닫기

- 한국산업보안연구학회 로그인 화면입니다. -

닫기

한국산업보안연구학회

한국산업보안연구학회THE KOREAN ASSOCIATION FOR INDUSTRIAL SECUTRITY

학술자료논문검색

논문검색

한국산업보안연구, Vol.13 no.2 (2023)
pp.105~120

DOI : 10.33388/kais.2023.13.2.105

- SBOM의 무결성 확보를 위한 스마트컨트랙트 블록체인 활용 방안 연구 -

정재은

(덕성여자대학교 디지털소프트웨어공학과 석사과정)

백남균

(덕성여자대학교 디지털소프트웨어공학과 조교수)

현재 오픈소스 라이브러리를 사용한 SW 증가에 따른 소프트웨어 공급망에 대한 보안이 요구 되는 실정이다. 소프트웨어 공급망 보안의 해결책으로 SBOM을 요구하는 정책 및 지침이 제시되 고 있다. 소프트웨어에 대한 모든 정보들이 담겨있는 소프트웨어 자재명세서인 SBOM은 소프트 웨어 구성요소에 대한 가시성을 제공하고 소프트웨어의 취약성 및 위험을 이해하기 위한 기반으 로 사용되고 있다. 하지만, SW 개발사에서 제공하는 SBOM이 SW 사용자에게 제공되는 SBOM 과 동일한 문서인지 알 수 없기 때문에 SBOM에 대한 무결성을 검증하기에 부족함이 있다. 본 논문에서는 블록체인의 특성인 무결성을 SBOM에 적용하기 위해 암호화폐의 거래내역만 저장할 수 있는 일반 블록체인이 아닌 데이터 저장이 가능한 스마트컨트랙트 블록체인을 활용한다. SBOM 제공으로 SW 및 소프트웨어 공급망의 가시성이 확보되며, SBOM에 대한 무결성 확보를 통해 SW에 대한 사용자의 신뢰가 향상될 수 있다.

How to Use Smart Contract Blockchain to Secure the Integrity of SBOM

Jung, Jae-Eun

Baik, Nam-Kyun

Currently, security for the software supply chain is required due to the increase in software using open source libraries. Policies and guidelines that require SBOM as a solution to software supply chain security are being presented. SBOM, which is a software bill of materials containing all information about software, provides visibility into software components and is used as a basis for understanding software vulnerabilities and risks. However, since it is not known whether the SBOM provided by the SW developer is the same document as the SBOM provided to the SW user, there is a shortage in verifying the integrity of the SBOM. In this paper, in order to apply integrity, a characteristic of blockchain, to SBOM, we use a smart contract blockchain that can store data, rather than a general blockchain that can only store cryptocurrency transaction history. Visibility of SW and software supply chain is secured by providing SBOM, and user's trust in SW can be improved by securing the integrity of SBOM.

다운로드 (Download) 리스트(List)