# SW360

오픈소스를 포함하는 제품을 개발하고 배포하는 기업이라면 각 제품과 릴리스 버전마다 사용한 오픈소스의 버전, 라이선스 등의 정보를 수집하고 추적해야 합니다. 이를 통해 기업은 올바른 오픈소스 컴플라이언스 활동을 수행할 수 있습니다.

특히, NVD (<https://nvd.nist.gov/vuln>)에서 특정 오픈소스 버전에 보안 취약점이 보고 되었을 때, 해당 버전을 사용하고 있는 제품이 무엇인지 추적을 할 수 없다면, 그 기업은 어느 제품에 보안 패치를 적용해야 할지 알 수 없는 상황에 처하게 되고, 그 기업의 제품들은 보안 취약점에 그대로 노출이 될 수밖에 없습니다.&#x20;

이렇듯, 오픈소스 정보를 추적하는 활동은 꼭 필요합니다. 기업들은 이를 위해 자체 시스템을 구축하거나, 상용 서비스를 구매하여 사용하기도 합니다. SW360은 Eclipse 재단에서 후원하는 오픈 소스(<https://www.eclipse.org/sw360/>)로써 소프트웨어 BOM에 대한 정보를 수집 및 추적하기 위한 웹 애플리케이션 및 저장소를 제공합니다.

![](https://lh3.googleusercontent.com/MPrOy70nOVSCRiorql9Momzi18lG66Liqttyutjwc9LAhVUwqmVf8xyeEkg085Pm1OYxwPRzyh68Th93ZlKA3fjG5_PnsBQijwUGkRa7o72h8Jco_7BcIwfoR7FGu8hsZA8n5ASq)

## **Main Features**

SW360은 웹 기반의 UI를 제공하며 주요 기능은 다음과 같습니다.

* 제품에 사용된 컴포넌트 추적
* 보안 취약점 평가
* 라이선스 의무 관리
* 고지문 등 법적 문서 생성

## How to install

{% content-ref url="sw360/install" %}
[install](https://haksung.gitbook.io/oss/sw360/install)
{% endcontent-ref %}

## Basic Workflow

{% content-ref url="sw360/workflow" %}
[workflow](https://haksung.gitbook.io/oss/sw360/workflow)
{% endcontent-ref %}