오픈소스 통합 관리 포털 시스템
OSS 반입/검토/승인, SBOM 확인/승인
프로젝트 배포 승인
KossWise
오픈소스 관리 체계|SBOM|오픈소스검색
Black Duck 연동|사용자 계획 검토 | 공식점검
Repository 자동점검| SSO연동| 메일연동
메신저연동| 인사정보연동
오픈소스 관리 프로세스
프로젝트 자가 점검 및 관리
오픈소스 사용 계획 검토 및 공식 점검
Repository 연동 및 점검
TTA 표준 SBOM 제공 및 다운로드
오픈소스 소프트웨어 및 보안취약점
DB검색
다양한 레거시시스템과의 커스터마이징
연동
KossWise는 세계 시장 점유율 압도적 1위 솔루션인 Black Duck과 실시간 연동, 오픈소스 컴플라이언스를 위한 일관성 있는 통합 관리 프로세스 제공으로 소프트웨어 공급망 전체에 대한 신뢰성을 제고하는 한편, 오픈소스 사용 계획 검토부터 프로젝트 최종 배포에 이르는 전 과정을 모니터링하고 통제할 수 있는 최적의 솔루션입니다.
KossWise 주요 기능
개발자 및 오픈소스 담당자 간 사용 계획 검토부터 SBOM 승인, 프로젝트 배포의 전 과정을 모니터링하고 관리합니다.
공식점검 요청 전, 전체 소스에 대해 개발자가 직접 스캔 등록하여 BOM 내역을 확인하고 조치합니다.
오픈소스 소프트웨어를 프로젝트에 사용하기 위해 계획 단계에서 오픈소스 담당자에게 사전 검토요청을 보냅니다.
오픈소스 사용 계획 승인 후, 대상 프로젝트 전체 소스 코드를 스캔 등록하여 오픈소스 담당자에게 공식 점검을 요청합니다.
Repository Server 연동으로 오픈소스 반입 전, 자동 점검을 진행하며 점검 후 SBOM 내역을 확인합니다.
각 프로젝트 별 오픈소스 SBOM 내역을 확인하며 보안취약점 및 라이선스 정보를 식별하고 조치 가이드를 확인합니다.
오픈소스 보안취약점과 라이선스 위반 위험 확인을 위해 TTA 표준 규격을 준수한 SBOM을 제공합니다.
전체 프로젝트에서 사용중인 컴포넌트 검색, NVD 및 Black Duck이 자체 보유한 보안취약점 DB 검색 기능을 제공합니다.
SSO, SMTP, SMS/메신저, 인사정보 등과 연동하여 이용자의 사용성을 제고합니다.
오픈소스 통합 및 SBOM 관리 포털 시스템
KossWise
OSS 반입/검토/승인 | SBOM 확인/승인 | 프로젝트 배포 승인
KossWise는 세계 시장 점유율 압도적 1위 솔루션인 Black Duck® SCA와 실시간 연동, 오픈소스 컴플라이언스를 위한 일관성 있는 통합 관리 프로세스 제공으로 소프트웨어 공급망 전체에 대한 신뢰성을 제고하는 한편, 오픈소스 사용 계획 검토부터 프로젝트 최종 배포에 이르는 전 과정을 모니터링하고 통제할 수 있는 최적의 솔루션입니다.
오픈소스 사용계획, 반입 통제, Self-Check, 점검 승인 요청,
점검 결과(SBOM) 통제 프로세스
Black Duck SCA와 실시간 연동을 통한 오픈소스 보안취약점 및
라이선스 점검 내역 확인
국제/국내 표준 규격인 SBOM 생성/관리
(SPDX, CycloneDX, NIS, TTA)
Dynamic SBOM 변환 리포팅을 통한 다양한 요구 변화의 대응
다양한 레거시시스템과의 커스터마이징 연동 대응
(SSO, Email, SMS/메신저, 인사정보, SR System 등)
개발자 및 오픈소스 담당자 간 사용 계획 검토부터
SBOM 승인, 프로젝트 배포의 전 과정을
모니터링하고 관리합니다.
