목적
공개SW 라이선스 정책의 미 준수 시 저작권법 위반에 따라 초래되는 위험을 예방함
공개SW 라이선스의 점검을 통해 공개소프트웨어 사용 현황을 파악함
공개SW 라이선스 충돌을 제거하고 라이선스 위험 요소를 지속적으로 모니터링 함
공개SW 보안취약점을 확인하고 조치하여 악의적인 공격을 사전에 예방함
공개SW 활용 보편화 시대,
저작권 위반 등의 법률 리스크와 보안 위협 등
다양한 리스크 대응력 강화를 위해 SBOM 관리 중요성 증가!!
공개SW 활용 보편화!
[오픈소스를 포함한
소프트웨어 비율] 
[소프트웨어 내
오픈소스 코드비율] 
* 출처 : 2024 Synopsys
SBOM 제출 의무화!
미국
국가 사이버 보안 개선에 관한 행정명령(EO-14028)
EU
사이버복원력법(CRA, Cyber Resilience Act)
SBOM 이란? 소프트웨어에 포함된 모든 공개SW 컴포넌트와 해당 컴포넌트의 라이선스, 버전 및 보안취약점 패치 상태를 목록화
소프트웨어 안전을 위한 필수 요소 SBOM, 미리 관리하세요!!
주요 공개SW 라이선스 및 보안취약점 검증 내용 - 서로 다른 라이선스 조합 금지 여부를 확인하여 공개SW 소스코드 간 결합 이슈 확인
- 보다 정밀한 검토를 위한 라이선스 위반 검증SW를 활용한 검토
- 구현 과정에서의 개발자 실수 또는 사용되었으나 고려되지 않은 공개SW가 있는지 검증
- 악용가능한 공개SW 보안취약점을 확인
공개SW 라이선스 및 보안취약점 검증서비스 이용절차
소스코드 vs 바이너리 파일 검증 무엇이 다를까요?
소스코드 파일 검증
- 소프트웨어 개발에 사용된 소스코드 파일을 분석하여 정보를 확인
- 개발 중 또는 개발 완료 시점의 어느 단계에서도 검증이 가능
- 소스코드 내에서 사용된 공개SW와 해당 라이선스를 직접적으로 확인할 때 용이
- 개발 중 또는 개발 완료 단계에서 소스코드 내 라이선스/ 보안취약점 문제에 대한 파악이 필요한 경우
- 소스코드에 명시적으로 포함시킨 공개SW 컴포넌트나 라이브러리 사용에 대한 검증이 필요한 경우
바이너리 파일 검증
- 컴파일된 결과물인 실행 파일이나 라이브러리 파일을 대상으로 확인
- 최종적으로 개발이 완료되어 배포되기 직전 또는 배포된 후 검증 가능
- 최종 배포 파일에서 리버스 엔지니어링 없이 공개SW 라이브러리의 흔적을 추적하여 검증하기 때문에 검증 후 추가 검토 필요
- 내부 정책에 의해 소스코드에 접근하여 검증이 어려운 경우
- 구매하거나 납품받은 외부 라이브러리나 바이너리 파일의 소프트웨어 구성요소 확인이 필요한 경우
바이너리 검증과 소스코드 검증을 200% 활용하려면?
바이너리 검증으로 공개SW 포함 여부를 간단하게 확인하고,
위험이 감지되면 소스코드 검증을 통해 상세하게 분석하여,
소프트웨어 품질을 높이고 발생 가능 리스크를 사전 예방하세요!
서비스 신청
라이선스/보안 검증지원은 1개 프로젝트(동일 프로젝트)에 대하여 년 간 최대 3회
검증방법은 말머리에 ‘바이너리 검증’ , ‘소스코드 검증’을 선택하여 신청하거나, 두 검증을 모두 신청할 때는 ‘모두 검증’을 선택하여 신청
신청기간 : 상시
사업문의 : 공개SW 라이선스/보안 검증 담당, 02-6241-6507 (license@oss.kr) 공개SW 라이선스/보안
검증 지원 신청 (기업) 공개SW 라이선스/보안
검증 지원 신청 (개인 및 단체)
