콘텐츠로 이동

BomLens

로컬 우선 설계

sktelecom/sbom-tools

로컬 우선 설계¶

분석 대상은 기기 밖으로 나가지 않습니다¶

BomLens는 SaaS 없이 로컬에서 동작합니다. 분석 대상인 소스 코드, 펌웨어, 전달받은 SBOM은 외부 서비스로 전송되지 않습니다. 스캔은 로컬 Docker 컨테이너 안에서 끝나며, 산출물도 실행한 디렉터리에만 남습니다.

폐쇄망과 오프라인에서 쓸 수 있습니다¶

BomLens는 폐쇄망과 오프라인 환경에서 동작합니다. 외부 조회가 필요한 일부 기능은 끄면 되고, 나머지는 그대로 생성됩니다. 대표적으로 보안 보고서의 EPSS와 CISA KEV 보강은 SECURITY_ENRICH=false로 끄면 생략되고 나머지 보고서는 그대로 만들어집니다. 라이선스 조회도 FETCH_LICENSE=false로 생략할 수 있습니다.

산출물은 표준 포맷입니다¶

산출물은 표준 포맷을 씁니다. SBOM은 CycloneDX 1.6입니다. 특정 벤더에 묶이지 않으므로 어디서든 검증하고 재사용할 수 있습니다. 같은 입력에 대해 바이트 단위로 동일한 SBOM이 필요하면 --byte-stable을 쓰세요.

진입점이 달라도 스캐너는 하나입니다¶

세 가지 진입점인 CLI, 웹 UI, 데스크톱 앱은 모두 같은 로컬 스캐너 컨테이너를 씁니다. 도구를 쓰는 방식만 다를 뿐 동작과 산출물은 동일합니다.

생성은 BomLens, 거버넌스는 TRUSCA¶

BomLens는 생성에 집중합니다. 전사 프로젝트 관리, 취약점 triage, 라이선스 정책 게이트 같은 거버넌스는 자매 프로젝트 TRUSCA(구 TrustedOSS Portal, https://github.com/trustedoss/trusca)에 위임합니다. 두 도구는 CycloneDX 산출물을 그대로 주고받습니다.

관련 문서¶

2단계 파이프라인 동작은 BomLens 동작 원리를, 산출물 종류는 산출물 레퍼런스를 참고하세요.