docs(tools): add new SBOM tool pages — cdxgen, Syft, Dependency-Track

- tools/5-cdxgen: OWASP CycloneDX generator (20+ ecosystems, CI/CD integration)
- tools/6-syft: Anchore SBOM generator (SPDX/CycloneDX, Grype integration)
- tools/7-dependency-track: OWASP continuous SBOM monitoring platform

All pages follow the established tools/ page structure with:
introduction, key features, installation, basic usage, CI/CD examples, references.

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

Author: haksungjang

content/ko/guide/TODO.md

@@ -36,9 +36,9 @@ draft: true
 - [x] #25 4-tool에 FOSSLight tools/ 링크 추가
 
 ### [tools/ 신규 작성] SBOM 도구 3종
-- [ ] #33 cdxgen tools/ 페이지 신규 작성 (tools/5-cdxgen/_index.md)
-- [ ] #34 Syft tools/ 페이지 신규 작성 (tools/6-syft/_index.md)
-- [ ] #35 Dependency-Track tools/ 페이지 신규 작성 (tools/7-dependency-track/_index.md)
+- [x] #33 cdxgen tools/ 페이지 신규 작성 (tools/5-cdxgen/_index.md)
+- [x] #34 Syft tools/ 페이지 신규 작성 (tools/6-syft/_index.md)
+- [x] #35 Dependency-Track tools/ 페이지 신규 작성 (tools/7-dependency-track/_index.md)
 
 ---
 ## 2차 작업 (별도 브랜치 예정 — 지금은 작업하지 않음)

content/ko/guide/tools/5-cdxgen/_index.md

@@ -0,0 +1,87 @@
+---
+title: "cdxgen"
+weight: 5
+type: docs
+categories: ["guide"]
+tags: ["cdxgen", "SBOM", "CycloneDX"]
+---
+
+cdxgen은 OWASP(Open Web Application Security Project)가 관리하는 오픈소스 SBOM 생성 도구입니다.
+소스 코드, 빌드 결과물, 컨테이너 이미지를 분석하여 [CycloneDX](https://cyclonedx.org/) 형식의
+SBOM을 자동으로 생성합니다.
+
+- GitHub: <https://github.com/CycloneDX/cdxgen>
+- 라이선스: Apache-2.0
+
+## 주요 특징
+
+- **광범위한 언어·생태계 지원**: Java(Maven/Gradle), Node.js, Python, Go, Rust, PHP, Ruby, .NET 등 20개 이상
+- **다양한 스캔 대상**: 소스 코드 디렉토리, 컨테이너 이미지, GitHub 저장소
+- **CycloneDX 표준 출력**: CycloneDX 1.4/1.5/1.6 JSON 및 XML 형식 지원
+- **REPL 모드**: 대화형 인터페이스로 SBOM 탐색 및 조회 가능
+- **CI/CD 통합**: GitHub Actions, GitLab CI 등 주요 파이프라인과 쉽게 연동
+
+## 설치 방법
+
+Node.js 18 이상이 설치된 환경에서 아래 명령으로 설치합니다.
+
+```bash
+npm install -g @cyclonedx/cdxgen
+```
+
+또는 Docker 이미지를 사용할 수 있습니다.
+
+```bash
+docker pull ghcr.io/cyclonedx/cdxgen
+```
+
+## 기본 사용법
+
+### (1) 소스 코드 디렉토리 스캔
+
+```bash
+# 현재 디렉토리 스캔 후 CycloneDX JSON SBOM 생성
+cdxgen -o sbom.json .
+
+# 언어 명시 스캔 (자동 감지 실패 시)
+cdxgen -t java -o sbom.json /path/to/project
+```
+
+### (2) 컨테이너 이미지 스캔
+
+```bash
+cdxgen -t docker -o sbom.json ubuntu:22.04
+```
+
+### (3) GitHub 저장소 스캔
+
+```bash
+cdxgen -t github -o sbom.json https://github.com/org/repo
+```
+
+### (4) REPL 모드로 SBOM 탐색
+
+```bash
+cdxgen --repl -o sbom.json .
+```
+
+## CI/CD 연동 예시
+
+```yaml
+# GitHub Actions 예시
+- name: Generate SBOM with cdxgen
+  run: |
+    npm install -g @cyclonedx/cdxgen
+    cdxgen -o sbom.json .
+- name: Upload SBOM
+  uses: actions/upload-artifact@v4
+  with:
+    name: sbom
+    path: sbom.json
+```
+
+## 참고 자료
+
+- cdxgen GitHub: <https://github.com/CycloneDX/cdxgen>
+- CycloneDX 표준: <https://cyclonedx.org/>
+- OWASP CycloneDX: <https://owasp.org/www-project-cyclonedx/>

