AI-BOM

참고: AI-BOM은 실험적인 기능이며 예고 없이 변경될 수 있습니다. AI-BOM을 사용하는 경우 릴리스 채널에서 Snyk CLI를 설치하는 것을 Snyk이 권장합니다.

전제 조건

• snyk aibom 기능은 인터넷 연결이 필요합니다.

• Snyk CLI v1.1298.3 (또는 이후 버전).

• 프로젝트는 Python으로 작성되어야 하며 Snyk에서 지원하는 패키지 관리자를 사용해야 합니다.

사용법

$ snyk aibom --experimental [<OPTION>]

설명

snyk aibom 명령은 Python으로 작성된 로컬 소프트웨어 프로젝트에 대한 AI-BOM을 생성합니다. snyk aibom 명령을 사용하여 AI 모델, 데이터 세트를 식별하고 MCP(Model Context Protocol)를 사용하여 외부 도구 및 서비스 연결을 포함한 AI 공급망을 매핑할 수 있습니다.

지원되는 형식은 CycloneDX v1.6 (JSON)입니다.

JSON 파일에서 다음 AI 종속성 및 구성 요소를 볼 수 있습니다.

• 모델: GPT-4와 같은 파운데이션 모델 및 Llama-4와 같은 오픈소스 모델 사용량을 볼 수 있습니다. 가능한 경우 표시된 정보는 모델 카드, 라이선스 및 기타 정보도 참조합니다.

• 에이전트: 인기 있는 AI 에이전트 라이브러리를 기반으로 식별됩니다.

• 도구: 인기 있는 도구 호출 패턴을 기반으로 식별됩니다.

• MCPs: 공식 MCP SDK 외에 MCP를 구축하는 다른 인기 있는 방법을 기반으로 식별됩니다.

MCP 및 AI-BOM

snyk aibom 명령의 주요 기능은 MCP를 사용하여 설정된 종속성을 감지하고 매핑하는 기능입니다.

MCP는 애플리케이션이 LLM을 외부 도구, 데이터 소스 및 서비스와 연결하는 데 사용하는 개방형 표준입니다. 이러한 연결은 보안 및 규정 준수를 위해 모니터링해야 하는 AI 공급망에 새로운 계층을 생성합니다.

snyk aibom은 소스 코드를 분석하여 MCP 구성 요소를 명확한 종속성 그래프로 식별하고 분류합니다.

• MCP 클라이언트: 서버에 대한 연결을 시작하는 코드의 구성 요소입니다.

• MCP 서버: 도구 또는 리소스를 제공하는 구성 요소입니다. 이는 로컬 스크립트 또는 원격 네트워크 서비스일 수 있습니다.

• 도구 및 리소스: MCP 서버에서 사용할 수 있도록 하는 특정 기능(도구) 또는 데이터(리소스)입니다.

snyk aibom을 실행하면 출력에 이러한 종속성이 명확하게 표시됩니다. 예를 들어 루트 애플리케이션이 mcp-클라이언트에 종속되고, mcp-클라이언트가 mcp-서버에 종속되며, mcp-서버가 특정 도구를 제공하는 체인을 볼 수 있습니다. 이를 통해 AI 애플리케이션이 의존하는 서비스에 대한 완전한 가시성을 확보할 수 있습니다.

옵션

--experimental

필수. 실험적 명령 기능을 사용합니다. 명령이 실험 단계에 있으므로 이 옵션이 필요합니다.

--org=<ORG_ID>

특정 Snyk 조직에 연결된 Snyk 명령을 실행하려면 <ORG_ID>를 지정합니다. <ORG_ID>는 개인 테스트 제한에 영향을 미칩니다.

여러 조직이 있는 경우 CLI에서 다음을 사용하여 기본값을 설정할 수 있습니다.

$ snyk config set org=<ORG_ID>

모든 새로 테스트된 프로젝트가 기본 조직에서 테스트되도록 기본값을 설정합니다. 기본값을 재정의해야 하는 경우 --org=<ORG_ID> 옵션을 사용하십시오.

기본값: 계정 설정에서 현재 선호하는 조직인 <ORG_ID>

--html

선택 사항. AI-BOM을 AI-BOM 구성 요소 및 그 관계의 HTML 시각화에 포함합니다.

[--json-file-output]

선택 사항. AI-BOM 출력을 JSON 데이터 구조로 지정된 파일에 직접 저장합니다.