무슨 일이 있었나
OWASP는 2026년 6월 9일 Dependency-Track 5.0을 일반 공급으로 릴리스했으며(6월 3일 발표, 6월 9일 GA 확정), 프로젝트 역사상 가장 큰 재설계(코드명 Hyades)로 설명됩니다. v5.0은 다음을 도입합니다: 상태 비저장 PostgreSQL 조정을 통한 활성/활성 고가용성의 수평 확장; 충돌에서 생존하고 정확한 실패 지점부터 BOM 처리를 재개하는 내구성 있는 실행 엔진; 패키지-레지스트리 해시 불일치 구성 요소에 플래그를 지정하는 소프트웨어 공급망 무결성 검증(타이포스쿼팅 및 레지스트리 변조 탐지); 자동화된 취약점 억제 및 알림을 위한 CEL 기반 정책 엔진; PostgreSQL만 표준화(H2/MySQL/SQL Server 제거); 그리고 기본 제공되는 Prometheus/Kubernetes 운영 지원. 초기 채택자들은 시간당 20,000개 이상의 SBOM을 수집했으며 단일 인스턴스는 250,000개 이상의 SBOM을 보유하고 있습니다.
왜 중요한가
Dependency-Track는 소프트웨어 공급망 위험 관리를 위해 엔터프라이즈 및 정부 기관에서 사용하는 사실상의 오픈소스 SBOM 분석 플랫폼입니다. v5.0의 공급망 무결성 검증은 AI/ML 패키지 생태계에서 보여진 레지스트리 변조 및 타이포스쿼팅 공격에 직접 대응합니다(예: LiteLLM/PyPI 백도어 사건). 이 프로젝트는 v5를 소프트웨어 구성 요소와 함께 AI 및 ML 모델 추적을 위한 인벤토리 기반으로 명시적으로 설정합니다 — EU 사이버 복원력법 SBOM 의무가 2027년 12월을 통해 단계적으로 시행되면서 직접 관련이 있습니다. 이것은 점진적 릴리스가 아닌 플랫폼 수준의 기능 업그레이드입니다.
필요한 조치
Dependency-Track v4.x에서 v5.0으로의 마이그레이션 계획(PostgreSQL로의 오프라인 마이그레이션 필요; v4.14.x는 약 6개월 더 보안 수정 받음). 공급망 무결성 검증을 활성화하여 AI/ML 종속성의 레지스트리 측 변조를 탐지합니다. EU CRA SBOM 규정 준수 프로그램을 위한 v5의 AI/ML 모델 인벤토리 기능을 평가합니다.