무료 SBOM Tools

1.    Syft

컨테이너 이미지와 파일 시스템에서 SBOM을 생성하는 CLI로 OCI, Docker, Singularity와 같은 일반적인 컨테이너 형식을 지원하며 리눅스 배포판을 자동으로 감지한다. Syft는 SPDX, CycloneDX 및 자체 형식을 지원한다.

2.    SBOM Tool

SBOM tool은 마이크로소프트의 오픈 소스 SBOM 생성기로 확장성이 뛰어나다. NuGet, Go, npm, pip 및 Cargo와 같은 다양한 패키지 관리자를 지원하는 마이크로소프트의 자체 구성 요소 탐지 라이브러리를 사용한다. SBOM 도구는 빌드 시 SPDX 형식으로 SBOM을 생성한다.

3.    Tern

Tern은 컨테이너 이미지와 Docker 파일에서 SBOM을 생성할 수 있는 SCA 도구이다. 라이센스 정보를 수집하는 데 중점을 둔 다음 Tern은 각 종속성을 도입한 이미지를 계층별로 나열한다. Tern은 출력 형식 측면에서 매우 유연하다. 여기에는 잘 알려진 SPDX 및 CycloneDX 형식과 HTML 또는 YAML이 포함된다.

4.    CycloneDX Generator

CycloneDX Generator(cdxgen)는 OWASP SBOM 공식 도구이다. C/C++, JavaScript, Java, Python 및 Haskell과 같은 언어를 포함하여 매우 다양한 프로그래밍 언어를 지원한다. 로컬에서 스캔하거나 CI/CD 파이프라인의 일부로 스캔할 수 있고 CLI와 SBOM을 확인할 수 있는 /bom 엔드포인트를 노출하는 API 서버가 함께 제공된다. 출력 형식은 CycloneDX이다.

5.    SPDX SBOM Generator

SPDX SBOM Generator는 pip, Cargo, npm, Go, Composer, RubyGems 등과 같은 여러 패키지 관리자를 지원하는 다국어 도구이다. SPDX 파일을 출력하는 CLI 도구를 찾고 있다면 매우 적합하다.

6.    DISTRO2SBOM

DISTRO2SBOM은 설치된 패키지가 있는지 리눅스 설치를 확인하는 SBOM 생성기이다. 사용하는 리눅스 배포판을 자동으로 감지할 수 있으며 SPDX 및 CycloneDX 파일을 내보낸다.

7.    Retired.js

Retired.js는 SBOM도 생성할 수 있는 자바스크립트 보안 취약점 스캐너이다. 로컬에서 CLI(CI/CD 파이프라인의 일부)로 사용할 수 있지만 웹사이트를 검색하는 동안 검색할 수 있는 Chrome 확장 기능도 제공한다. CycloneDX 형식으로 SBOM을 생성한다.

8.    bom

bom은 Kubernetes(k8s) 프로젝트의 일부이며 k8s 클러스터 정의에서 바둑 종속성에 대한 SBOM을 생성할 수 있다. bom은 SPDX 파일을 생성하고 400개 이상의 라이센스를 식별할 수 있다.

9.    Jake

취약성에 대한 파이썬 환경을 확인하고 사이클론 DX 형식으로 SBOM 도구를 생성한다.

10. rebar3_sbom

이 솔루션은 Erlang의 SBOM 생성기로서 Erlang의 빌드 도구(Rebar)를 사용하여 CycloneDX 형식의 SBOM을 생성한다.

11. sbom_rs

sbom-rs는 Rust 프로그래밍 언어를 위한 SBOM 도구 모음이다. SPDX 및 CycloneDX 형식을 지원하며 OSV(Open Source Vulnerabilities) 데이터베이스를 기반으로 하는 취약성 스캐너와 함께 제공된다.

12. Fossa

Fossa는 사용하기에 충분히 쉬운 도구이다. 그러나 CLI 명령은 SBOM 파일을 프로젝트에 직접 생성하지 않으므로 직접 프로젝트로 이동해야 한다. 기본적으로 Fossa는 XML이나 JSON이 아닌 SPDX의 일반 텍스트 형식을 사용하여 SBOM을 생성한다.

