스패로우 SCA에 적용, 오픈소스 출처 확인하고 취약점 발견시 업데이트 가능
[보안뉴스 기획취재팀] 스패로우(대표 장일수)는 오픈소스 라이선스 식별 및 보안 취약점 관리 도구인 ‘스패로우 SCA(Sparrow SCA)’에 소프트웨어 자재명세서(Software Bill of Materials, 이하 SBOM) 내보내기 기능을 적용했다. 스패로우는 이를 통해 손쉽게 소프트웨어(이하 SW) 구성요소를 파악할 수 있도록 적극 지원해 SW 공급망 보안을 강화한다.
[이미지=파수]
스패로우가 제공하는 SBOM은 유통되는 식품에 사용된 구성성분을 표시하는 식품원재료표와 유사한 개념으로, SW를 구성하는 요소를 정리한 목록이다. 최근 전 세계적으로 큰 보안 위협이 된 Log4j와 Spring4Shell과 같은 취약점 발견이 이어짐에 따라, 사용 중인 오픈소스의 출처를 쉽고 간편하게 확인할 수 있는 SBOM 기능이 각광받고 있다. 특히, 미국 바이든 행정부가 작년 5월 발표한 행정명령에서 SBOM 도입 의무화를 명시한 바 있으며, 미국 뿐 아니라 글로벌 선도 기업 및 기관들 또한 SBOM을 도입해 SW 공급망 취약점으로 인한 보안 위협을 최소화하고 있다.
사용자는 오픈소스 관리 도구인 스패로우 SCA로 파일을 분석한 후에 SBOM 내보내기 버튼을 클릭하기만 하면 컴포넌트 명칭과 버전 정보, 공급자 명칭 등을 한눈에 확인할 수 있다. SW 공급망 위험에 대한 가시성을 확보함으로써 라이선스 관리는 물론 보안 취약점 발견 시 신속한 업데이트가 가능하다.
스패로우 장일수 대표는 “애플리케이션 보안 테스팅 시장에서 10년 이상 축적된 보안 취약점 검출 기술력과 노하우를 이제 오픈소스 분야에도 적용해 국내외 기업들의 공급망 위험을 해결하고자 노력하고 있다”며, “SBOM 기능이 적용된 스패로우 SCA를 활용함으로써 SW 개발 과정에서 뿐만 아니라 배포 이후에도 복잡다단한 공급망 내에서 보안을 지속적으로 관리할 수 있을 것”이라고 말했다.
한편, 스패로우 SCA는 소스코드나 바이너리에 포함된 오픈소스를 진단해 라이선스 관련 정보 및 발견된 취약점 정보를 제공하는 오픈소스 관리 솔루션으로 한국정보통신기술협회로부터 GS 인증을 받았다. 현재 ‘2022년 ICT 중소기업 정보보호 지원사업’을 통해서도 제공하고 있어 보안 예산이 적은 중소기업에서는 정부지원금 혜택을 통해 보다 합리적인 비용으로 도입 가능하다.
About Sparrow: 2007년 파수의 애플리케이션 보안 사업본부에서 시작한 스패로우는 시큐어코딩, 코딩컨벤션을 위한 정적 분석 도구를 개발하며, 국내 정적 분석 도구(SAST) 시장에 자리매김했다. 2018년 주식회사 스패로우로 분사를 통해 소프트웨어의 품질과 보안을 책임지는 전문기업으로 거듭났으며, 독자적인 기술력을 바탕으로 시장을 선도하는 차별화된 제품 제공으로 국내는 물론 글로벌 시장에서의 경쟁력을 지속적으로 높여가고 있다.
스패로우는 정적분석뿐만 아니라 동적 분석, 자가 방어, 상호작용 플랫폼까지 소프트웨어 개발 주기 전체에 걸친 보호가 가능한 국내 유일 애플리케이션 보안 환경을 제공하고 있다. 현재까지 정부 및 공공기관, KB은행, 금융감독원 등의 금융기관 그리고 일반기업 등에서 스패로우 제품을 사용하고 있으며, 국내뿐 아니라 글로벌 시장에서도 영향력 있는 레퍼런스를 확대해 나가고 있다. 스패로우는 국내 시장 1위로 안주하지 않고 클라우드, IoT등 다양한 새로운 IT 트렌드를 지속 반영하여 고객이 필요로 하는 제품을 먼저 준비하고 제공하는 소프트웨어 기업으로 나간다는 계획이다.
