Red Hat Summit15.6. 스캔한 이미지에서 SBOM 생성
RHACS를 사용하여 스캔된 컨테이너 이미지에서 SBOM(SoftwareServiceVersion of materials)을 생성할 수 있습니다.
스캔된 컨테이너 이미지에서 SBOM 생성은 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. Red Hat은 프로덕션 환경에서 사용하는 것을 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
SBOM은 애플리케이션 내에서 소프트웨어 구성 요소, 종속성 및 라이브러리에 대한 자세한 개요를 제공합니다. RHACS는 RHACS에서 수행하는 검사 결과를 사용하여 SBOM을 생성합니다. RHACS 포털, roxctl CLI 또는 RHACS API를 사용하여 SBOM을 생성할 수 있습니다.
RHACS는 위임된 검사 결과에서 SBOM을 생성할 수 없습니다. 위임된 검사에서는 보안 클러스터를 사용하여 이미지를 인덱싱하고 취약점 일치를 위해 이미지를 Central로 전송합니다. SBOM 생성은 Central에서 구성된 scanner V4를 사용하는 경우에만 사용할 수 있습니다.
15.6.1. SBOM 정보
Software bill of materials (SBOM)는 소프트웨어의 구성 요소와 출처를 나열하는 디지털 레코드입니다. 조직은 SBOM을 사용하여 취약한 소프트웨어 패키지 및 구성 요소를 찾고 보다 신속하게 대응하여 위험을 완화할 수 있습니다. 또한 SBOM을 생성할 수 있는 것은 조직이 Executive Order 14028을 준수하는 데 도움이 됩니다: Nations Cybersecurity 개선
SBOM은 데이터 수집 방법 및 생성 방법에 따라 다양한 유형의 정보를 포함할 수 있습니다. CISA(Cybersecurity & Infrastructure Security Agency)는 SBOM 의 유형을 요약하는 SBOM(Software bill of material) 유형을 제공합니다.
RHACS에서 생성하는 SBOM 유형은 "Analyzed"입니다. CISA는 이러한 유형의 SBOM은 실행 파일, 패키지, 컨테이너 및 가상 머신 이미지와 같은 아티팩트 분석을 통해 생성됩니다. 분석 SBOM은 CISA에 의해 요약된 다음과 같은 이점을 제공합니다.
- 활성 개발 환경 없이 소프트웨어에 대한 정보를 제공할 수 있습니다.
- 빌드 프로세스에 액세스하지 않고 생성할 수 있습니다.
- 다른 도구에서 누락할 수 있는 숨겨진 종속성을 검색하는 데 사용할 수 있습니다.
RHACS에서 생성된 SBOM은 SPDX(System Package Data Exchange) 2.3 형식입니다.
15.6.2. SBOM 생성
다음 방법을 사용하여 SBOM을 생성할 수 있습니다.
- RHACS 포털 사용
취약점 관리 → 결과로 이동하여 사용하려는 이미지를 찾습니다. 다음 작업 중 하나를 수행합니다.
-
이미지 행에서 오버플로 메뉴
를 클릭한 다음 SBOM 생성 을 선택합니다.
- 이미지 세부 정보를 볼 이미지를 선택한 다음 SBOM 생성 을 클릭합니다.
생성된 이미지와 SBOM 형식에 대한 정보를 제공하는 창이 열립니다. SBOM 생성 을 클릭하면 RHACS가 JSON 형식으로 파일을 생성합니다. 브라우저 구성에 따라 브라우저가 파일을 컴퓨터에 자동으로 다운로드할 수 있습니다.
-
이미지 행에서 오버플로 메뉴
roxctlCLI 사용roxctlCLI에서 다음 명령을 실행합니다.roxctl image sbom --image=image-name
$ roxctl image sbom --image=image-name1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- SBOM을 생성할 이미지의 이름 및 참조를 문자열 형식으로 입력합니다. 예를 들어
nginx:latest또는nginx@sha256:….
이 명령에는 다음과 같은 옵션이 있습니다.
| 옵션 | 설명 |
|---|---|
|
|
이미지의 Central 캐시를 무시하고 스캐너에서 새 가져오기를 강제 적용합니다. 기본값은 |
|
| 재시도 횟수를 초 단위로 대기할 시간을 설정합니다. 기본값은 3입니다. |
|
|
이미지 이름 및 참조(예: |
|
| 오류로 종료하기 전에 scanner V4가 재시도해야 하는 횟수를 설정합니다. 기본값은 3입니다. |
- API 사용
-
RHACS API를 사용하여 SBOM을 생성할 수 있습니다.
ROX_API_TOKEN을 사용하여 엔드포인트에 연결하고 SBOM을 생성해야 합니다. 요청 페이로드는 JSON 형식으로 생성됩니다.
자세한 내용은 API 참조의 "GenerateSBOM"을 참조하십시오.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}