13. Spectral

Spectral은 소스 코드 및 기타 개발자 자산에 대한 제어 평면 역할을 하는 개발자 중심 솔루션이다. 빌드 시간에 비밀 보호 프로세스를 자동화하여 개발자가 CI/CD를 과급할 수 있도록 한다. API 키, 토큰, 자격 증명 및 보안 오류 구성을 실시간으로 모니터링 및 탐지하고 제3자 종속성의 취약성을 식별하고 업데이트를 자동화한다

14. Jit

Jit는 주로 DevSecOps 오케스트레이션 플랫폼으로 오픈 소스 보안 도구와의 통합을 단순화한다. SBOM 도구로서의 기능과 관련하여, Jit의 자동화된 취약점 탐색 및 라이센스 관리 기능은 개발자가 보다 정확하고 포괄적인 SBOM을 만들도록 도울 수 있다.

15. Codenotary

Codenotary는 구성 요소와 종속성에 대한 변조 방지 및 감사 가능한 기록을 만들기 위해 블록체인 기술을 사용하여 조직이 SBOM을 관리하고 SDLC를 보안하도록 돕는 소프트웨어 공급망 보안 솔루션이다.

16. JFrog

JFrog는 개발자에게 소프트웨어 공급망의 보안을 관리하는 효과적인 방법을 제공하는 SBOM 생성 기능을 갖춘 소프트웨어 구성 분석(SCA) 도구를 제공한다. SCA를 사용하여 개발자는 타사 종속성의 위험을 식별하고 완화하여 애플리케이션의 보안을 보장할 수 있다. 동시에 SBOM 세대는 널리 사용되는 빌드 및 개발 도구와 절반이 통합되어 개발자가 SBOM 세대를 개발 워크플로우에 원활하게 통합할 수 있다.

17. Anchore (free version)

Anchore는 SBOM 기반의 소프트웨어 공급망 보안 플랫폼으로 정확한 SBOM을 생성하고 취약점을 검색하며 규정 준수를 추적하고 애플리케이션 라이프사이클 전반에 걸쳐 위험을 모니터링한다. Anchore의 정책 엔진은 팀이 자동으로 사용자 지정 정책을 정의하고 시행할 수 있도록 하여 애플리케이션이 규제 및 규정 준수 요구 사항을 충족하는지 확인한다.

18. Cybeats (free trial)

Cybeats는 IoT 및 임베디드 장치를 위한 자동화된 SBOM 관리 기능을 제공하는 사이버 보안 플랫폼이다. 이 플랫폼은 장치 펌웨어와 소프트웨어를 지속적으로 모니터링하여 실시간 취약점을 탐지하고 완화한다. SBOM 솔루션을 통해 개발자는 종속성을 명확하게 볼 수 있는 모든 소프트웨어 및 하드웨어 구성 요소를 포함한 정확한 자료를 쉽게 생성할 수 있다. 또한 개발자가 각 구성 요소의 취약점과 라이센스를 분석하여 제3자 위험을 평가하고 관리할 수 있도록 돕는다.

19. Endor Labs (free trial)

Endor Labs는 직관적인 사용자 인터페이스로 SBOM 생성을 자동화한다. 이 도구는 기존 DevOps 워크플로우와 통합되며 소프트웨어 구성 요소를 지속적으로 모니터링하여 새로운 취약점이 신속하게 식별되고 해결되도록 한다. 또한 조직이 소프트웨어 공급망을 보호하기 위해 필요한 조치를 취했음을 입증함으로써 규정 준수 요구 사항을 충족하도록 돕는 감사 추적 기능을 제공한다. 개발자는 SPDX 또는 CycloneDX 형식으로 SBOM을 생성할 수 있다.

