SW360
Provides a central hub
오픈소스를 포함하는 제품을 개발하고 배포하는 기업이라면 각 제품과 릴리스 버전마다 사용한 오픈소스의 버전, 라이선스 등의 정보를 수집하고 추적해야 합니다. 이를 통해 기업은 올바른 오픈소스 컴플라이언스 활동을 수행할 수 있습니다.
특히, NVD (https://nvd.nist.gov/vuln)에서 특정 오픈소스 버전에 보안 취약점이 보고 되었을 때, 해당 버전을 사용하고 있는 제품이 무엇인지 추적을 할 수 없다면, 그 기업은 어느 제품에 보안 패치를 적용해야 할지 알 수 없는 상황에 처하게 되고, 그 기업의 제품들은 보안 취약점에 그대로 노출이 될 수밖에 없습니다.
이렇듯, 오픈소스 정보를 추적하는 활동은 꼭 필요합니다. 기업들은 이를 위해 자체 시스템을 구축하거나, 상용 서비스를 구매하여 사용하기도 합니다. SW360은 Eclipse 재단에서 후원하는 오픈 소스(https://www.eclipse.org/sw360/)로써 소프트웨어 BOM에 대한 정보를 수집 및 추적하기 위한 웹 애플리케이션 및 저장소를 제공합니다.
SW360은 웹 기반의 UI를 제공하며 주요 기능은 다음과 같습니다.
- 제품에 사용된 컴포넌트 추적
- 보안 취약점 평가
- 라이선스 의무 관리
- 고지문 등 법적 문서 생성
Last modified 2yr ago