content/ko/guide/tools/6-syft/_index.md

@@ -0,0 +1,101 @@
+---
+title: "Syft"
+weight: 6
+type: docs
+categories: ["guide"]
+tags: ["Syft", "SBOM", "SPDX", "CycloneDX"]
+---
+
+Syft는 Anchore가 개발한 오픈소스 SBOM 생성 CLI 도구입니다.
+컨테이너 이미지, 파일시스템, 아카이브를 스캔하여 포함된 패키지를 식별하고
+SPDX 또는 CycloneDX 형식의 SBOM을 생성합니다.
+
+- GitHub: <https://github.com/anchore/syft>
+- 라이선스: Apache-2.0
+
+## 주요 특징
+
+- **다양한 스캔 대상**: 컨테이너 이미지(Docker, OCI), 로컬 파일시스템, tar 아카이브
+- **폭넓은 생태계 지원**: Alpine(apk), Debian/Ubuntu(dpkg), RPM, Python, Java, Go, Node.js, Ruby, Rust 등
+- **표준 출력 형식**: SPDX 2.2/2.3 (JSON·tag-value), CycloneDX 1.4/1.5 (JSON·XML), Syft JSON
+- **Grype 연동**: Anchore의 취약점 스캐너 Grype와 자연스럽게 연동하여 SBOM 기반 취약점 분석 가능
+- **빠른 설치**: 단일 바이너리 배포, 별도 런타임 불필요
+
+## 설치 방법
+
+### 스크립트 설치 (Linux/macOS)
+
+```bash
+curl -sSfL https://raw.githubusercontent.com/anchore/syft/main/install.sh | sh -s -- -b /usr/local/bin
+```
+
+### Homebrew (macOS)
+
+```bash
+brew install syft
+```
+
+### Docker
+
+```bash
+docker pull anchore/syft
+```
+
+## 기본 사용법
+
+### (1) 컨테이너 이미지 스캔
+
+```bash
+# Docker 이미지 스캔 (SPDX JSON 출력)
+syft ubuntu:22.04 -o spdx-json=sbom.spdx.json
+
+# CycloneDX JSON 출력
+syft ubuntu:22.04 -o cyclonedx-json=sbom.cdx.json
+```
+
+### (2) 로컬 디렉토리 스캔
+
+```bash
+syft dir:/path/to/project -o spdx-json=sbom.spdx.json
+```
+
+### (3) 표준 출력으로 결과 확인
+
+```bash
+# 터미널에서 패키지 목록 확인
+syft ubuntu:22.04
+
+# JSON 형식으로 표준 출력
+syft ubuntu:22.04 -o json
+```
+
+### (4) Grype와 연동하여 취약점 스캔
+
+```bash
+# Syft로 SBOM 생성 후 Grype로 취약점 분석
+syft ubuntu:22.04 -o json | grype
+```
+
+## CI/CD 연동 예시
+
+```yaml
+# GitHub Actions 예시
+- name: Generate SBOM with Syft
+  uses: anchore/sbom-action@v0
+  with:
+    image: myapp:latest
+    format: spdx-json
+    output-file: sbom.spdx.json
+- name: Upload SBOM
+  uses: actions/upload-artifact@v4
+  with:
+    name: sbom
+    path: sbom.spdx.json
+```
+
+## 참고 자료
+
+- Syft GitHub: <https://github.com/anchore/syft>
+- Grype(취약점 스캐너): <https://github.com/anchore/grype>
+- SPDX 표준: <https://spdx.dev/>
+- CycloneDX 표준: <https://cyclonedx.org/>