공식점검 요청 전,
전체 소스에 대해 개발자가 직접 스캔 등록하여
BOM 내역을 확인하고 조치합니다.
오픈소스 소프트웨어를 프로젝트에 사용하기 위해
계획 단계에서 오픈소스 담당자에게
사전 검토요청을 보냅니다.
오픈소스 사용 계획 승인 후,
대상 프로젝트 전체 소스 코드를 스캔 등록하여
오픈소스 담당자에게 공식 점검을 요청합니다.
Repository Server 연동으로
오픈소스 반입 전, 자동 점검을 진행하며
점검 후 SBOM 내역을 확인합니다.
각 프로젝트 별 오픈소스 SBOM 내역을 확인하며
보안취약점 및 라이선스 정보를 식별하고
조치 가이드를 확인합니다.
오픈소스 보안취약점과
라이선스 위반 위험 확인을 위해
TTA 표준 규격을 준수한 SBOM을 제공합니다.
전체 프로젝트에서 사용중인 컴포넌트 검색,
NVD 및 Black Duck이 자체 보유한
보안취약점 DB 검색 기능을 제공합니다.
SSO, SMTP, SMS/메신저, 인사정보 등과
연동하여 이용자의 사용성을 제고합니다.
KossWise FAQ
KossWise 선택 시 고려하셔야 할 부분은 내부적으로 오픈소스 사용에 대한 관리 통제 프로세스를 반드시 가져가셔야 한다면, "Pro, Enterprise"를 선택하시면 됩니다. 또한 내부의 레거시(SSO, 메일, 메신져, SR 등) 시스템과 연동하여 사용된다면 사용성 측면에서 효율적일 것이라고 생각됩니다.
먼저, 우선 조치에 대한 기준이 필요합니다. Black Duck에서는 다양한 정책 설정 기능을 제공합니다. CVSS 점수, CVE 코드, CWE 코드를 기준으로도 설정할 수 있고, 취약점, 라이선스 위험 등급 지표를 기준으로도 설정할 수 있습니다.
이러한 정책을 KossWise에서도 따르고 있고, 스캔된 결과에서 정책 기준을 위반한 컴포넌트들을 바로 식별할 수 있습니다. 그렇기 때문에 "정책 위반" 항목을 우선 조치로 분류해서 별도 화면으로 제공하고 있고, 엑셀 파일로도 내역을 생성하여 다운 받으실 수도 있습니다.
기본적인 데이터는 "Balck Duck"의 API를 이용하고 있으며, SPDX, CyclonDX 용으로 생성되는 데이터를 기반합니다. 보고서 양식 포맷은 고객사 요건에 맞춰 커스터마이징 제공 가능합니다.
레거시 연동 대상으로는, "SSO, 인사정보 시스템, 사내 메일, SMS, 알림톡, SR 시스템" 정도이고, 그 밖에 REST API가 제공될 수 있다면 기술적 제약은 크게 없고, 사업 기간에 대한 부분만 고려되면 될 것 같습니다. 레거시 연동 파트는 고객사 마다 환경이 다르기 때문에 SI 처럼 개발이 들어가는 부분이라고 보시면 됩니다.
KossWise 구축은 Docker 환경에서 동작하므로, 설치는 매우 쉽습니다. "Basic" 버전의 경우는 "Black Duck"이 이미 구축되어 있는 경우 1~2주 정도면 가능합니다. "Pro 나 Enterprise"의 경우 레거시 연동 또는 관리 프로세스 등의 커스터마이징 니즈가 있을 시 별도의 개발 기간 산정이 요구됩니다. 통상 사업 기간을 고객사에서 3 ~ 4개월 정도 고려하셔야 합니다.
KMS Technology는
SW보안 및 품질 분야 전 세계1위 솔루션을
국내에 공급하며 기술지원하고 있습니다.
국내 대기업, 중소기업 및 공공기관 등
다양하고 풍부한 레퍼런스를 보유한만큼
기업별 여건에 맞는 구축 및 운영 방안을 제시해드립니다.
