# 권장사항과 체크리스트 > 앞선 절의 핵심 권장사항을 모으고, SBOM 도입을 점검하는 체크리스트를 제공합니다. --- LLMS index: [llms.txt](/llms.txt) --- 앞선 절에서 다룬 내용을 실무 권장사항과 점검표로 정리합니다. 처음 도입하는 조직은 체크리스트를 순서대로 따라가고, 이미 운영 중인 조직은 빠진 항목을 점검하는 용도로 쓰면 됩니다. ## 핵심 권장사항 ### 조달과 생성 - 소프트웨어를 조달할 때 계약과 구매 조건에 SBOM 제공 요구를 명시합니다. 어떤 요소를 어떤 형식으로 언제 제공할지까지 지정합니다. - SBOM은 SPDX 또는 CycloneDX 형식으로 생성합니다. 거래 상대의 요구와 자사 도구 체인을 기준으로 고릅니다. - 빌드 시점에 SSDLC와 CI/CD 파이프라인에서 SBOM을 자동 생성해 정확도와 적시성을 확보합니다. - 새 구성요소가 도입되거나 기존 구성요소가 갱신될 때 SBOM을 다시 만드는 워크플로우를 둡니다. ### 데이터 품질 - 구성요소명, 버전, 라이선스, 고유 식별자 같은 메타데이터를 빠짐없이 담습니다. 최소 요소는 최저선일 뿐이므로 자사 용도에 맞춰 필드를 더합니다. - 구성요소를 [PURL이나 CPE](../2-standards/2-identifiers/)로 고정해, 이름이나 버전이 바뀌어도 추적이 끊기지 않게 합니다. - 생성 도구의 버전을 고정하고 출처를 검증하며, 생성물에 해시와 서명을 붙여 무결성을 보장합니다. ### 취약점과 라이선스 - SBOM을 취약점 데이터베이스와 권고에 연결해 보안 상태를 지속적으로 가시화합니다. - 패치나 완화를 적용하면 자체 SBOM에 반영합니다. - VEX와 CSAF로 취약점의 악용 가능성 상태를 교환하고, 위험 기반으로 대응 우선순위를 정합니다. - 모든 구성요소의 라이선스 호환성을 분석해 결합 시 생길 충돌을 미리 식별합니다. ### 보관과 운영 - SBOM을 암호화와 접근 통제로 안전하게 저장·전송하고, 공개·비공개 범위를 명확히 구분합니다. - 정기 감사로 SBOM의 정확성과 완전성을 점검합니다. - 개발자부터 보안팀까지 SBOM의 역할에 대한 교육과 인식 프로그램을 운영합니다. ## 도입 점검표 단계별로 무엇을 했는지 점검하는 체크리스트입니다. | 단계 | 점검 항목 | |---|---| | 기초 | 중요 자산 식별과 도입 계획 수립 | | 기초 | SBOM 형식(SPDX/CycloneDX)과 최소 데이터 요구 결정 | | 기초 | 안전한 저장소와 도구 선정 | | 기초 | 조달 계약에 SBOM 제공 요구 반영 | | 발전 | 구성요소에 고유 식별자 부여 | | 발전 | 공급사 SBOM과 내부 SBOM 매핑 | | 발전 | 빌드 파이프라인(CI/CD)에 SBOM 자동 생성 통합 | | 발전 | 접근 통제와 암호화 등 안전한 구성 관리 적용 | | 확장 | SBOM과 취약점 데이터베이스 연계 추적 | | 확장 | VEX·CSAF 기반 악용 가능성 관리와 사고 대응 통합 | | 확장 | 정기 검토·감사와 인식 프로그램 운영 | ## 다음 단계 AI 시스템을 개발하거나 공급망으로 주고받는다면, 이 가이드의 SBOM 역량 위에 모델과 데이터셋, 학습 연산이라는 AI 고유 계층을 얹어야 합니다. 일반 SBOM의 구성요소와 라이선스, 취약점 관리 실무가 AI BOM의 소프트웨어 계층으로 그대로 이어집니다. 자세한 내용은 별도 가이드인 [AI SBOM 컴플라이언스 가이드](../../ai-sbom_guide/)에서 다룹니다. ## 출처 NTIA (2021). *The Minimum Elements For a Software Bill of Materials (SBOM)*. CISA (2024). *Framing Software Component Transparency*, Third Edition. CERT-In. *Technical Guidelines on Software Bill of Materials (SBOM)*. Regulation (EU) 2024/2847 — Cyber Resilience Act. (모두 접속: 2026-06-14)