20. Rezilion (free trial)

Rezilion은 자동화된 SCA 및 동적 SBOM 생성 기능을 제공한다. 응용 프로그램의 코드베이스를 분석하고 모든 타사 구성 요소와 그 종속성을 식별하여 버전 번호, 라이센스 및 알려진 취약점과 같은 각 구성 요소에 대한 정보가 포함된 상세 보고서를 생성한다. Jenkins, GitHub Actions, GitLab CI/CD, CircleCI 및 Azure DevOps와 같은 인기 있는 CI/CD 도구와 통합되어 SDLC의 모든 단계에서 최신 SBOM 보고서를 생성할 수 있다.

21. Dynamic SBOM Platform

Rezilion가 개발한 SBOM 관리 솔루션으로 애플리케이션, 라이브러리, 도커(Docker) 컨테이너 등에 포함된 SBOM을 활용하여 동적으로 소프트웨어의 오픈소스 구성요소 및 취약한 구성요소를 관리한다.

22. Phylum

Phylum가 개발한 소프트웨어 공급망 보안 솔루션으로, 개발 및 CI/CD 환경에서 휴리스틱, 머신 러닝을 이용하여 소프트웨어 패키지를 자동으로 식별하고 공급망 위험을 분석한다.

23. Cyber Security Asset Management (free trial)

Qualys가 개발한 IT 자산 관리 솔루션으로 사이버 보안 태세를 지속해서 측정, 분류, 검색할 수 있도록 고객의 내부 및 외부 IT 자산을 관리할 수 있는 클라우드형 서비스이다.

24. Black Duck Software Composition Analysis

Synopsys가 개발한 소프트웨어 구성 분석 솔루션으로 애플리케이션 및 컨테이너에서 오픈소스 또는 타사 코드 사용으로 인해 발생하는 보안, 품질 및 라이센스 규정 준수 위험을 관리하는 기능을 제공한다.

25. CodeSentry

GrammaTech가 개발한 바이너리 소프트웨어 구성 분석 도구로 바이너리 분석을 통하여 SBOM을 생성하고 종속성을 포함하여 탐지된 구성요소에서 알려진 취약점(NVD, National Vulnerabilities Database)을 식별한다.

26. Nexus Lifecycle (free version, free trial)

Sonatype가 개발한 오픈소스 보안 및 종속성 관리 제품으로, 소프트웨어 수명 주기 전반에서 오픈소스 취약점을 자동으로 식별 및 수정하는 기능을 제공한다.

27. RKVST

RKVST가 개발한 SBOM 관리 플랫폼으로 자산 정보를 지속적으로 증명하기 위해 블록체인 기반의 데이터 교환 및 보증기술을 사용한다.

28. Application Security Posture Management (free version)

Bionic가 개발한 프로덕션 애플리케이션의 보안성 향상을 위한 통합 보안 관리 솔루션이다.

29. CycloneDX-CLI

기계가 읽을 수 있는 형식과 SBOM을 취약점, 종속성 그래프 및 BOM 설명자를 염두에 둔 추가 기능과 공유하는 방법을 제공한다.

30. FOSSology

FOSSology는 오픈소스 라이선스 컴플라이언스 소프트웨어 시스템 및 도구로, 소프트웨어를 검색하는 여러 가지 방법을 제공한다.

31. Scancode toolkit

Scancode toolkit은 쉽게 찾을 수 없는 라이선스 및 원본 패키지 데이터들을 검색하고 정규화 한다.

32. SBOM Operator

Codenotary 가 개발한 SBOM 오퍼레이터는 쿠버네티스로 실행되는 모든 소프트웨어와 소프트웨어 종속성을 트래킹하여 소프트웨어 공급 체인 공격의 리스크를 줄인다.

33. Clarity (free version)

Insignary의 Clarity는 소프트웨어 공급망에서 타사 코드의 보안 및 라이선스 준수 문제를 관리할 수 있는 상용 소프트웨어 구성 분석 도구이다.

34. Snyk(free version)

SW개발 tool chain에 연동하여, commit이나 build, CI/CD 시 프로젝트의 의존성을 검사해서 보 안 취약점이 있는 외부 open source 사용여부를 알려주는 보안 도구