TrustBOM
소프트웨어 산출물을 신뢰 가능한 방식으로 전달하고, 수신자가 무결성과 보안 상태를 함께 확인할 수 있도록 돕는 전달·검증 기능입니다.
TrustBOM 이해
TrustBOM을 사용하기 전에 전달, 검증, 증빙에 관한 핵심 개념을 이해하면 기능을 훨씬 쉽게 활용할 수 있습니다.
SBOM (SW 자재명세서)이란?
SBOM은 소프트웨어에 사용된 라이브러리, 패키지, 프레임워크 목록입니다. 공급망 보안에서는 어떤 구성요소가 포함되어 있는지 빠르게 파악하고 취약점이나 라이선스 이슈를 추적하는 출발점이 됩니다.
전자서명이란?
전자서명은 전달한 파일이 실제 발신자가 보낸 원본이며 중간에 변조되지 않았음을 확인할 수 있게 해줍니다.
외부 검증 로그란?
서명 시점의 검증 흔적을 제3자가 다시 확인할 수 있도록 남겨 두는 기록입니다. 전달 이후에도 신뢰 근거를 독립적으로 검증할 수 있게 합니다.
TrustBOM이 해결하는 문제
서명 & 공유 링크 생성
간단한 단계별 설정으로 서명 처리와 공유 링크를 함께 생성합니다. 수신자에게 필요한 신뢰 근거가 하나의 보안 링크에 담깁니다.
프로젝트 선택
프로젝트 선택: Security Advisory에 등록된 프로젝트 중 전달 대상을 선택합니다.
공급자 정보 확인
공급자 정보 확인: 수신자에게 표시될 회사 및 담당자 정보를 점검합니다.
Trust Policy 설정
Trust Policy 설정: 수신자에게 전달할 보안 기준을 선택적으로 명시합니다.
서명 및 보호 설정
서명 및 보호 설정: 서명 방식과 링크 보호 설정을 구성합니다.
공유 링크 생성 완료
링크 생성 완료: 전달에 필요한 인증 자료와 공유 링크가 함께 준비됩니다.
TrustObject 관리
서명 처리된 산출물을 버전별로 관리하고, 납품 기록과 현재 보안 상태를 함께 유지합니다.
각 산출물의 서명 상태와 무결성 검증 결과를 버전별로 추적합니다. 납품 이후에도 새로운 취약점이 발견되면 알림을 받아 보안 모니터링을 이어갈 수 있습니다.
산출물 상세에서는 보안 평가 결과, 무결성 검증 내역, 발견된 취약점 목록, 원본 SBOM을 하나의 뷰에서 확인할 수 있습니다.
납품 이후 취약점 모니터링
인증서(TrustCert) 관리
TrustCert는 공급자의 신원과 검증 정보를 담은 디지털 신분증입니다. 등록된 인증서는 서명 과정에서 신뢰 근거로 활용되며, 복수의 인증서를 용도에 따라 관리할 수 있습니다.
• 공급자명
• 이메일
• 서명 방식
• 유효기간
인증서 폐기 주의사항
공유 링크 관리
생성된 모든 공유 링크를 한 곳에서 조회하고 복사, QR 생성, 비활성화, 삭제 같은 작업을 수행합니다.
링크 복사
QR 코드 생성
활성/비활성 토글
영구 삭제
외부 수신자 검증 페이지
공유 링크를 받은 수신자는 Hexamind 계정 없이도 브라우저에서 무결성과 보안 정보를 확인할 수 있습니다.
링크 접속 및 접근 확인
공유 링크를 열고 설정된 방식으로 접근 확인을 완료합니다.
보안 정보 확인
보안 분석 결과, 신뢰 검증 내역, 버전 비교, 파일 다운로드를 한 화면에서 확인합니다.
취약점 새로고침
새로운 취약점 정보가 필요할 때 최신 상태로 새로고침합니다.
보안 점수 해석 방법