Skip to content
Merged
Show file tree
Hide file tree
Changes from all commits
Commits
File filter

Filter by extension

Filter by extension

Conversations
Failed to load comments.
Loading
Jump to
Jump to file
Failed to load files.
Loading
Diff view
Diff view
13 changes: 13 additions & 0 deletions content/ko/guide/ai-sbom_guide/1-program-foundation/_index.md
Original file line number Diff line number Diff line change
@@ -0,0 +1,13 @@
---
title: "프로그램 기반"
linkTitle: "프로그램 기반"
weight: 10
type: docs
categories: ["guide"]
tags: ["AI SBOM", "프로그램 기반"]
description: >
AI SBOM 컴플라이언스 프로그램의 기반을 세우는 단계다. 정책, 역량, 인지, 범위를 갖춘다.
---

구축 로드맵의 1단계다. 프로그램의 범위를 정하고(3.4), 정책을 수립하며(3.1), 참여자의 역량과
인지를 확보한다(3.2, 3.3). 이후의 모든 조항이 이 기반 위에서 작동한다.
Original file line number Diff line number Diff line change
Expand Up @@ -104,6 +104,10 @@ flowchart TD
| 관리 | SBOM 저장·취약점 모니터링 | 성숙 | Dependency-Track, SW360 |
| 검토 | 라이선스·출처 정확성 판단 | 사람·정책 | 도구 보완 단계 |

각 도구의 설치와 사용법, 실행 화면은 [도구](../../5-tools/) 절에서 자세히 다룬다([OWASP AIBOM
Generator](../../5-tools/1-aibom-generator/), [cdxgen](../../5-tools/2-cdxgen/),
[모델·컨테이너 스캐너](../../5-tools/3-scanners/)).

cdxgen으로 AI BOM을 생성하는 명령은 다음과 같다. Hugging Face 모델 URL과 purl, Modelfile,
GGUF 아티팩트를 직접 입력할 수 있다([cdxgen AI-BOM 문서](https://github.com/cdxgen/cdxgen/blob/master/docs/AI_BOM.md)).

Expand All @@ -119,7 +123,7 @@ OWASP AIBOM Generator는 Hugging Face 모델을 입력받아 CycloneDX 형식 AI
점수를 매긴다. OWASP Gen AI Security Project가 관리하며 Hugging Face Space로도 제공된다
([OWASP AIBOM Generator](https://genai.owasp.org/resource/owasp-aibom-generator/)).

