Basic Workflow
SW360의 기본 사용법을 설명합니다.
Last updated
SW360의 기본 사용법을 설명합니다.
Last updated
SW360을 처음 설치하면 먼저 자주 사용하는 오픈소스 라이선스 들을 등록해야 합니다. 라이선스 다음과 같은 정보를 포함합니다.
Full Name
Short Name
License Type
GPL-2.0 Compatibility (예: yes, no)
License Text
메뉴 > Licenses > Add License를 선택하면 다음과 같이 Create License 화면으로 진입합니다.
이와 같이 라이선스를 하나씩 수동으로 등록하는 일은 상당히 수고스러울 수 있는데, 다행히 SW360은 SPDX License List를 한 번에 Import 하는 기능을 제공합니다. 메뉴 > Admin < Import SPDX Information을 클릭합니다.
그러면, 곧 SPDX License List가 자동으로 등록됩니다. 메뉴 > Licenses에서 338개의 License가 등록된 것을 확인할 수 있습니다.
SW360에서 Component는 하나의 소프트웨어 단위입니다. 여기에는 다양한 형태의 소프트웨어가 해당할 수 있으며, 그 예는 다음과 같습니다.
오픈소스 소프트웨어
라이브러리
3rd party 소프트웨어
Component는 다음과 같은 정보를 포함합니다.
Component Name
Main Licenses
Categories (예: Library, Cloud, Mobile, ...)
Component Type (예: OSS, Internal, InnerSource, Service, Freeware)
Default Vendor
Homepage URL
Release는 Component에서 하나의 Version을 가리키는 단위입니다. 따라서 하나의 Component는 여러 개의 Release를 가질 수 있습니다. Release는 하나의 Component 하위에 생성되어 관리됩니다.
Release는 다음과 같은 정보들을 포함합니다.
Component Name
Version
License
Download URL
CPE ID (예: cpe:2.3:a:apache:maven:3.0.4)
예를 들어, zlib-1.2.8을 등록해야 한다면, 먼저 Component에 zlib을 먼저 등록한 후, Release에 zlib 1.2.8을 등록합니다. Menu > Components > Add Component를 선택하면 Create Component 화면으로 진입하여 zlib에 대한 정보를 등록할 수 있습니다.
Component를 생성하면, Components > Releases > Add Release에서 zlib-1.2.8 version에 대한 정보를 등록할 수 있습니다.
하나의 zlib이라는 Component에 1.2.8과 1.2.11 version을 각각의 Release로 등록하였을 때, Release Overview 화면에서 다음과 같이 2개의 Release가 존재하는 것을 볼 수 있습니다.
SW360은 다수의 Component 정보를 Import 시키기 위한 기능을 제공합니다. 메뉴 > Admin > Import / Export에 CSV template에 등록을 원하는 Component 정보를 입력 후 Import 할 수 있습니다.
단, 이 기능은 2020년 2월 기준 아직 안정적으로 동작하지 않을 수 있습니다.
Project는 하나의 제품을 가리킵니다. 사업 유형에 따라 제품일수도 있고, 서비스 혹은 소프트웨어 일수도 있습니다. Project에는 제품에 사용된 Component/Release를 등록하여 관리합니다.
Project 생성 시에는 다음과 같은 정보를 등록합니다.
Project Name
Version
Project type (예: Product, Customer Project, Service, Internal Project, InnerSource)
메뉴 > Projects > Add Project를 통해 Project를 생성할 수 있습니다.
Project를 생성하고 나면, 포함하는 Release나 하위 Project를 등록합니다. 메뉴 > Projects에서 해당 Project를 선택하면 “Linked Releases and Projects”에서 Linked Projects와 Linked Releases를 등록할 수 있습니다.
다음은 SuperCalc라는 Project에 OpenSSL 1.0.1과 zlib 1.2.8을 Linked Releases로 등록한 이후의 화면입니다.
SW360은 등록된 Release에 대해 보안 취약점이 있는지 자동으로 확인할 수 있습니다. 이를 위해 SW360은 CVE 정보를 주기적으로 수집하도록 스케쥴링하는 기능을 제공합니다. 메뉴 > Admin > Schedule 에서 CVE SEARCH 정보를 24시간마다 수집하도록 스케쥴링을 설정할 수 있습니다.
이렇게 스케쥴링을 설정하면 SW360은 정해진 시간에 CVE Search 사이트(https://cve.circl.lu/)에서 CVE 정보를 수집합니다. 수집한 CVE 정보는 메뉴 > Vulnerabilities에서 확인할 수 있습니다.
이렇게 Vulnerabilities 정보가 수집된 이후에는 생성한 Project에 보안 취약점이 있는지 조회할 수 있습니다. 위에서 생성한 SuperCalc Project에서는 85개의 보안 취약점이 보고된 것을 확인할 수 있습니다.
이와 같은 방법으로 기업에서 개발/배포하는 소프트웨어를 SW360에 등록하여 관리한다면, 오픈소스 컴플라이언스뿐만 아니라 보안 취약점에 대해서도 리스크를 최소화할 수 있는 형태로 관리가 가능합니다.
또한 SW360은 위와 같은 Web Interface 뿐만 아니라 대부분의 기능을 REST API로 제공하여서 FOSSology 등의 다른 도구와의 연동이 가능합니다. : https://github.com/eclipse/sw360/wiki/Dev-REST-API
즉, 소스 코드 스캐닝 도구의 분석 결과를 SW360에 Import 시키는 등의 방법으로 DevOps에 Integration 시켜서 Project, Release 등록을 자동화시켜서 관리한다면 효율성이 크게 증가될 것입니다.
