피드로 돌아가기
Docker BlogSecurity
원문 읽기
2027년까지 SBOM 및 24시간 내 취약점 보고 의무화
EU Cyber Resilience Act: Overview, Requirements, and Timelines
AI 요약
Context
EU 시장 내 하드웨어 및 소프트웨어 제품의 사이버 보안 기준 부재로 인한 공급망 리스크 증가 상황. 제품별 상이한 보안 의무와 패치 및 취약점 공개 절차의 표준 부재로 인한 보안 공백 발생.
Technical Solution
- 모든 디지털 요소 제품에 대해 기계 판독 가능한 SBOM(Software Bill of Materials) 생성 및 기술 문서 포함 설계
- SPDX 및 CycloneDX 포맷을 활용한 패키지 및 의존성 메타데이터의 체계적 관리
- BuildKit의 Image Attestation 기능을 통한 컨테이너 빌드 워크플로우 내 SBOM 자동 생성 파이프라인 구축
- 2026년 9월부터 시행되는 실시간 취약점 보고를 위해 SBOM 기반의 신속한 영향도 분석 체계 마련
- 상용 배포되는 Container Runtime을 '디지털 요소 제품'으로 정의하여 Image Hardening 및 취약점 관리 강제
- Cloud Component의 경우 원격 처리 여부, 핵심 기능 의존성, 제조사 제어권을 기준으로 CRA 적용 범위 결정
실천 포인트
1. BuildKit 기반의 SPDX 포맷 SBOM 생성 파이프라인 구축 여부 검토
2. SBOM 내 내부 호스트네임 및 Secret 포함 여부 스캐닝 및 제거 공정 추가
3. 2026년 9월 11일 이전까지 심각한 보안 사고의 24시간 내 보고 프로세스 수립
4. 상용 서비스 중 Cloud Component의 CRA 적용 범위(3-part test) 판별