**실측 — cdxgen으로 생성해 보기**
**직접 실행 — cdxgen으로 생성해 보기**

사전학습 모델(`facebook/bart-large-cnn`)을 불러오는 요약 앱(`transformers`, `torch` 의존)에
cdxgen을 실제로 돌린 결과다. 도구가 의존성 5건을 자동으로 식별해 CycloneDX 1.7 형식 BOM을
Expand Down Expand Up @@ -155,9 +159,9 @@ CycloneDX Generator 12.5.1 (Node.js)
}
```

**그림 2.** cdxgen 12.5.1 실측 출력 *(실행일 2026-06-13, `-t python --include-formulation`)*
**그림 2.** cdxgen 12.5.1 실행 출력 *(실행일 2026-06-13, `-t python --include-formulation`)*

{{% alert title="실측이 보여주는 것 — 생성은 도구, 검증은 사람" color="warning" %}}
{{% alert title="실행 결과가 보여주는 것 — 생성은 도구, 검증은 사람" color="warning" %}}
- 도구는 `requirements.txt`에서 의존성 5건을 자동 식별해 BOM을 만들었다. 생성은 자동화된다.
- 그러나 각 컴포넌트의 `licenses` 필드가 비어 있다. 라이선스 정확성은 사람이 확인해 채워야 한다.
- 앱이 불러오는 사전학습 모델 `facebook/bart-large-cnn`은 코드 스캔만으로는 BOM에 잡히지
Expand Down
14 changes: 14 additions & 0 deletions content/ko/guide/ai-sbom_guide/2-ai-extension/_index.md
Original file line number Diff line number Diff line change
@@ -0,0 +1,14 @@
---
title: "AI 확장 프로세스"
linkTitle: "AI 확장 프로세스"
weight: 20
type: docs
categories: ["guide"]
tags: ["AI SBOM", "라이선스", "투명성"]
description: >
코드를 넘어 모델과 가중치, 데이터셋까지 다루는 AI 고유의 라이선스, 투명성, SBOM 프로세스를
구축하는 단계다.
---

구축 로드맵의 2단계다. AI SBOM 가이드가 ISO/IEC 5230에서 가장 크게 확장된 영역으로, 라이선스
의무(3.5)와 투명성 의무(3.6), AI SBOM 생성·관리(3.9)를 다룬다.
13 changes: 13 additions & 0 deletions content/ko/guide/ai-sbom_guide/3-relevant-tasks/_index.md
Original file line number Diff line number Diff line change
@@ -0,0 +1,13 @@
---
title: "운영"
linkTitle: "운영"
weight: 30
type: docs
categories: ["guide"]
tags: ["AI SBOM", "운영"]
description: >
외부 컴플라이언스 문의에 대응하는 창구를 만들고, 프로그램에 책임과 자원을 배정하는 단계다.
---

구축 로드맵의 3단계다. 외부의 AI SBOM 컴플라이언스 문의에 대응하는 창구를 만들고(3.7),
프로그램에 책임과 인력, 재원을 배정한다(3.8).
13 changes: 13 additions & 0 deletions content/ko/guide/ai-sbom_guide/4-governance/_index.md
Original file line number Diff line number Diff line change
@@ -0,0 +1,13 @@
---
title: "거버넌스"
linkTitle: "거버넌스"
weight: 40
type: docs
categories: ["guide"]
tags: ["AI SBOM", "거버넌스"]
description: >
AI 시스템 수명주기 전반의 거버넌스 프레임워크를 갖추고, 신흥 AI 규제를 반영하는 단계다.
---

구축 로드맵의 4단계다. 앞선 조항을 하나로 묶어 AI 시스템 수명주기 전반의 거버넌스 프레임워크를
갖추고, 신흥 AI 규제를 반영해 정기적으로 검토한다(3.10).
Original file line number Diff line number Diff line change
Expand Up @@ -6,7 +6,7 @@ categories: ["guide"]
tags: ["AI SBOM", "OWASP", "CycloneDX", "도구"]
description: >
Hugging Face 모델에서 CycloneDX 형식 AI SBOM을 생성하고 완전성 점수를 매기는 OWASP 도구의
사용법을 실측 화면과 함께 안내한다.
사용법을 실행 화면과 함께 안내한다.
---

## 개요
Expand Down Expand Up @@ -78,7 +78,7 @@ $ aibom facebook/bart-large-cnn -o aibom.json
- External References: 10/10
```

**그림 3.** CLI 실측 출력 *(aibom CLI, 모델 facebook/bart-large-cnn, 실행 2026-06-13)*
**그림 3.** CLI 실행 출력 *(aibom CLI, 모델 facebook/bart-large-cnn, 실행 2026-06-13)*

생성된 BOM의 모델 컴포넌트는 라이선스와 모델 카드가 채워진다. cdxgen 출력과 달리 `licenses`
필드가 비어 있지 않다.
Expand All @@ -94,10 +94,10 @@ $ aibom facebook/bart-large-cnn -o aibom.json
}
```

## 실측이 보여주는 것
## 실행 결과가 보여주는 것

{{% alert title="완전성 점수는 입력 메타데이터 품질에 좌우된다" color="info" %}}
실측에서 완전성 점수는 58.7/100(Basic)이었다. Required Fields와 External References는 만점이지만
실제 실행에서 완전성 점수는 58.7/100(Basic)이었다. Required Fields와 External References는 만점이지만
모델 카드 점수가 6.7/30으로 낮다. 이는 도구의 한계가 아니라, 모델 제공자가 Hugging Face 모델
카드에 정보를 충분히 채우지 않았기 때문이다. 도구는 있는 메타데이터를 충실히 가져오지만, 없는
정보를 만들어 내지는 못한다. 모델 카드가 부실하면 사람이 출처를 확인해 보강해야 한다.
Expand Down
8 changes: 4 additions & 4 deletions content/ko/guide/ai-sbom_guide/5-tools/2-cdxgen/_index.md
Original file line number Diff line number Diff line change
Expand Up @@ -5,7 +5,7 @@ type: docs
categories: ["guide"]
tags: ["AI SBOM", "cdxgen", "CycloneDX", "도구"]
description: >
프로젝트와 모델에서 CycloneDX SBOM을 생성하는 OWASP cdxgen의 AI BOM 모드 사용법을 실측
프로젝트와 모델에서 CycloneDX SBOM을 생성하는 OWASP cdxgen의 AI BOM 모드 사용법을 실행
출력과 함께 안내한다.
---

Expand All @@ -16,7 +16,7 @@ cdxgen은 OWASP CycloneDX 프로젝트의 공식 SBOM 생성기다. 20개 이상
Transformers 등)을 자동으로 식별하며, CI/CD 파이프라인에 연동하기 좋다.

AI SBOM 관점에서 cdxgen의 강점은 속도와 자동화다. 약점은 라이선스 정보를 기본 실행에서 채우지
않는다는 점이다. 아래 실측에서 이 특성이 드러난다. OWASP AIBOM Generator가 모델 카드 메타데이터
않는다는 점이다. 아래 실행 결과에서 이 특성이 드러난다. OWASP AIBOM Generator가 모델 카드 메타데이터
중심이라면, cdxgen은 코드와 의존성 중심이다. 둘을 함께 쓰면 모델과 의존성을 모두 다룬다.

## 주요 기능
Expand Down Expand Up @@ -63,7 +63,7 @@ CycloneDX Generator 12.5.1 (Node.js)
huggingface-hub 0.24.6 pkg:pypi/huggingface-hub@0.24.6 license: 비어 있음
```