[기획취재팀(boan3@boannews.com)]
[보안뉴스 기획취재팀] 스패로우(대표 장일수)는 오픈소스 라이선스 식별 및 보안 취약점 관리 도구인 ‘스패로우 SCA(Sparrow SCA)’에 소프트웨어 자재명세서(Software Bill of Materials, 이하 SBOM) 내보내기 기능을 적용했다. 스패로우는 이를 통해 손쉽게 소프트웨어(이하 SW) 구성요소를 파악할 수 있도록 적극 지원해 SW 공급망 보안을 강화한다.
[이미지=파수]
스패로우가 제공하는 SBOM은 유통되는 식품에 사용된 구성성분을 표시하는 식품원재료표와 유사한 개념으로, SW를 구성하는 요소를 정리한 목록이다. 최근 전 세계적으로 큰 보안 위협이 된 Log4j와 Spring4Shell과 같은 취약점 발견이 이어짐에 따라, 사용 중인 오픈소스의 출처를 쉽고 간편하게 확인할 수 있는 SBOM 기능이 각광받고 있다. 특히, 미국 바이든 행정부가 작년 5월 발표한 행정명령에서 SBOM 도입 의무화를 명시한 바 있으며, 미국 뿐 아니라 글로벌 선도 기업 및 기관들 또한 SBOM을 도입해 SW 공급망 취약점으로 인한 보안 위협을 최소화하고 있다.
사용자는 오픈소스 관리 도구인 스패로우 SCA로 파일을 분석한 후에 SBOM 내보내기 버튼을 클릭하기만 하면 컴포넌트 명칭과 버전 정보, 공급자 명칭 등을 한눈에 확인할 수 있다. SW 공급망 위험에 대한 가시성을 확보함으로써 라이선스 관리는 물론 보안 취약점 발견 시 신속한 업데이트가 가능하다.
스패로우 장일수 대표는 “애플리케이션 보안 테스팅 시장에서 10년 이상 축적된 보안 취약점 검출 기술력과 노하우를 이제 오픈소스 분야에도 적용해 국내외 기업들의 공급망 위험을 해결하고자 노력하고 있다”며, “SBOM 기능이 적용된 스패로우 SCA를 활용함으로써 SW 개발 과정에서 뿐만 아니라 배포 이후에도 복잡다단한 공급망 내에서 보안을 지속적으로 관리할 수 있을 것”이라고 말했다.
한편, 스패로우 SCA는 소스코드나 바이너리에 포함된 오픈소스를 진단해 라이선스 관련 정보 및 발견된 취약점 정보를 제공하는 오픈소스 관리 솔루션으로 한국정보통신기술협회로부터 GS 인증을 받았다. 현재 ‘2022년 ICT 중소기업 정보보호 지원사업’을 통해서도 제공하고 있어 보안 예산이 적은 중소기업에서는 정부지원금 혜택을 통해 보다 합리적인 비용으로 도입 가능하다.
About Sparrow: 2007년 파수의 애플리케이션 보안 사업본부에서 시작한 스패로우는 시큐어코딩, 코딩컨벤션을 위한 정적 분석 도구를 개발하며, 국내 정적 분석 도구(SAST) 시장에 자리매김했다. 2018년 주식회사 스패로우로 분사를 통해 소프트웨어의 품질과 보안을 책임지는 전문기업으로 거듭났으며, 독자적인 기술력을 바탕으로 시장을 선도하는 차별화된 제품 제공으로 국내는 물론 글로벌 시장에서의 경쟁력을 지속적으로 높여가고 있다.
스패로우는 정적분석뿐만 아니라 동적 분석, 자가 방어, 상호작용 플랫폼까지 소프트웨어 개발 주기 전체에 걸친 보호가 가능한 국내 유일 애플리케이션 보안 환경을 제공하고 있다. 현재까지 정부 및 공공기관, KB은행, 금융감독원 등의 금융기관 그리고 일반기업 등에서 스패로우 제품을 사용하고 있으며, 국내뿐 아니라 글로벌 시장에서도 영향력 있는 레퍼런스를 확대해 나가고 있다. 스패로우는 국내 시장 1위로 안주하지 않고 클라우드, IoT등 다양한 새로운 IT 트렌드를 지속 반영하여 고객이 필요로 하는 제품을 먼저 준비하고 제공하는 소프트웨어 기업으로 나간다는 계획이다.
[기획취재팀(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
(1).jpg){kind=spacer}
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
