Red Hat Summit15.6. 스캔한 이미지에서 SBOM 생성
RHACS를 사용하여 스캔된 컨테이너 이미지에서 SBOM(SoftwareServiceVersion of materials)을 생성할 수 있습니다.
스캔된 컨테이너 이미지에서 SBOM 생성은 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. Red Hat은 프로덕션 환경에서 사용하는 것을 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
SBOM을 생성하려면 스캐너 V4를 활성화해야 합니다. 스캐너 V4 활성화에 대한 자세한 내용은 다음 리소스를 참조하십시오.
OpenShift Container Platform의 경우:
- Operator 방법을 사용하여 Central 설치
- 스캐너 V4 (Helm 설치)
Kubernetes의 경우:
- 스캐너 V4 (Helm 설치)
SBOM은 애플리케이션 내에서 소프트웨어 구성 요소, 종속성 및 라이브러리에 대한 자세한 개요를 제공합니다. RHACS는 scanner V4에서 수행한 검사 결과를 사용하여 SBOM을 생성합니다. RHACS 포털, roxctl CLI 또는 RHACS API를 사용하여 SBOM을 생성할 수 있습니다.
스캐너 V4는 위임된 검사 결과에서 SBOM을 생성할 수 없습니다. 위임된 검사에서는 보안 클러스터를 사용하여 이미지를 인덱싱하고 취약점 일치를 위해 이미지를 Central로 전송합니다. SBOM 생성은 Central에서 구성된 scanner V4를 사용하는 경우에만 사용할 수 있습니다.
15.6.1. SBOM 정보
Software bill of materials (SBOM)는 소프트웨어의 구성 요소와 출처를 나열하는 디지털 레코드입니다. 조직은 SBOM을 사용하여 취약한 소프트웨어 패키지 및 구성 요소를 찾고 보다 신속하게 대응하여 위험을 완화할 수 있습니다. 또한 SBOM을 생성할 수 있는 것은 조직이 Executive Order 14028을 준수하는 데 도움이 됩니다: Nations Cybersecurity 개선
SBOM은 데이터 수집 방법 및 생성 방법에 따라 다양한 유형의 정보를 포함할 수 있습니다. CISA(Cybersecurity & Infrastructure Security Agency)는 SBOM 의 유형을 요약하는 SBOM(Software bill of material) 유형을 제공합니다.
RHACS에서 생성하는 SBOM 유형은 "Analyzed"입니다. CISA는 이러한 유형의 SBOM은 실행 파일, 패키지, 컨테이너 및 가상 머신 이미지와 같은 아티팩트 분석을 통해 생성됩니다. 분석 SBOM은 CISA에 의해 요약된 다음과 같은 이점을 제공합니다.
- 활성 개발 환경 없이 소프트웨어에 대한 정보를 제공할 수 있습니다.
- 빌드 프로세스에 액세스하지 않고 생성할 수 있습니다.
- 다른 도구에서 누락할 수 있는 숨겨진 종속성을 검색하는 데 사용할 수 있습니다.
RHACS에서 생성된 SBOM은 SPDX(System Package Data Exchange) 2.3 형식입니다.
15.6.2. SBOM 생성
다음 방법을 사용하여 SBOM을 생성할 수 있습니다.
- RHACS 포털 사용
취약점 관리 → 결과로 이동하여 사용하려는 이미지를 찾습니다. 다음 작업 중 하나를 수행합니다.
-
이미지 행에서 오버플로 메뉴
를 클릭한 다음 SBOM 생성 을 선택합니다.
- 이미지 세부 정보를 볼 이미지를 선택한 다음 SBOM 생성 을 클릭합니다.
생성된 이미지와 SBOM 형식에 대한 정보를 제공하는 창이 열립니다. SBOM 생성 을 클릭하면 RHACS가 JSON 형식으로 파일을 생성합니다. 브라우저 구성에 따라 브라우저가 파일을 컴퓨터에 자동으로 다운로드할 수 있습니다.
-
이미지 행에서 오버플로 메뉴
roxctlCLI 사용roxctlCLI에서 다음 명령을 실행합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow roxctl image sbom --image=image-name
$ roxctl image sbom --image=image-name1 - 1
- SBOM을 생성할 이미지의 이름 및 참조를 문자열 형식으로 입력합니다. 예를 들어
nginx:latest또는nginx@sha256:….
이 명령에는 다음과 같은 옵션이 있습니다.
| 옵션 | 설명 |
|---|---|
|
|
이미지의 Central 캐시를 무시하고 스캐너에서 새 가져오기를 강제 적용합니다. 기본값은 |
|
| 재시도 횟수를 초 단위로 대기할 시간을 설정합니다. 기본값은 3입니다. |
|
|
이미지 이름 및 참조(예: |
|
| 오류로 종료하기 전에 scanner V4가 재시도해야 하는 횟수를 설정합니다. 기본값은 3입니다. |
- API 사용
-
RHACS API를 사용하여 SBOM을 생성할 수 있습니다.
ROX_API_TOKEN을 사용하여 엔드포인트에 연결하고 SBOM을 생성해야 합니다. 요청 페이로드는 JSON 형식으로 생성됩니다.
자세한 내용은 API 참조의 "GenerateSBOM"을 참조하십시오.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}