SBOM 제출 절차
작성된 SBOM 파일의 제출 채널과 이메일 양식, 제출 후 프로세스를 안내합니다.
1. 제출 시기
- 소프트웨어 계약 체결 후 초기 납품 시
- 소프트웨어의 주요 버전(Major/Minor) 업데이트 시
- 계약서에 명시된 정기 제출 일정 도래 시
2. 제출 방법
SBOM 파일은 SK텔레콤 사업부서 및 보안부서 담당자에게 이메일 혹은 지정된 시스템을 통해 제출합니다.
제출 방법
- 사업부서 및 보안부서 담당자에게 이메일 또는 담당자가 지정한 채널로 SBOM 파일을 전달합니다.
- 이메일 제목:
[SBOM 제출] 공급사명_프로젝트명_버전 - 첨부파일: 생성된 SBOM 파일 (비밀번호 걸린 압축 파일 금지)
본문 필수 기재 사항:
- 납품 계약 번호
- 담당자 정보 (성명, 부서, 연락처)
- 프로젝트 정보 (시스템명, 상세 버전)
- 사용 도구 (예: SKT SBOM Scanner v1.0)
사업부서 담당자의 TOSCA 등록 의무
공급사로부터 SBOM을 접수한 SK텔레콤 사업부서 담당자는 사내 오픈소스 & SBOM 관리 시스템인 TOSCA에 해당 SBOM을 등록해야 합니다.
TOSCA (SK텔레콤 오픈소스 & SBOM 관리 시스템) https://tosca.sktelecom.com
- TOSCA는 SK텔레콤 내부 시스템으로, 사내 임직원만 접근 가능합니다.
- [SKT 구성원용] 공급사 SBOM 등록 및 리포트 출력 가이드: https://confluence.tde.sktelecom.com/x/bYNULw
3. 제출 후 검증 및 조치
제출된 SBOM은 TOSCA에 등록된 후 아래 절차에 따라 검증됩니다.
| 단계 | 내용 | 처리 기한 |
|---|---|---|
| 형식 검증 | 필수 필드 누락 여부 확인. 미충족 시 반려 통보 | 접수 후 3일 이내 |
| 보안 취약점 분석 | Critical/High 등급 취약점 탐지 여부 자동 분석 | - |
| 조치 요청 | 심각한 취약점 발견 시 패치 계획 또는 소명서 요청 | Critical: 7일 / High: 30일 |
검증 결과 및 조치 요청 사항은 사업부서 담당자를 통해 공급사 및 보안부서 담당자에 통보됩니다.
관련 문서
Feedback
Was this page helpful?
Glad to hear it! Please tell us how we can improve.
Sorry to hear that. Please tell us how we can improve.