FerroSCA
Rust-native SBOM / SCA & vulnerability-management server
Rust-native SBOM / SCA 및 vulnerability-management server입니다. CycloneDX 및 SPDX SBOM을 ingest하고, CVSS 및 EPSS로 finding을 score하며, REST API로 result를 제공합니다. 단일 Rust process로 실행됩니다 — JVM 없음, 별도 front-end tier 없음, 별도 worker tier 없음 — 1초 이내에 부팅되고 dashboard를 같은 binary에 embedded합니다. Hardened Amazon Linux 2023 AMI(arm64 / Graviton).
FerroSCA는 CycloneDX 1.4 / 1.5 / 1.6(JSON 및 XML)과 SPDX 2.2 / 2.3 SBOM을 ingest하고, component를 public vulnerability data(NVD JSON 2.0, OSV, public advisory feed, CISA KEV catalogue)와 correlate하며, CVSS v2 / v3 / v4 및 EPSS로 finding을 score하고, policy를 evaluate한 뒤 REST API로 result를 노출합니다. Package URL 0.6 및 CPE 2.3 identifier, Alpine / Debian / Ubuntu base image에 대한 distro-aware matching, 30+ condition을 갖춘 policy engine, SPDX license detection을 지원합니다. Notification은 Email 및 Webhook으로 전송됩니다. Authentication은 local-user(SHA3-256 API key), OIDC, LDAP(gated)이며, TLS는 rustls를 사용하고 mutation에는 project-level ACL이 적용됩니다. API는 기본 FerroSCA-native REST API(standard)에 더해, migration을 위한 opt-in Dependency-Track REST API v1 wire-compatible edition(dtrack-compat)을 제공합니다. Honest scope: Dependency-Track API는 100% path coverage이지만 deep-schema는 약 69%(field-level fidelity가 아니라 presence symmetry)입니다 — 100% wire-compatible 또는 drop-in으로 marketing하지 않습니다. MySQL은 제외되며, 지원되는 Marketplace topology는 single-node입니다. Engineering: 모든 crate에 #![forbid(unsafe_code)], clippy는 -D warnings에서 clean, production code에 unwrap() 없음, cargo deny gate, CI의 CycloneDX SBOM + self-VDR, fuzz-tested parser.
해결하고자 하는 과제
소프트웨어 공급망 보안에는 SBOM(CycloneDX / SPDX)을 수집하고, 공개 취약점 데이터와 종속성 컴포넌트를 상호 연관시키며, CVSS 및 EPSS로 점수를 매기고, 정책에 따라 지속적으로 모니터링하는 서버가 필요합니다. 전형적인 SCA / 취약점 관리 서버는 JVM, 별도의 프론트엔드, 별도의 워커, 외부 데이터베이스와 같은 다중 계층 스택으로 구성되는 경향이 있어 운영상 부담이 큽니다. 가볍게 작동하면서 마이그레이션도 용이한 SBOM / SCA 서버가 필요합니다.
작동 원리
- 1
SBOM 수집 및 스코어링
FerroSCA는 CycloneDX 1.4 / 1.5 / 1.6 (JSON / XML) 및 SPDX 2.2 / 2.3 SBOM을 수집하고, NVD JSON 2.0, OSV, 공개 권고 피드 및 CISA KEV를 기반으로 컴포넌트를 연관 분석하며, 발견된 항목을 CVSS v2 / v3 / v4 및 EPSS로 스코어링합니다. Package URL 0.6 및 CPE 2.3 식별자와 Alpine / Debian / Ubuntu에 대한 배포판 인식 매칭을 지원합니다.
- 2
단일 프로세스로 제공
결과는 REST API를 통해 제공되며 대시보드는 동일한 바이너리에 내장되어 있습니다. JVM, 별도의 프론트엔드 계층, 별도의 워커 계층이 없는 단일 Rust 프로세스로 실행되며 — 1초 미만으로 부팅되고 약 256 MB 미만의 RAM을 점유하며 대기(idle)합니다. 30개 이상의 조건을 지원하는 정책 엔진과 SPDX 라이선스 탐지 기능을 포함합니다.
- 3
네이티브 API + DT 호환 에디션
기본적으로 FerroSCA 네이티브 REST API를 제공하며, 마이그레이션을 위해 Dependency-Track REST API v1 와이어 호환 에디션(dtrack-compat)을 선택적으로 사용할 수 있습니다. 인증은 로컬 사용자(SHA3-256 API 키), OIDC 및 LDAP(게이트 제어)을 지원하며, TLS는 rustls를 통해 제공됩니다. 변경 작업에 대해 프로젝트 수준의 ACL이 적용되며, 알림은 Email 및 Webhook으로 전송됩니다.
주요 특징
SBOM ingest(CycloneDX 1.4–1.6 JSON / XML, SPDX 2.2 / 2.3)와 vulnerability intelligence(NVD, OSV, public advisories, CISA KEV)를 CVSS v2 / v3 / v4 + EPSS로 score합니다.
단일 Rust process — JVM 없음, 별도 front-end 또는 worker tier 없음; sub-second boot, idle 시 256 MB RAM 미만, dashboard는 binary에 embedded.
