개요

오픈소스 통합관리 솔루션은 오픈소스 라이선스(Protex) 및 보안 취약점(Black Duck)을 관리하는 솔루션입니다. OBICs COMPASS를 통해 오픈 소스에 대한 사전 검토, 검출 이력관리, 조치결과 관리, 모니터링 기능을 제공합니다.

기업 그리고 오픈소스 소프트웨어

오픈소스를 올바르게 사용했을 경우 비용절감, 개발기간 단축 등 이점이 극대화되지만, 관리되지 못한 오픈소스의 사용으로 인해 라이선스 및 보안 리스크가 발생할 수 있습니다. 따라서, 기업은 지속적이고 체계적인 오픈소스 관리가 필요합니다.

  • 비용 절감
  • 계획된 오픈소스 소프트웨어 사용(올바른 오픈소스 사용으로 인한 장점 극대화)
  • 오픈소스 소프트웨어 사용 증가(오픈소스 라이선스ㆍ보안 등 리스크 잠재)

오픈소스 통합관리의 필요성

사용자 입장에서 오픈소스 라이선스와 보안 취약점에 대한 관리, 조치, 문의 등의 등에 대한 채널을 일원화하고, 오픈소스 라이선스ㆍ보안 취약점 각 분야의 담당자가 하나의 시스템에서 상호 이슈 확인 가능하기 위해 통합관리가 필요합니다.

오픈소스 라이선스

  • 라이선스 의무사항 준수 여부 확인
  • 소스코드 공개 이슈 관리 (GPL 등)
  • 사용된 라이선스 간 라이선스 충돌 확인
  • 오픈소스 라이선스 정책관리

오픈소스 보안취약점

  • 보안 취약점 유무 관리
  • 패치 정보 제공
  • 보안 취약점 해소 여부 관리
  • 오픈소스 보안 취약점 정책관리

소개

What

오픈소스 사용 가이드라인을 제공하고 개발 소프트웨어에 인용된 오픈소스의 저작권 침해와 라이선스 위반, 보안 취약점을 관리함으로써 리스크를 미연에 방지하며, 체계적인 오픈소스 통합관리 기능을 제공합니다.

Why

  • 사전 계획과 다르게 사용된 오픈소스에 대한 검출 필요
  • 오픈소스 사용에 대한 라이선스ㆍ보안 이슈 사전방지
  • 오픈소스 관리 체계 구축의 밑바탕

Who

  • 오픈소스 사용 현황에 대한 즉각적인 모니터링 시스템 부재
  • 오픈소스 검출 후 필요한 후속조치에 대한 관리 사각지대 발생
  • 이력관리, 결과서, 고지문, 결과 비교 등 수동
  • 관리 업무로 인한 비율 성

Communication

  • 게시판, Q&A, 공지사항

Compliance

  • 검증요소, 소스 검증, 결과 분석, 의무사항 조치, 보고서 다운로드

Open-source Management

  • 대시보드, 오픈소스 BOM 비교, 특정 라이선스/보안 취약점 검출 정보

Security

  • 검증요청, 소스 검증, 보안 결과 제공, 패치 적용, 보고서 다운로드
  • 오픈소스 소프트웨어 검색, 오픈소스 라이선스 검색, 오픈소스 상세 조회, 타 시스템 연동 설정, 검증 툴 계정관리

OBICs, COMPASS는 Synopsys의 오픈소스 라이선스 검증 툴(Protex, Black Duck)과 연동하여, 오픈소스 DB, MW기반의 Web 서비스로 사용자에게 제공됩니다.

주요기능

오픈소스 관리 프로세스화

오픈소스 사전검토

실시간 오픈소스 모니터링

소스코드 업로드 채널

OSS Repository

기타 유틸리티

특장점

OBICs COMPASS는 오픈소스 보안취약점 검증툴 Black Duck과 연동하여, 웹서비스로 제공합니다.

국ㆍ내외 최대 오픈소스 라이선스/보안 솔루션과의 연동 및 관리

  • 국내ㆍ외 최대 오픈소스 메타데이터를 보유하는 Protex와 연동하여 관리 채널을 제공합니다.
  • 오픈소스 보안 취약점 최대 데이터를 보유하는 Black Duck과 연동하여 관리 채널을 제공합니다.

기업 검증 관리 노하우로 구축된 검증 프로세스

  • 약 1000건 이상의 검증 및 관리 노하우를 바탕으로 정립된 프로세스를 제공합니다.
  • 체계적인 프로세스로 오픈소스 관리 사각지대를 해소합니다.
  • 검증 관리 프로세스를 도입함으로써 검증 툴의 도입 효과를 극대화합니다.

관리에 필요한 기능 자동화 및 관리 효율성 증대

  • 관리 시 필요한 수동적인 부분들을 자동화하여 전사의 시스템을 효율적으로 관리할 수 있습니다.
  • 결과 보고서 자동 생성 / 오픈소스 고지문 자동 생성 / Alert 기능 / 프로젝트 오픈소스 결과 비교 / 이력 관리 서비스를 제공합니다.

기업 내 오픈소스 통합 채널 제공

  • 형상관리 툴과의 연동 등을 통해 손쉬운 소스코드 업로드 기능을 제공합니다.
  • 통합된 올바른 오픈소스 정보를 제공합니다. (오픈소스 검색, Black Duck에서 제공하는 오픈소스 라이선스 정보 등)
  • 한글화 등 사용자 친화적인 화면을 통해 기업 구성원 누구든지 오픈소스에 대해 쉽게 접근할 수 있도록 합니다.

적용사례

솔루션 적용 사례의 경우, 기존 프로젝트 관리 시스템과 연동하여 체계적인 오픈소스 관리 프로세스를 추가 적용하고 있습니다. 프로젝트 등록

  1. 개발 완료 전까지 자유롭게 오픈소스 계획 수립 및 검토
  2. 개발 완료 시점, 실제 사용 내역 검출 및 조치
  3. 미조치 혹은 부적합의 경우 종료 처리 불가

Protex (오픈소스 라이선스 검출)

Synopsys의 Protex는 전 세계적으로 최대 오픈소스 메타데이타를 보유하고 있으며, 이 데이터를 기반으로 소스코드 라인 레벨의 정밀한 오픈소스 스캔 및 라이선스 검출을 수행합니다.

Black Duck (오픈소스 보안 취약점 검출)

Synopsys의 Black Duck은 전세계적으로 최대 오픈소스 보안 취약점 메타데이타를 보유하고 있으며, 이 메타데이터를 기반으로 소스트리 스캔을 수행하여 오픈소스 보안 취약점을 검출합니다.