안녕하세요. 오픈소스 전문 기업 엘에스웨어 오픈소스 사업본부입니다.
오늘은 오픈소스 라이선스와 보안 취약점 관리를 위한 국제 표준이자 인증인 오픈체인 프로젝트에 관한 내용을 소개합니다. 오픈체인 인증을 받은 엘에스웨어의 오픈소스 관리 역량을 담은 포세라 포털 위드 블랙덕을 통한 오픈소스 관리가 필요한 기업이라면 더욱 주목해 주세요!
1. 오픈체인 프로젝트
오픈체인 프로젝트는 기업의 오픈소스 컴플라이언스를 위해 준수해야 할 사항을 효율적이고 일관성 있게 정리할 수 있도록 Linux Foundation(리눅스 재단)의 주도로 시작한 프로젝트입니다. 2016년, Qualcomm(퀄컴)의 오픈소스 변호사인 Dave Marr는 한 오픈소스 컨퍼런스에서 기업의 오픈소스 컴플라이언스 수준을 높이기 위해서는 기업 내 구성원 전체의 이에 대한 수준을 높이는 것이 필요하다고 강조했습니다. 이러한 의견은 컨퍼런스 참석자들의 큰 공감을 받았으며 다수 글로벌 기업들이 참여하는 오픈체인 프로젝트의 시작이 됐습니다.
오픈체인 프로젝트는 기업의 오픈소스 소프트웨어 체계 및 컴플라이언스 역량을 평가해 국제 인증을 부여합니다. 이때, 오픈소스 컴플라이언스 역량 평가 항목은 사내 정책과 오픈소스 시스템, 담당 조직의 전문성, 구성원 교육 여부 등을 심사합니다. 그렇다면 오픈체인의 오픈소스 관련 국제 표준과 인증에 대해 더 자세하게 알아볼까요?
2. 오픈체인 국제 표준 및 인증
오픈체인의 ISO/IEC 5230:2020은 오픈소스 라이선스 준수를 위한 핵심 사항을 정의한 최초의 오픈소스 관리 국제 표준이자 인증입니다. 국내외 오픈소스를 활용하는 기업은 이러한 국제 인증을 통해 오픈소스 컴플라이언스 역량에 대한 공신력을 높이는 데 주력하고 있습니다. 엘에스웨어 또한 ISO/IEC 5230:2020 인증을 보유함으로써 전사적 오픈소스 관리 정책 및 프로세스, 오픈소스 관리 조직의 전문성 등 오픈소스 통합 관리에 대한 글로벌 역량을 인정받은 바 있습니다.
그리고 작년에는 오픈소스 보안 취약점 관리를 위한 표준인 ISO/IEC DIS 18973:2023이 새롭게 등록됐습니다. ISO/IEC DIS 18973 표준은 ISO/IEC 5230과 유사한 포맷으로 구성되어 있지만, 라이선스 컴플라이언스 대신 보안과 관련된 취약점을 관리하기 위해 수행해야 할 요구사항을 정의하고 있습니다. 구체적으로는 내부 보안 정책 수립, 보안 정책의 주기적인 업데이트, 보안 테스트를 위한 각종 툴 사용 여부 등의 규정을 포함하고 있습니다.
위 두 가지 오픈체인의 인증 규격은 기업의 규모나 업종과 관계없이 모든 기업에 적용될 수 있도록 설계됐으며, 6가지의 필수 요구사항과 이를 입증하기 위해 필요한 자료 목록을 찾아볼 수 있습니다.
<오픈소스 국제 표준 6가지 요구 사항>
• 프로그램 설립
• 관련 업무 정의 및 지원
• 오픈소스 콘텐츠 검토 및 승인
• 컴플라이언스 산출물 생성 및 전달
• 오픈소스 커뮤니티 참여에 대한 이해
• 규격 요구사항 준수
추가로 오픈체인 프로젝트에서는 기업의 셀프 검증 체크리스트를 함께 제공하고 있습니다. 오픈소스 컴플라이언스 달성과 보안 취약점 대비를 위해 꼭 수행하는 핵심 요구사항을 정리해 놓은 만큼 오픈소스를 처음 관리하는 기업이라면 해당 규격에 맞춰 오픈소스 활용 수준을 향상하는 것이 필요합니다.
3. 오픈체인 인증 기반 오픈소스 관리
앞서 말했듯 오픈소스를 활용하는 기업이라면 오픈소스 라이선스 컴플라이언스와 보안 취약점을 통합으로 관리하는 것이 필요합니다. 하지만 기업 내의 오픈소스의 라이선스와 보안 취약점을 모두 관리하여 오픈체인이 제공하는 체크리스트를 충족하기에는 많은 시간과 인력이 요구됩니다. 이때, 포세라 포털 위드 블랙덕은 기업의 오픈소스 통합 관리를 위한 해답이 될 수 있습니다.
엘에스웨어의 포세라 포털 위드 블랙덕은 오픈체인 ISO/IEC 5230:2020 인증을 받은 엘에스웨어의 오픈소스 컴플라이언스 관리 역량을 담은 오픈소스 라이선스 & 보안 취약점 통합 관리 포털입니다. 포세라 포털 위드 블랙덕은 SBOM 생성 및 관리, 라이선스 컴플라이언스, 보안 취약점의 탐지와 조치 등 오픈체인 오픈소스 관리 국제 표준에서 요구하는 오픈소스 관리 절차를 수행합니다. 기업의 제품과 프로젝트에 사용되는 전체 오픈소스를 포세라 포털 위드 블랙덕을 통해 파악하고, 각 라이선스에 맞는 의무 사항과 보안 취약점을 선제적으로 분석하여 치명적인 리스크를 피할 수 있습니다.
포세라 포털 위드 블랙덕의 오픈소스 통합 관리 서비스가 필요한 기업은 아래 엘에스웨어 로고를 클릭하여 자세한 내용을 확인해 주세요. 😊
엘에스웨어
📍서울특별시 금천구 서부샛길 606 대성디폴리스 A동 18층
📞 02-6919-0321
📧 opensource@lsware.com
'오픈소스' 카테고리의 다른 글
| 오픈소스 컴플라이언스를 위한 최고의 선택 :: 오픈소스 통합 관리 포털 (0) | 2024.06.18 |
|---|---|
| 오픈소스 보안 취약점의 위험성과 블랙덕의 대응 :: 에퀴팩스 데이터 유출 사례 (1) | 2024.06.12 |
| 오픈소스 의존성에 대한 정의와 문제 해결 방안 (1) | 2024.05.23 |
| [NEWS] 정부, SBOM 공급망 보안 가이드라인 1.0 발표 (0) | 2024.05.14 |
| 오픈소스 관련 사이트 알아보기 :: GitHub, Awesome Open Source, Bootstrap, SourceForge (0) | 2024.05.10 |
