무슨 일이 있었나
OWASP는 Dependency-Track 5.0을 2026년 6월 9일 일반 공급으로 출시했습니다(6월 3일 발표; 6월 9일 GA 확인). 프로젝트 역사상 최대 규모 재설계(코드명 Hyades)로 설명되는 v5.0은 다음을 도입합니다: 상태 비저장 PostgreSQL 조정을 통한 능동/능동 고가용성 수평 확장; 충돌에서 복구되고 정확한 실패 지점부터 BOM 처리를 재개하는 지속형 실행 엔진; 패키지 레지스트리 해시 불일치 구성 요소를 표시하는 소프트웨어 공급망 무결성 검증(타이포스쿼팅 및 레지스트리 변조 탐지); 자동화된 취약점 억제 및 알림을 위한 CEL 기반 정책 엔진; PostgreSQL 전용 표준화(H2/MySQL/SQL Server 제거); 그리고 내장 Prometheus/Kubernetes 운영 지원. 초기 도입자들은 시간당 20,000개 이상의 SBOM을 수집했으며 단일 인스턴스는 250,000개 이상의 SBOM을 보유합니다.
왜 중요한가
Dependency-Track는 소프트웨어 공급망 위험 관리를 위해 엔터프라이즈 및 정부 기관에서 사용하는 사실상의 오픈소스 SBOM 분석 플랫폼입니다. v5.0의 공급망 무결성 검증은 AI/ML 패키지 생태계에서 발생한 레지스트리 변조 및 타이포스쿼팅 공격을 직접 해결합니다(예: LiteLLM/PyPI 백도어 사건). 이 프로젝트는 소프트웨어 구성 요소와 함께 AI 및 ML 모델 추적을 위한 인벤토리 기반으로 v5를 명시적으로 구성합니다 — EU 사이버 복원력법 SBOM 의무가 2027년 12월을 통해 단계적으로 진행됨에 따라 직접적으로 관련됩니다. 이는 증분 릴리스가 아닌 플랫폼 수준의 기능 업그레이드입니다.
필요한 조치
Dependency-Track v4.x에서 v5.0으로의 마이그레이션 계획(PostgreSQL로의 오프라인 마이그레이션 필요; v4.14.x는 약 6개월 더 보안 수정을 받음). 공급망 무결성 검증을 활성화하여 AI/ML 종속성의 레지스트리 측 변조를 탐지합니다. EU CRA SBOM 컴플라이언스 프로그램을 위한 v5의 AI/ML 모델 인벤토리 기능을 평가합니다.