Black Duck®을 활용한 오픈소스 라이선스와 보안 취약점 검증 
거버넌스 관리 포털 KossWise의 활용 방안

최근 정부는 제로 트러스트(Zero Trust)로 대표되는 보안 체계 적용과 기존 산업의 보안 내재화 추진을 목표로 하고 있습니다. 이에 맞춰 소프트웨어 자재명세서(SBOM) 기반 소프트웨어(SW) 공급망 보안 기술지원 체계를 구축해 공급망 보안 관리를 지원하겠다고 발표했습니다. 이에 많은 국내 기업이 SBOM을 통한 SW 공급망 보안 강화에 발 빠르게 대응책을 마련해 가고 있습니다. 

또한, 소프트웨어 공급망 위협을 높이는 주요 요인 중 하나가 오픈소스입니다. 현재 사용되는 소프트웨어의 90% 이상이 오픈소스 코드로 이뤄져 있고, 대부분의 소프트웨어 개발의 오픈소스 라이브러리에서 필요한 파일을 가져와서 조립하는 방식으로 진행되기 때문에 운영 중인 소프트웨어에 어떤 취약점이 있는지 파악하는 것이 점점 어려워지고 있습니다. 이 때문에 오픈소스 보안 취약점 문제를 해결하는 솔루션에 대한 관심이 그 어느 때보다 더 높습니다.  

이에 대한 대응으로 이번 웨비나에서는 Black Duck® 솔루션과 오픈소스 거버넌스 관리 포털(KossWise) 을 통해 오픈소스 라이선스 관리와 보안 취약점에 대한 대응에 대한 해결책을 제시하고자 합니다. 

1)  SCA 분석 도구 - "Black Duck®(블랙덕)"
     -  OSS 분석기법, 점검 방안

2) 오픈소스 거버넌스 관리 포털 - "KossWise(코스와이즈)" 
    - 오픈소스 관리체계, OSS 반입 리포지터리 관리, 포털 고도화 로드맵

* Synopsys Black Duck®(블랙덕) 솔루션 : 소프트웨어 개발 시 사용된 오픈소스를 식별하고, 식별된 오픈소스의 보안 취약점과 라이선스를 점검 및 관리하는 도구로서, 오픈소스 사용 시 발생할 수 있는 보안 취약점 및 라이선스 위반 리스크를 최소화하는 Synopsys SIG사의 오픈소스 점검 솔루션입니다. (▶ 솔루션 보러 가기) 

* KossWise(코스와이즈) 포털 : 오픈소스 보안 취약점 및 라이선스 점검 도구인 'Black Duck(블랙덕)'과 실시간 연동된 정보를 활용해 오픈소스 소프트웨어 사용 현황을 정확하게 점검해 파악하는 오픈소스 거버넌스 관리 포털 시스템으로, 오픈소스 사용 계획부터 프로젝트 배포에 이르는 과정을 통제 및 관리할 수 있습니다. (▶ 포털 소개 보러 가기)