Basic Workflow

SW360의 기본 사용법을 설명합니다.

1. License 등록

SW360을 처음 설치하면 먼저 자주 사용하는 오픈소스 라이선스 들을 등록해야 합니다. 라이선스 다음과 같은 정보를 포함합니다.

  • Full Name

  • Short Name

  • License Type

  • GPL-2.0 Compatibility (예: yes, no)

  • License Text

메뉴 > Licenses > Add License를 선택하면 다음과 같이 Create License 화면으로 진입합니다.

이와 같이 라이선스를 하나씩 수동으로 등록하는 일은 상당히 수고스러울 수 있는데, 다행히 SW360은 SPDX License List를 한 번에 Import 하는 기능을 제공합니다. 메뉴 > Admin < Import SPDX Information을 클릭합니다.

그러면, 곧 SPDX License List가 자동으로 등록됩니다. 메뉴 > Licenses에서 338개의 License가 등록된 것을 확인할 수 있습니다.

2. Component 및 Release 등록

SW360에서 Component는 하나의 소프트웨어 단위입니다. 여기에는 다양한 형태의 소프트웨어가 해당할 수 있으며, 그 예는 다음과 같습니다.

  • 오픈소스 소프트웨어

  • 라이브러리

  • 3rd party 소프트웨어

Component는 다음과 같은 정보를 포함합니다.

  • Component Name

  • Main Licenses

  • Categories (예: Library, Cloud, Mobile, ...)

  • Component Type (예: OSS, Internal, InnerSource, Service, Freeware)

  • Default Vendor

  • Homepage URL

Release는 Component에서 하나의 Version을 가리키는 단위입니다. 따라서 하나의 Component는 여러 개의 Release를 가질 수 있습니다. Release는 하나의 Component 하위에 생성되어 관리됩니다.

Release는 다음과 같은 정보들을 포함합니다.

  • Component Name

  • Version

  • License

  • Download URL

  • CPE ID (예: cpe:2.3:a:apache:maven:3.0.4)

예를 들어, zlib-1.2.8을 등록해야 한다면, 먼저 Component에 zlib을 먼저 등록한 후, Release에 zlib 1.2.8을 등록합니다. Menu > Components > Add Component를 선택하면 Create Component 화면으로 진입하여 zlib에 대한 정보를 등록할 수 있습니다.

Component를 생성하면, Components > Releases > Add Release에서 zlib-1.2.8 version에 대한 정보를 등록할 수 있습니다.

하나의 zlib이라는 Component에 1.2.8과 1.2.11 version을 각각의 Release로 등록하였을 때, Release Overview 화면에서 다음과 같이 2개의 Release가 존재하는 것을 볼 수 있습니다.

SW360은 다수의 Component 정보를 Import 시키기 위한 기능을 제공합니다. 메뉴 > Admin > Import / Export에 CSV template에 등록을 원하는 Component 정보를 입력 후 Import 할 수 있습니다.

단, 이 기능은 2020년 2월 기준 아직 안정적으로 동작하지 않을 수 있습니다.

3. Project 생성

Project는 하나의 제품을 가리킵니다. 사업 유형에 따라 제품일수도 있고, 서비스 혹은 소프트웨어 일수도 있습니다. Project에는 제품에 사용된 Component/Release를 등록하여 관리합니다.

Project 생성 시에는 다음과 같은 정보를 등록합니다.

  • Project Name

  • Version

  • Project type (예: Product, Customer Project, Service, Internal Project, InnerSource)

메뉴 > Projects > Add Project를 통해 Project를 생성할 수 있습니다.

Project를 생성하고 나면, 포함하는 Release나 하위 Project를 등록합니다. 메뉴 > Projects에서 해당 Project를 선택하면 “Linked Releases and Projects”에서 Linked Projects와 Linked Releases를 등록할 수 있습니다.

다음은 SuperCalc라는 Project에 OpenSSL 1.0.1과 zlib 1.2.8을 Linked Releases로 등록한 이후의 화면입니다.

4. 보안 취약점 관리

SW360은 등록된 Release에 대해 보안 취약점이 있는지 자동으로 확인할 수 있습니다. 이를 위해 SW360은 CVE 정보를 주기적으로 수집하도록 스케쥴링하는 기능을 제공합니다. 메뉴 > Admin > Schedule 에서 CVE SEARCH 정보를 24시간마다 수집하도록 스케쥴링을 설정할 수 있습니다.

이렇게 스케쥴링을 설정하면 SW360은 정해진 시간에 CVE Search 사이트(https://cve.circl.lu/)에서 CVE 정보를 수집합니다. 수집한 CVE 정보는 메뉴 > Vulnerabilities에서 확인할 수 있습니다.

이렇게 Vulnerabilities 정보가 수집된 이후에는 생성한 Project에 보안 취약점이 있는지 조회할 수 있습니다. 위에서 생성한 SuperCalc Project에서는 85개의 보안 취약점이 보고된 것을 확인할 수 있습니다.

이와 같은 방법으로 기업에서 개발/배포하는 소프트웨어를 SW360에 등록하여 관리한다면, 오픈소스 컴플라이언스뿐만 아니라 보안 취약점에 대해서도 리스크를 최소화할 수 있는 형태로 관리가 가능합니다.

또한 SW360은 위와 같은 Web Interface 뿐만 아니라 대부분의 기능을 REST API로 제공하여서 FOSSology 등의 다른 도구와의 연동이 가능합니다. : https://github.com/eclipse/sw360/wiki/Dev-REST-API

즉, 소스 코드 스캐닝 도구의 분석 결과를 SW360에 Import 시키는 등의 방법으로 DevOps에 Integration 시켜서 Project, Release 등록을 자동화시켜서 관리한다면 효율성이 크게 증가될 것입니다.