SBOM 도구(Syft·Trivy)가 Bun으로 설치한 패키지를 인식하지 못합니다

Question

컴플라이언스 요건 때문에 SBOM(Software Bill of Materials)을 생성·검증해야 합니다. Syft·Trivy로 컨테이너 이미지를 스캔하는데, Bun으로 설치한 패키지들이 SBOM에 누락됩니다.

node_modules는 잘 잡히는데 bun install로 설치한 게 빠지는 거 같습니다. 어떻게 해결하나요?

김영삼 · Accepted Answer

2026년 4월 시점 SBOM 도구의 Bun 지원이 아직 부족한 상태입니다. 원인과 우회법, 그리고 컴플라이언스 입장의 정공법을 함께 정리합니다.1) 왜 안 잡히는가Syft·Trivy는 lockfile 기반으로 의존성을 인덱싱합니다.도구인식비고npm (package-lock.json)OK표준yarn (yarn.lock)OK표준pnpm (pnpm-lock.yaml)OK표준Bun (bun.lock 텍스트)일부 지원Syft 1.18+, Trivy 0.55+Bun (bun.lockb 바이너리)미지원독자 포맷2) 즉시 해결 — 텍스트 lockfile 강제# bunfig.toml
[install.lockfile]
saveTextLockfile = truebun install --save-text-lockfile
# bun.lock (yarn-like 텍스트 형식) 생성이 파일을 컨테이너에 포함시키면 최신 Syft·Trivy가 인식합니다.3) 도구 버전 점검·업그레이드# Syft 최소 1.18,

댓글 0