튜토리얼: GitLab 패키지 레지스트리로 소프트웨어 자재 명세서(SBOM) 생성하기

CI/CD 파이프라인을 사용하여 CycloneDX 형식의 SBOM을 생성하고, 그룹의 여러 프로젝트에 걸친 패키지를 수집하는 방법을 알아봅니다.

이 튜토리얼은 CI/CD 파이프라인을 사용하여 CycloneDX 형식의 소프트웨어 자재 명세서(SBOM)를 생성하는 방법을 안내합니다. 빌드할 파이프라인은 그룹의 여러 프로젝트에 걸쳐 패키지를 수집하여 관련 프로젝트의 의존성에 대한 포괄적인 뷰를 제공합니다. 이 튜토리얼을 완료하기 위해 Python 가상 환경을 생성하지만, 지원되는 다른 패키지 유형에도 동일한 접근 방식을 적용할 수 있습니다. 소프트웨어 자재 명세서란 무엇인가요? # SBOM은 소프트웨어 제품을 구성하는 모든 소프트웨어 구성 요소의 기계 판독 가능한 인벤토리입니다. SBOM에는 다음이 포함될 수 있습니다: 직접 및 간접 의존성 오픈 소스 구성 요소 및 라이선스 패키지 버전과 출처 소프트웨어 제품을 사용하려는 조직은 채택 전에 제품의 보안 수준을 확인하기 위해 SBOM을 요구할 수 있습니다. GitLab 패키지 레지스트리에 익숙하다면 SBOM과 의존성 목록 의 차이점이 궁금할 수 있습니다. 다음 표는 주요 차이점을 강