Category: Guide
SW360
Categories:
FOSSLight
Categories:
OSV-SCALIBR
Categories:
0. OpenChain 살펴보기
Categories:
SBOM 개요
SBOM이 무엇이고 왜 필요한지, 소프트웨어 공급망 위협과 SBOM이 주는 이점을 정리합니다.
Categories:
1. 조직
Categories:
3.1 정책
AI SBOM 컴플라이언스를 규율하는 성문 정책을 수립하고 전파하는 방법을 안내한다.
Categories:
3.10 거버넌스
AI 시스템 수명주기 전반의 거버넌스 프레임워크를 수립하고, 신흥 AI 규제를 반영해 정기적으로 검토하는 방법을 안내한다.
Categories:
3.5 라이선스 의무
AI 시스템의 코드, 가중치, 데이터셋, 모델 트리 라이선스를 검토해 의무와 제한, 권리를 판단하는 절차를 안내한다.
Categories:
3.7 접근
제3자가 AI SBOM 컴플라이언스 문의를 할 수 있는 공개 수단을 명시하고, 내부에서 대응하는 절차를 안내한다.
Categories:
Appendix
Categories:
EU 사이버 복원력법(CRA)
SBOM을 법적 의무로 규정한 최초의 주요 입법인 EU 사이버 복원력법의 SBOM 요건과 시행 일정을 정리합니다.
Categories:
OWASP AIBOM Generator
Hugging Face 모델에서 CycloneDX 형식 AI SBOM을 생성하고 완전성 점수를 매기는 OWASP 도구의 사용법을 실행 화면과 함께 안내한다.
Categories:
SBOM의 수준과 분류
SBOM이 담는 정보의 깊이에 따른 수준과, 생성 시점에 따른 분류를 정리합니다.
Categories:
오픈소스 정책
Categories:
SBOM의 최소 요소
NTIA 2021 최소 요소에서 CISA 2025 개정 초안까지, SBOM에 반드시 담아야 할 데이터 필드를 정리합니다.
Categories:
프로그램 기반
AI SBOM 컴플라이언스 프로그램의 기반을 세우는 단계다. 정책, 역량, 인지, 범위를 갖춘다.
Categories:
2. 정책
Categories:
표준과 형식
SBOM을 기계 판독 가능하게 표현하는 두 표준 형식 SPDX와 CycloneDX를 비교합니다.
Categories:
3.2 역량
AI SBOM 컴플라이언스 프로그램의 역할과 책임을 정의하고, 역할별 역량을 식별해 평가하는 방법을 안내한다.
Categories:
3.6 투명성 의무
규제가 부과하는 투명성 의무를 검토하고, 학습 데이터 공개 같은 쟁점에 위험 완화 조치를 취하는 절차를 안내한다.
Categories:
3.8 효과적 자원 배분
AI SBOM 컴플라이언스 프로그램에 책임과 인력, 재원, 법률 전문성을 배정하고 부적합을 시정하는 절차를 안내한다.
Categories:
AI 확장 프로세스
코드를 넘어 모델과 가중치, 데이터셋까지 다루는 AI 고유의 라이선스, 투명성, SBOM 프로세스를 구축하는 단계다.
Categories:
cdxgen
프로젝트와 모델에서 CycloneDX SBOM을 생성하는 OWASP cdxgen의 AI BOM 모드 사용법을 실행 출력과 함께 안내한다.
Categories:
식별자와 라이선스
구성요소를 일관되게 가리키는 PURL·CPE·SWID 식별자와, SPDX 라이선스 식별자 표기 방법을 정리합니다.
Categories:
오픈소스 프로세스
Categories:
인도·한국 등 기타 관할권
인도 CERT-In과 한국을 비롯한 기타 관할권의 SBOM 권고 가이드라인을 정리합니다.
Categories:
규제 동향
SBOM을 둘러싼 관할권별 규제 위상과, 미국의 행정명령·연방 조달 경로를 정리합니다.
Categories:
3. 프로세스
Categories:
3.3 인지
프로그램 참여자가 AI SBOM 정책과 목표, 자신의 기여, 부적합의 영향을 인지하도록 보장하는 방법을 안내한다.
Categories:
3.9 AI SBOM
AI SBOM을 생성·관리하는 절차와 형식, 자동화 도구, 그리고 도구로 메우기 어려운 검증 영역을 안내한다.
Categories:
모델·컨테이너 스캐너 (Lab700x, Trivy, Syft)
AI 모델 바이너리와 추론 서버, AI 패키지를 분석하는 보안 스캐너의 주요 기능과 사용법을 소개한다.
Categories:
운영
외부 컴플라이언스 문의에 대응하는 창구를 만들고, 프로그램에 책임과 자원을 배정하는 단계다.
Categories:
3.4 프로그램 범위
AI SBOM 컴플라이언스 프로그램이 적용되는 범위와 한계를 명확히 선언하는 방법을 안내한다.
Categories:
4. 도구
Categories:
도입 로드맵
기반 다지기에서 운영 성숙까지, 조직이 SBOM 체계를 단계적으로 구축하는 활동을 정리합니다.
Categories:
SBOM(Software Bill of Materials) 실무 가이드
소프트웨어 자재 명세서(SBOM)의 개념부터 표준 형식, 규제 동향, 도입 로드맵, 도구, 취약점 관리, 거버넌스까지 한국 실무자 관점에서 정리한 가이드입니다.
Categories:
거버넌스
AI 시스템 수명주기 전반의 거버넌스 프레임워크를 갖추고, 신흥 AI 규제를 반영하는 단계다.
Categories:
AI SBOM 컴플라이언스 가이드
OpenChain AI SBOM 컴플라이언스 가이드(Version 1.0)의 요구사항을 조항별로 풀어 설명하는 기업 실천 가이드다.
Categories:
5. 교육
Categories:
도구와 자동화
SBOM 생성·관리·스캔 도구와 자동화가 어디까지 되고 어디부터 사람의 몫인지를 정리합니다.
Categories:
도구
AI SBOM을 생성하고 분석하는 오픈소스 도구의 주요 기능과 사용법을 실행 화면과 함께 안내한다.
Categories:
6. 준수 선언
Categories:
취약점 관리와 VEX
SBOM을 취약점 데이터와 연결해 추적하는 방법과, VEX·CSAF로 악용 가능성을 교환하는 체계를 정리합니다.
Categories:
공유와 거버넌스
SBOM의 접근 통제와 공개 범위, 안전한 공유 채널, 그리고 역할과 책임 거버넌스를 정리합니다.
Categories:
권장사항과 체크리스트
앞선 절의 핵심 권장사항을 모으고, SBOM 도입을 점검하는 체크리스트를 제공합니다.