스패로우, SW 공급망보안 관리 가능한 ‘스패로우 엔터프라이즈’
스패로우(대표 장일수)는 소프트웨어 개발 전 과정에서 보안 취약점 진단이 가능한 제품과 서비스를 모두 제공하는 애플리케이션 보안 전문기업이다. 최근 공급업체를 통해 기업 내부 자산에 침투하는 공급망 공격이 증가하고 있다. 스패로우는 ISEC 2023에서 소프트웨어 자재명세서인 SBOM(Software Bill of Materials)을 활용해 공급망 보안 관리 체계를 마련할 수 있는 ‘스패로우 엔터프라이즈(Sparrow Enterprise)’를 소개한다.
▲스패로우의 SBOM을 활용해 공급망 보안 관리가 가능한 ‘스패로우 엔터프라이즈’[자료=스패로우]
스패로우 엔터프라이즈는 2023년 6월 출시된 솔루션으로 다양한 애플리케이션 보안 테스팅 도구들을 하나의 시스템에서 사용하고 취약점 점검 결과를 통합관리할 수 있는 플랫폼이다. 각 기업에서 설정한 보안 점검 체계에 맞게 개발-테스트-운영 단계에서 필수적인 취약점 진단을 자동화하고 제공되는 취약점 해결 방안을 활용, 조치해 소프트웨어의 안전을 확보할 수 있다.
스패로우 엔터프라이즈에서 사용 가능한 제품은 △SBOM을 생성하고 오픈소스 취약점 점검 후 안전한 버전을 알려주는 ‘Sparrow SCA’ △소스코드에 잠재하는 보안 취약점을 점검하는 ‘Sparrow SAST’ △코드 메트릭, MISRA 등 코드 품질을 점검하는 ‘Sparrow SAQT’ △운영 중에 발생할 수 있는 다양한 웹 취약점을 진단하는 ‘Sparrow DAST’ 등으로 구성된다. 이 제품들은 개발팀, 운영팀, 보안팀 모두 단일 플랫폼에서 합의된 보안 룰셋을 적용할 수 있어 데브섹옵스 구현이 가능하다.
<원문 기사 보기>