구센터와 공동 주관해 사이버 공격에 대한 실습을 통해 대응법을 마스터하고 보안업무에 활용할 수 있는 유료 ‘트레이닝 코스’ 등 콘텐츠의 질적 향상 및 강연 수준 제고에 끊임없이 나설 계획이다. 이와 관련된 세부 사항은 ISEC 홈페이지를 참조하거나 ISEC 조직위원회에 문의하면 된다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
