- Published on
2026년 5월 기준 소프트웨어 공급망 보안은 더 이상 옵션이 아니다. 2020년 SolarWinds Orion 사건, 2021년 Log4Shell, 2024년 3월 XZ Utils 백도어(Jia Tan 사건), 그리고 매주 반복되는 npm·PyPI 타이포스쿼팅이 그 사실을 증명했다. 미국은 행정명령 14028(2021)에 이어 CISA Secure Software Development Attestation Form(2024)을 의무화했고, EU는 Cyber Resilience Act를 2024년 10월에 채택했다. 그 사이에 Sigstore(cosign · fulcio · rekor), SLSA v1.1, in-toto, GUAC, CycloneDX 1.6, SPDX 3.0이 표준 후보로 자리 잡았고, Chainguard Images · Wolfi OS · Socket.dev · JFrog Xray · Snyk Open Source · Endor Labs · Phylum이 상용 도구로 자리 잡았다. 이 글은 60여 개 도구·표준·사건을 한 호흡으로 정리한다.