endoflife.date 데이터를 Dependency-Track과 통합해 SBOM 스캔 시 패치 미적용 EoL 의존성을 자동 감지

Context

OWASP Dependency-Track는 SBOM에서 알려진 CVE를 효과적으로 탐지한다. 그러나 EoL(End-of-Life) 상태의 소프트웨어는 보안 업데이트를 받지 않아 패치되지 않은 취약점이 존재할 수 있다. 이러한 숨겨진 위험은 기존 CVE 스캔만으로는 감지되지 않는다.

Technical Solution

• endoflife.date 통합 바이너리 설치: Linux/Windows 환경에서 v0.1.0-alpha 바이너리를 다운로드하고 Dependency-Track API와 연동
• Dependency-Track API 인증: Administration → Access Management → Teams에서 API 키를 생성해 통합 도구에 전달
• SBOM 프로젝트 사전 준비: Projects → Add Project에서 SBOM을 업로드하고 컴포넌트 처리 완료 대기
• EoL 매칭 엔진: PURL, CPE, 이름 기반 휴리스틱으로 endoflife.date 데이터와 의존성 비교
• 결과 검토: Dependency-Track UI에서 "INT" 검색으로 플래그된 EoL 컴포넌트 확인 및 프로그램 출력에서 매칭 세부사항 조회

Key Takeaway

SBOM 스캔 워크플로우에 EoL 메타데이터 레이어를 추가하면 CVE 데이터만으로 감지되는 알려진 취약점과 별개로 라이프사이클 종료 의존성이라는 구조적 위험을 조기에 식별할 수 있다. 현재 실험 단계이므로 프로덕션 배포 전에 테스트 환경에서 매칭 정확도와 누락 사례를 검증해야 한다.