소프트웨어는 더 이상 한 조직 안에서만 만들어지지 않습니다. 우리가 배포하는 제품의 상당 부분은 외부 오픈소스, 서드파티 라이브러리, 빌드·배포 자동화 도구, 클라우드 이미지로 이루어져 있습니다. 이 연결망이 바로 소프트웨어 공급망이고, 공격자들은 이 연결 지점의 패키지 저장소, 빌드 서버, 서명 키, 개발자 계정을 노려 제품 안으로 침입합니다. 이러한 때에 정부 조달 분야와 산업 전반에서 SBOM(Software Bill of Materials) 같은 공급망의 투명성을 제공하는 장치가 기본적인 요구사항으로 자리잡아 가고 있습니다. 미국 행정명령(EO) 14028은 SBOM을 “구성요소와 공급망 관계의 공식 기록”으로 정의하며 연방 조달에서의 중요성을 명확히 했고, NIST SSDF(SP 800‑2..