**그림 1.** cdxgen 실측 출력 *(cdxgen 12.5.1, 실행 2026-06-13)*
**그림 1.** cdxgen 실행 출력 *(cdxgen 12.5.1, 실행 2026-06-13)*

생성된 컴포넌트 한 건은 다음과 같다. 식별 근거(evidence)는 채워지지만 `licenses` 필드는 비어
있다.
Expand All @@ -83,7 +83,7 @@ CycloneDX Generator 12.5.1 (Node.js)
}
```

## 실측이 보여주는 것
## 실행 결과가 보여주는 것

{{% alert title="cdxgen은 식별이 빠르되 라이선스는 사람이 보강한다" color="warning" %}}
cdxgen은 `requirements.txt`에서 의존성 5건을 빠르게 식별했지만, 각 컴포넌트의 `licenses` 필드가
Expand Down
4 changes: 2 additions & 2 deletions content/ko/guide/ai-sbom_guide/5-tools/3-scanners/_index.md
Original file line number Diff line number Diff line change
Expand Up @@ -12,7 +12,7 @@ description: >
이 페이지는 AI SBOM 생성을 보완하는 분석·식별 도구를 소개한다. 생성 도구(OWASP AIBOM
Generator, cdxgen)가 "무엇이 들어 있는가"를 기록한다면, 이 도구들은 "그것이 안전한가"와 "어떤
버전인가"를 본다. 아래 명령과 기능은 각 도구의 공식 문서를 기준으로 정리했다(이 가이드에서
실측한 도구는 [OWASP AIBOM Generator](../1-aibom-generator/)와 [cdxgen](../2-cdxgen/)이다).
직접 실행한 도구는 [OWASP AIBOM Generator](../1-aibom-generator/)와 [cdxgen](../2-cdxgen/)이다).

## Lab700x AI SBOM Scanner — 모델 바이너리 정적 분석

Expand Down Expand Up @@ -81,4 +81,4 @@ cdxgen과 역할이 비슷하므로, 이미 Anchore 도구 모음(Syft, Grype)
## 참고

- AI SBOM 생성과 관리 절차: [3.9 AI SBOM](../../2-ai-extension/3-ai-sbom/)
- 생성 도구 실측: [OWASP AIBOM Generator](../1-aibom-generator/), [cdxgen](../2-cdxgen/)
- 생성 도구 실행 결과: [OWASP AIBOM Generator](../1-aibom-generator/), [cdxgen](../2-cdxgen/)
2 changes: 1 addition & 1 deletion content/ko/guide/ai-sbom_guide/5-tools/_index.md
Original file line number Diff line number Diff line change
Expand Up @@ -6,7 +6,7 @@ type: docs
categories: ["guide"]
tags: ["AI SBOM", "도구"]
description: >
AI SBOM을 생성하고 분석하는 오픈소스 도구의 주요 기능과 사용법을 실측 화면과 함께 안내한다.
AI SBOM을 생성하고 분석하는 오픈소스 도구의 주요 기능과 사용법을 실행 화면과 함께 안내한다.
---

이 절은 AI SBOM 컴플라이언스를 자동화하는 오픈소스 도구를 다룬다. 각 도구의 주요 기능과
Expand Down
2 changes: 1 addition & 1 deletion content/ko/guide/ai-sbom_guide/_index.md
Original file line number Diff line number Diff line change
Expand Up @@ -157,7 +157,7 @@ AI SBOM을 자동으로 만들어 주는 도구는 이미 여럿 있다. 그러
정책과 사람의 검토로 메운다. 자세한 방법은 [3.5 라이선스 의무](./2-ai-extension/1-license-obligations/)에서 다룬다.
{{% /alert %}}

각 도구의 설치와 사용법은 [도구](./5-tools/) 절에서 실측 화면과 명령 출력으로 다룬다.
각 도구의 설치와 사용법은 [도구](./5-tools/) 절에서 실행 화면과 명령 출력으로 다룬다.

## 다른 표준과의 관계

Expand Down