소프트웨어 명세서(SBOM, Software Bill of Materials)의 무결성을 보장하는 일은 소프트웨어 공급망 보안에서 점차 증가하는 과제이다. SBOM은 소프트웨어 구성요소를 식별하고 의존성을 관리하는 데 핵심적이지만, 최근 연구들은 자동 생성 도구가 흔히 불완전하거나 부정확한 결과를 산출함을 보여주었다. 기존의 무결성 검증 방법은 생성 이후의 변조 탐지만을 중심으로 하며, 생성 시점에서의 진위를 확인할 수는 없다. 이러한 한계를 해결하기 위해, 우리는 원격 증명(remote attestation) 프로토콜에서 영감을 받은 새로운 SBOM 무결성 검증 프레임워크를 제안하며, SBOM 생성 과정에서 메타데이터를 내장한다. 이를 통해 SBOM 내용과 그 생성자의 신뢰성 모두를 검증할 수 있다. 완전성을 향상시키기 위해 서로 이질적인 SBOM 표준의 출력물을 병렬로 생성한 뒤 병합하여 누락된 구성요소를 채운다. 우리는 사례 연구를 통해 이 방법이 소프트웨어 공급망에서 투명성과 변조 탐지를 향상시킴을 입증한다.

*본 초록은 AI를 통해 원문을 번역한 내용입니다. 정확한 내용은 하기 원문에서 확인해주세요.