취약점 관리 프로세스
소프트웨어 생명주기 전반에 걸친 취약점 식별, 평가, 조치, 검증의 4단계 프로세스를 정의합니다.
취약점 관리
SBOM을 활용하여 소프트웨어의 보안 취약점을 식별하고 지속적으로 모니터링하며 대응하는 전체 프로세스를 안내합니다.
개요
SBOM 생성은 끝이 아니라 시작입니다. 생성된 SBOM 데이터를 활용하여 우리 소프트웨어에 숨어있는 알려진 취약점(Known Vulnerabilities)을 찾아내고, 신속하게 조치하는 것이 공급망 보안의 핵심 목표입니다.
본 가이드는 SK텔레콤의 취약점 관리 프로세스와 도구 활용법을 다룹니다.
가이드 구성
- 취약점 관리 프로세스: 취약점 식별부터 조치까지의 전체 프로세스 흐름을 이해합니다.
- 지속적 모니터링: 일회성 점검이 아닌, 매일 새로운 위협을 감지하는 체계를 구축합니다.
- 사고 대응 시나리오: Log4j와 같은 긴급 보안 사고 발생 시 대응 절차를 학습합니다.
graph TD
A["SBOM 수집"] --> B["관리 포털 업로드"]
B --> C{"취약점 분석"}
C -->|취약점 발견| D["티켓 생성 (Jira)"]
D --> E["개발팀 할당"]
E --> F["패치/완화 조치"]
F --> G["재검증 및 완료"]
C -->|정상| H["모니터링 유지"]지속적 모니터링
매일 새롭게 발표되는 취약점 정보를 실시간으로 감지하고 알림을 받는 자동화된 모니터링 체계를 설명합니다.
취약점 대응
긴급 보안 사고 발생 시 SBOM을 활용하여 신속하게 영향을 파악하고 대응하는 절차를 Log4j 사태를 예시로 설명합니다.
Feedback
Was this page helpful?
Glad to hear it! Please tell us how we can improve.
Sorry to hear that. Please tell us how we can improve.