피드로 돌아가기
Docker BlogDocker Blog
Security

2027년까지 SBOM 및 24시간 내 취약점 보고 의무화

EU Cyber Resilience Act: Overview, Requirements, and Timelines

Dan Berezin Stelzer2026년 6월 25일14intermediate

Context

EU 시장 내 하드웨어 및 소프트웨어 제품의 사이버 보안 기준 부재로 인한 공급망 리스크 증가 상황. 제품별 상이한 보안 의무와 패치 및 취약점 공개 절차의 표준 부재로 인한 보안 공백 발생.

Technical Solution

  • 모든 디지털 요소 제품에 대해 기계 판독 가능한 SBOM(Software Bill of Materials) 생성 및 기술 문서 포함 설계
  • SPDX 및 CycloneDX 포맷을 활용한 패키지 및 의존성 메타데이터의 체계적 관리
  • BuildKit의 Image Attestation 기능을 통한 컨테이너 빌드 워크플로우 내 SBOM 자동 생성 파이프라인 구축
  • 2026년 9월부터 시행되는 실시간 취약점 보고를 위해 SBOM 기반의 신속한 영향도 분석 체계 마련
  • 상용 배포되는 Container Runtime을 '디지털 요소 제품'으로 정의하여 Image Hardening 및 취약점 관리 강제
  • Cloud Component의 경우 원격 처리 여부, 핵심 기능 의존성, 제조사 제어권을 기준으로 CRA 적용 범위 결정

1. BuildKit 기반의 SPDX 포맷 SBOM 생성 파이프라인 구축 여부 검토

2. SBOM 내 내부 호스트네임 및 Secret 포함 여부 스캐닝 및 제거 공정 추가

3. 2026년 9월 11일 이전까지 심각한 보안 사고의 24시간 내 보고 프로세스 수립

4. 상용 서비스 중 Cloud Component의 CRA 적용 범위(3-part test) 판별

원문 읽기