구름이 통합개발환경 플랫폼 ‘구름IDE’에 보안 취약점을 분석하는 SBOM을 탑재한다. 구름은 “SW 개발 초기 단계부터 내부 취약점을 파악하고 위험 요인에 효율적으로 대응할 수 있도록 해 SW 공급망 보안을 강화하겠다”며 이같이 밝혔다.
SW 공급망이란 개발, 배포, 실행, 유지보수 등 SW 활용을 둘러싼 모든 과정을 의미한다. 지난 2021년 미국 정부는 소프트웨어 공급망 보안을 강화하기 위한 행정명령을 발표했다. 이로써 미국 정부기관에 공급하는 기업이 SW 개발 단계에서 사용되는 오픈 소스의 라이선스 및 보안 취약점 정보를 담은 ‘SBOM(Software Bill of Materials)’을 작성해 제출해야 한다.
구름은 이러한 흐름을 반영해 구름IDE에 SBOM 생성 기능을 도입했다. 구름IDE 사용자는 컨테이너에서 공급자 이름, 구성요소 이름, 구성요소 버전 등을 포함한 SBOM 보고서를 생성할 수 있으며 주요 SBOM 포맷인 SPDX와 사이클론(Cyclone)DX의 형식으로 자동 출력할 수 있다.
오픈소스 취약점 정보를 식별하여 제공함으로써 SW 개발자들은 보안 위협에 대응하고 안전한 버전으로 오픈소스를 업데이트 할 수 있다. 특히 주요 정보를 다루는 공공기관이나 금융, 게임, 커머스 업계에서 오픈소스 라이선스를 확인하고 발생가능한 법적 문제를 사전에 예방할 수 있을 것으로 기대된다.
곽경주 구름 CSO는 “한국은 물론 전세계의 구름IDE 사용자들에게 소프트웨어의 보안을 우선시하면서도 효율적으로 작업할 수 있는 환경을 제공하기 위해 노력하고 있다”며 “SBOM 기능을 지속적으로 개선하고 확장하여 개발자들이 보다 신뢰할 수 있는 소프트웨어를 개발할 수 있도록 지원하겠다”고 말했다.
한편 구름은 ‘모두가 개발자가 된다’는 미션 아래 구름EDU, 구름DEVTH, 구름IDE 등 다양한 글로벌 서비스를 제공한다. 이중 구름IDE는 클라우드 기반으로 언제 어디서든 쉽게 개발 환경을 구축할 수 있는 통합개발환경 플랫폼이다.
헬로티 이창현 기자 |