기본은 FerroSCA-native REST API이며, migration을 위한 opt-in Dependency-Track REST API v1 wire-compatible edition을 추가 제공합니다. Honest scope: DT API는 path-compatible(~69% deep-schema), single-node, MySQL 제외.
포함 사항
- 보안 강화된 Amazon Linux 2023 AMI (arm64 / Graviton, t4g / c7g / m7g / r7g 클래스에서 실행)
- SBOM / SCA 및 취약점 관리 서버를 구현하는 단일 Rust 바이너리 (JVM 없음, 별도의 프론트엔드/워커 계층 없음, 1초 미만 부팅, 256 MB 미만 RAM, 대시보드 내장)
- SBOM 수집: CycloneDX 1.4 / 1.5 / 1.6 (JSON / XML) + SPDX 2.2 / 2.3, CycloneDX, SPDX, VDR, VEX로 내보내기 지원
- 취약점 인텔리전스: NVD JSON 2.0, OSV, 공개 권고 피드 및 CISA KEV, EPSS 엔리치먼트, CSAF 2.0 / VEX 1.4 수집 및 에어갭 미러 가져오기
- CVSS v2 / v3 / v4 + EPSS 스코어링, Package URL 0.6 / CPE 2.3, Alpine / Debian / Ubuntu 배포판 인식 매칭, 30개 이상의 조건이 포함된 정책 엔진 및 SPDX 라이선스 탐지
- FerroSCA 네이티브 REST API(기본) 및 Dependency-Track REST API v1 와이어 호환 선택 에디션, Email / Webhook 알림, 로컬 사용자(SHA3-256 API 키) / OIDC / LDAP 인증, rustls TLS, 프로젝트 수준의 ACL
- 별도의 제어 평면 없음, 텔레메트리 외부 전송 없음, 라이선스 키 검증 없음 (AWS 청구서를 통해 인스턴스당 시간당 과금)
주요 활용 사례
CI/CD에서 생성된 SBOM(CycloneDX / SPDX)을 수집하고 종속성 컴포넌트의 취약점을 지속적으로 모니터링하고자 하는 경우
JVM 기반의 다중 계층 스택 대신, 자체 EC2에서 가벼운 단일 바이너리 SBOM / SCA 서버를 실행하고자 하는 팀
REST API v1 와이어 호환 에디션을 통해 Dependency-Track에서 마이그레이션하고자 하는 경우
별도의 컨트롤 플레인 및 텔레메트리 외부 전송 없이, 자체 VPC 내에서 완전히 격리된 취약점 관리 서버를 실행하고자 하는 경우
자주 묻는 질문
어떤 SBOM 형식을 지원하나요?
수집은 CycloneDX 1.4 / 1.5 / 1.6 (JSON 및 XML) 및 SPDX 2.2 / 2.3을 지원하며 CycloneDX, SPDX, VDR, VEX로 내보내기도 가능합니다. 스트리밍 업로드, 메모리 제한 및 토큰 기반 비동기 처리를 제공합니다.
취약점 데이터는 어디서 가져오나요?
NVD JSON 2.0, OSV, 공개 권고 피드 및 CISA KEV 카탈로그에서 가져오며, EPSS로 엔리치먼트합니다. 또한 CSAF 2.0 / VEX 1.4 수집 및 에어갭 환경을 위한 미러 가져오기도 지원합니다.
Dependency-Track와 호환되나요?
기본값은 FerroSCA 네이티브 REST API입니다. 마이그레이션을 위해 Dependency-Track REST API v1 와이어 호환 에디션(dtrack-compat)을 선택할 수 있습니다. 하지만 솔직히 말씀드리면, Dependency-Track API는 경로 커버리지 100%를 제공하나 딥 스키마는 약 69%(필드 수준의 일치도가 아닌 존재 대칭성 기준) 수준입니다 — 100% 와이어 호환 또는 드롭인으로 규정하지 않으며, MySQL은 제외됩니다.
이것은 AWS 서비스를 대체하는 제품인가요?
FerroSCA는 오픈 소스 기반 SBOM / SCA 및 취약점 관리 영역에 있으며 특정 AWS 서비스를 대체하기 위한 제품이 아닙니다. 사용자의 Amazon EC2 인스턴스에서 실행되는 자체 관리형 서버로, 사용자의 VPC 내부에서 실행할 수 있는 일반적인 Amazon Linux 2023 AMI (arm64 / Graviton) 형태로 제공됩니다.
토폴로지 및 보안 태세는 어떻게 되나요?
지원되는 Marketplace 토폴로지는 단일 노드입니다. 인증은 로컬 사용자(SHA3-256 API 키), OIDC 및 LDAP(게이트 제어)을 지원하며, TLS는 rustls를 통해 제공되고, 변경 작업에는 프로젝트 수준의 ACL이 적용됩니다. 엔지니어링 측면: 모든 크레이트에 #![forbid(unsafe_code)] 적용, clippy는 -D warnings에서 clean함 유지, 프로덕션 코드 내 unwrap() 없음, cargo deny 게이트 통과, CI 단계에서 CycloneDX SBOM + 자체 VDR 구현, 퍼즈 테스트를 완료한 파서 사용.
요금제 모델
시간당 software fee + EC2(t4g / c7g / m7g / r7g class, Arm). instance type별 metered 과금.
