엘에스웨어 아카이브

1. ‘SBOM’ 기반의 SW 공급망 관리가 필요한 이유 AI 기반 개발, DevOps 자동화, 클라우드 네이티브 아키텍처가 일반화되면서 현대 소프트웨어의 70~90%는 오픈소스 컴포넌트로 구성된다. 문제는 “우리가 작성하지 않은 코드”가 서비스의 보안·법적 리스크를 좌우한다는 점이다. 2025년 Black Duck OSSRA 리포트 기준, 전 세계 엔터프라이즈 코드베이스의 86%에서 오픈소스 취약점이 발견되었으며, 이는 더 이상 선택이 아닌 필수 관리 영역임을 의미한다. 공급망 리스크는 대표적으로 다음 세 가지 축에서 발생한다.CVE 기반 보안 취약점 노출라이선스 컴플라이언스 위반서버·운영환경의 패키지 취약점 방치이 세 가지를 개별적으로 대응하는 방식은 한계가 있다. 이제는 SBOM 기반의 통합 거버넌..

소프트웨어는 더 이상 한 조직 안에서만 만들어지지 않습니다. 우리가 배포하는 제품의 상당 부분은 외부 오픈소스, 서드파티 라이브러리, 빌드·배포 자동화 도구, 클라우드 이미지로 이루어져 있습니다. 이 연결망이 바로 소프트웨어 공급망이고, 공격자들은 이 연결 지점의 패키지 저장소, 빌드 서버, 서명 키, 개발자 계정을 노려 제품 안으로 침입합니다. 이러한 때에 정부 조달 분야와 산업 전반에서 SBOM(Software Bill of Materials) 같은 공급망의 투명성을 제공하는 장치가 기본적인 요구사항으로 자리잡아 가고 있습니다. 미국 행정명령(EO) 14028은 SBOM을 “구성요소와 공급망 관계의 공식 기록”으로 정의하며 연방 조달에서의 중요성을 명확히 했고, NIST SSDF(SP 800‑2..

블랙덕(Black Duck)의 보고서 「임베디드 소프트웨어 품질 및 안전 현황 2025 (The State of Embedded Software Quality and Safety 2025)」는 임베디드 소프트웨어 전문가 대상으로 한 설문의 핵심 결과를 바탕으로 현재 일어나고 있는 상황에 대한 데이터 기반의 시각을 제공합니다. 보고서는 임베디드 소프트웨어 분야의 두 가지 중대한 변화를 배경으로 합니다. 첫째, AI 도구의 광범위한 도입과 그에 비해 위험할 정도로 미흡한 거버넌스 체계둘째, 소프트웨어 공급망이 핵심 비즈니스 기능으로 부상하면서 상업적 요구사항으로 자리잡은 소프트웨어 자재명세서(SBOM)또한 보고서에서는 임베디드 개발자의 역할 변화, 속도와 품질 사이의 지속적 긴장, 임베디드 소프트웨어 개발에..