- 오픈소스 거버넌스 관리 포털 시스템
KMS테크놀로지(대표 이창표 www.kmstech.co.kr)는 23일 발표를 통해, 오픈소스 거버넌스 관리 포털 시스템 ‘코스와이스(KossWise, https://www.kmstech.co.kr/KossWise)’를 정식 론칭했다고 전했다.
이를 통해 KMS테크놀로지는 금융 서비스 기업을 비롯한 대규모 기업들을 대상으로 오픈소스 소프트웨어 공급망 관리 시장 공략을 강화한다고 밝혔다.
‘코스와이즈’는 오픈소스 보안취약점 및 라이선스 점검 도구 ‘블랙덕(Black Duck)’과 실시간 연동된 정보를 활용, 오픈소스 SW 사용 현황을 정확하게 점검하여 파악하고, 이에 맞춰 오픈소스 사용 계획부터 프로젝트 배포에 이르는 모든 과정을 통제 및 관리할 수 있는 오픈소스 거버넌스 관리 포털 시스템이다.
아울러 ‘코스와이즈’는 전체 프로젝트의 오픈소스 사용 현황 및 관리 프로세스를 확인하고, 리포지터리(Repository, 저장소)를 연동시켜 자동 점검, 이후에 SPDX, 사이클론(Cyclone)DX, TTA 표준에 맞춘 SBOM(소프트웨어 구성품 명세서(Software Bill of Materials) 제공, 오픈소스 소프트웨어 및 보안취약점 DB를 검색하여 보안위협에 대응할 수 있도록 지원한다.
덧붙여 ‘코스와이즈’는 블랙덕에서 제공되는 다양한 플러그인(GitHub, GitLap, Jenkins, Nexus3 Repository, Npm, Gradle, Maven 등)을 결합시켜 ‘데브섹옵스(DevSecOps), CI/CD 환경과 연동되며 오픈소스 SW 점검 결과를 ‘코스와이즈’ 포털 시스템에서도 확인할 수 있어, 최적의 소프트웨어 공급망 관리를 위한 플랫폼으로 평가받고 있다.
 |
||
| ▲ (출처 : KMS테크놀로지 제공) | ||
‘코스와이즈’ 주요 기능을 보면…
◆오픈소스 관리 프로세스 = 개발자 및 오픈소스 담당자 간 사용 계획 검토부터 SBOM 승인, 프로젝트 배포의 전 과정을 모니터링하고 관리한다.
◆프로젝트 자가 점검 = 공식점검 요청 전, 전체 소스에 대해 개발자가 직접 스캔 등록하여 BOM(원재료설명서) 내역을 확인하고 조치한다.
◆오픈소스 사용 계획 검토 = 오픈소스 소프트웨어를 프로젝트에 사용하기 위해 계획 단계에서 오픈소스 담당자에게 사전 검토요청을 보낸다.
◆오픈소스 공식 점검 = 오픈소스 사용 계획 승인 후, 대상 프로젝트 전체 소스 코드를 스캔 등록하여 오픈소스 담당자에게 공식 점검을 요청한다.
◆저장소(Repository, 리포지터리) 연동 및 점검 = 리파지토리 서버(Repository Server) 연동으로 오픈소스 반입 전, 자동 점검을 진행하며 점검 후 SBOM 내역을 확인한다.
◆전체 프로젝트 점검 내역 및 가이드 = 각 프로젝트 별 오픈소스 SBOM 내역을 확인하며 보안취약점 및 라이선스 정보를 식별하고 조치 가이드를 확인한다.
◆TTA 표준 SBOM 제공 및 다운로드 = 오픈소스 보안취약점과 라이선스 위반 위험 확인을 위해 SPDX, CycloneDX, TTA 표준 규격을 준수한 SBOM을 제공한다.
◆오픈소스 소프트웨어 및 보안취약점 DB 검색 = 전체 프로젝트에서 사용중인 컴포넌트 검색, NVD 및 Black Duck이 자체 보유한 보안취약점 DB 검색 기능을 제공한다.
◆다양한 레거시시스템과의 커스터마이징 연동 = SSO, SMTP, SMS/메신저, 인사정보 등과 연동하여 정보를 제공한다.
이창표 KMS테크놀로지의 대표는 “블랙덕은 연간 4회의 SW 업데이트가 있으며 새롭게 추가되는 다양한 서비스 기능들을 ‘코스와이즈’에서도 연동 지원될 수 있도록 지속적인 개발에 힘쓸 것”이라며 “최근 블랙덕이 업데이트 돼 타사 SCA(소프트웨어 구성 분석) 도구에서 생성된 SBOM(SPDX, CycloneDX 규격 기준)도 읽어들이기(Import) 하면 내용을 확인할 수 있는 기능이 제공되어 올 하반기 코스와이즈에서도 서비스 연동을 통해 확인할 수 있게 된다”고 전했다.
<김동기 기자>kdk@bikorea.net
김동기 기자 kdk@bikorea.net
