Local LLM Artifact의 구조적 파싱을 통한 SBOM 자동화 및 거버넌스 체계 구축

Context

기존 SBOM 도구의 SaaS API 및 패키지 매니저 중심 스캔 방식으로 인한 Local LLM Artifact(.gguf, .safetensors) 식별 불가 현상 발생. 모델 파일을 단순 바이너리로 취급함에 따른 메타데이터 누락 및 보안 취약점 검증 공백이라는 구조적 한계 존재.

Technical Solution

• 모델 파일 내부의 Weight, Metadata, Quantization Parameter를 직접 파싱하는 Low-level Inspection 메커니즘 도입
• general.architecture 및 general.license.name 태그 추출을 통한 모델 정체성 및 라이선스 준수 여부 검증 로직 설계
• 파일 해시 체크를 넘어선 구조적 무결성(Structural Integrity) 검사로 아키텍처 불일치 및 설정 오류 식별
• SPDX 및 HuggingFace 표준 규격의 lightweight SBOM 생성으로 기존 Enterprise Registry와의 통합 가속화
• CLI-first 접근 방식을 통한 CI/CD 파이프라인 내 즉각적인 피드백 루프 및 On-premise 데이터 보안 유지