content/ko/guide/tools/7-dependency-track/_index.md

@@ -0,0 +1,95 @@
+---
+title: "Dependency-Track"
+weight: 7
+type: docs
+categories: ["guide"]
+tags: ["Dependency-Track", "SBOM", "취약점", "CycloneDX"]
+---
+
+Dependency-Track은 OWASP가 관리하는 오픈소스 SBOM 관리 및 취약점 분석 플랫폼입니다.
+업로드된 SBOM(CycloneDX, SPDX)을 기반으로 컴포넌트별 취약점을 지속적으로 모니터링하고,
+정책 위반 여부를 자동으로 평가합니다.
+
+- GitHub: <https://github.com/DependencyTrack/dependency-track>
+- 공식 문서: <https://docs.dependencytrack.org/>
+- 라이선스: Apache-2.0
+
+## 주요 특징
+
+- **SBOM 기반 지속 모니터링**: SPDX 및 CycloneDX 형식의 SBOM을 업로드하면 컴포넌트별 최신 취약점을 자동으로 추적
+- **다양한 취약점 데이터소스 연동**: NVD, OSV, GitHub Advisories, VulnDB 등
+- **정책 엔진**: 라이선스 정책, 취약점 심각도 기준, 컴포넌트 사용 가능 여부를 규칙으로 정의하여 자동 평가
+- **REST API**: CI/CD 파이프라인과 통합하여 빌드 시 SBOM을 자동 업로드하고 결과를 피드백
+- **웹 UI 대시보드**: 프로젝트별 위험 점수, 취약점 현황, 라이선스 분포를 한눈에 파악
+- **알림**: Slack, 이메일, Webhook 등 다양한 채널로 신규 취약점 알림 발송
+
+## 설치 방법
+
+Docker Compose를 사용하는 방법이 가장 간편합니다.
+
+```bash
+# 공식 Docker Compose 파일 다운로드
+curl -LO https://dependencytrack.org/docker-compose.yml
+
+# 실행
+docker compose up -d
+```
+
+기본적으로 API 서버는 포트 8081, 프론트엔드는 포트 8080에서 실행됩니다.
+초기 관리자 계정: `admin` / `admin` (최초 로그인 후 즉시 변경 필요)
+
+## 기본 사용법
+
+### (1) 웹 UI에서 프로젝트 생성 및 SBOM 업로드
+
+1. `http://localhost:8080` 접속
+2. **Projects** → **Create Project** 클릭
+3. 프로젝트 이름·버전 입력 후 저장
+4. 해당 프로젝트 → **Components** 탭 → **Upload BOM** 클릭
+5. SBOM 파일(`.cdx.json` 또는 `.spdx.json`) 업로드
+
+업로드 후 Dependency-Track이 자동으로 취약점 분석을 시작합니다.
+
+### (2) API를 통한 SBOM 업로드 (CI/CD 연동)
+
+```bash
+# API Key는 Administration > Access Management > Teams에서 발급
+API_KEY="your-api-key"
+PROJECT_UUID="your-project-uuid"
+
+curl -X PUT \
+  "http://localhost:8081/api/v1/bom" \
+  -H "X-Api-Key: ${API_KEY}" \
+  -H "Content-Type: multipart/form-data" \
+  -F "project=${PROJECT_UUID}" \
+  -F "bom=@sbom.cdx.json"
+```
+
+### (3) GitHub Actions 연동 예시
+
+```yaml
+- name: Upload SBOM to Dependency-Track
+  uses: DependencyTrack/gh-upload-sbom@v3
+  with:
+    serverhostname: dependency-track.example.com
+    apikey: ${{ secrets.DT_API_KEY }}
+    project: ${{ secrets.DT_PROJECT_UUID }}
+    bomfilename: sbom.cdx.json
+```
+
+## cdxgen / Syft와 함께 사용하기
+
+Dependency-Track은 SBOM 생성 도구(cdxgen, Syft)와 함께 사용할 때 가장 효과적입니다.
+
+```
+cdxgen 또는 Syft  →  SBOM 생성  →  Dependency-Track 업로드  →  지속 모니터링
+```
+
+- SBOM 생성: [cdxgen](../5-cdxgen/) 또는 [Syft](../6-syft/)로 빌드 시 SBOM 생성
+- 중앙 관리: Dependency-Track에 업로드하여 전사 프로젝트 취약점 현황 통합 관리
+
+## 참고 자료
+
+- Dependency-Track 공식 문서: <https://docs.dependencytrack.org/>
+- Dependency-Track GitHub: <https://github.com/DependencyTrack/dependency-track>
+- CycloneDX 표준: <https://cyclonedx.org/>