오픈소스 전문 기업 OSBC, 인증 컨설팅 사업 고도화

‘SBOM & ISO 5230 인증 컨설팅’ 서비스 본격화

2022-09-26 13:06 출처: OSBC

서울--(뉴스와이어) 2022년 09월 26일 -- 오픈소스 전문 기업 OSBC는 15년 이상의 오픈소스 거버넌스 컨설팅 경험을 기반으로 SBOM 및 ISO 5230 인증 컨설팅 사업을 본격화해 고도화된 컨설팅 서비스를 제공한다고 26일 밝혔다.

SBOM이란 Software Bill of Materials의 약자로, 한국어로는 소프트웨어 구성 요소 목록이다.

SBOM은 소프트웨어를 구성하는 다양한 정보와 상세 내역에 대한 목록으로서, 벤더는 고객에게 공급하는 소프트웨어의 구성 요소가 최신인지 확인하고, 새 취약점에 신속하게 대응하면서 지속적으로 안전한 소프트웨어를 개발, 공급할 수 있다. 고객은 사용하는 소프트웨어의 구성 요소들에 대한 정보 공유를 통해 저작권 등에 문제가 없고, 취약점이 없는 안전한 소프트웨어 사용과 더불어 새롭게 발견되는 취약점 등에 신속히 대처할 수 있다.

지난해 미국에서는 국가 사이버 보안 개선을 위한 행정 명령 14028을 공표하면서 모든 소프트웨어의 공급망 관리를 위한 SBOM을 의무화 했다. 국내에서도 SBOM 관리에 대한 중요성이 증가하고 있다. 일정 규모 이상의 프로젝트라면 SBOM 생성 역시 수동으로 처리가 불가능하며, 적절한 툴의 이용이 필요하다. OSBC에서는 크게 세 가지의 툴을 제공하며, 아래와 같은 용도에 따라 선택해 사용할 수 있다.

◇ 컨설팅 제공 서비스 목록

·FossID: 소스코드 분석을 통한 오픈소스 라이선스 및 보안 취약점에 대한 SBOM 생성
·Snyk: 코드 취약점 정적 분석, 컨테이너 취약점 분석 및 오픈소스 보안 취약점 자동 패치를 통한 SBOM 생성
·Clarity: 바이너리 분석을 통한 라이선스 및 보안 취약점에 대한 SBOM 생성

OSBC가 제공하는 SBOM컨설팅 프로세스는 다음과 같다.

OSBC는 고객사의 공급망 환경과 비즈니스 모델 분석을 통해 SBOM 관리 범위를 정의하고, 관리 속성을 도출한다. OSBC의 SBOM 전문 컨설턴트는 고객의 요구사항 분석을 기반으로 제품 및 서비스 비즈니스 모델과 다양한 공급망 환경 분석을 통해 SBOM 부재로 인한 위험을 분석해 명확한 SBOM 관리 목적을 도출하고, 고객사 요구사항에 부합한 속성 생성을 위한 도구 셋을 제안한다.

OSBC의 SBOM 생성 도구는 오픈소스 라이선스&보안의 전반적인 취약점에 대해 소스 코드 정적 분석을 통한 취약점과 오픈소스 컨테이너 및 종속성 분석, 소스코드 및 바이너리 분석을 통해 고객이 요구하는 다양한 관리 속성을 종합적으로 도출한다. OSBC의 거버넌스 전문 컨설턴트는 SBOM관리 정책 및 프로세스 구축으로 SBOM이 지속해서 관리, 유지될 수 있도록 변화 관리 컨설팅도 제공한다.

한편 OSBC에서는 ISO/IEC 5230 오픈소스 국제 인증 획득 지원 컨설팅도 본격화한다. ISO/IEC 5230은 오픈소스가 포함된 소프트웨어의 공급망 관리를 위해 Linux Foundation의 OpenChain Project에서 만든 규격으로, 2020년 국제 표준으로 인증됐다.

다양하고 복잡한 소프트웨어 공급망에서 광범위하게 사용되는 오픈소스의 라이선스 위반과 같은 위험을 예방하려면 한 기업의 컴플라이언스 관리를 통해서는 불가능하고, 공급망에 포함된 모든 조직 및 구성원들이 최소한의 표준화된 오픈소스 컴플라이언스 관리 체계를 구축하는 것이 필수적이다.

오픈소스 컴플라이언스를 관리를 하려면 관리 정책, 프로세스, 시스템, 교육 등 다양한 활동이 필요하다. ISO 5230에서는 △프로그램 설립 △관련 업무 정의 및 지원 △오픈소스 콘텐츠 검토 및 승인 △컴플라이언스 산출물 생성 및 전달 △오픈소스 커뮤니티 참여에 대한 이해 △규격 요구사항 준수와 같은 6가지 요구사항과 36가지 세부 요구사항에 대한 관리 이유와 입증 자료를 제시하고 있다.

ISO 5230 인증 컨설팅 단계는 다음과 같다.

OSBC의 오픈 체인 전문 컨설턴트는 고객의 요구사항 분석을 기반으로 제품 및 서비스 비즈니스 모델과 다양한 공급망의 환경을 분석한다. 이를 통해 ISO 5230 규격 준수에 따른 국제 표준 인증을 위한 현 수준을 분석해 개선 방향을 도출한다. 특히 ISO 5230 규격에서 요구하는 6가지 요구사항 및 36가지 세부 요구사항을 만족하기 위한 △오픈소스 사용 △관리 정책 및 절차 수립 △각종 산출물 실무 양식 정의 등 인증을 위한 실무 가이드를 제공한다.

OSBC의 전문 컨설턴트는 15년의 다양한 오픈소스 거버넌스 컨설팅 경험을 기반으로 형식적인 ISO 5230 인증에 목적을 두지 않는다. 고객사의 현황과 특성을 반영해 효과적인 오픈소스 관리 체계를 구축할 수 있도록 ISO 5230 규격을 충족하는, 오픈소스 거버넌스 체계를 구축하고 있다.

한편 OSBC는 2006년 설립된 이래 국내에서 15년간 오픈 소스 관리 전 분야에 관한 서비스를 제공한 독보적인 업계 리더다. 국내 최초로 오픈소스 보안 및 컴플라이언스 리스크 관리의 개념을 도입했다. 매년 오픈소스 거버넌스 가이드 발간, 글로벌 오픈소스 콘퍼런스 개최 등 다양한 활동을 통해 국내 오픈소스 업계의 리더로 자리 잡았다. OSBC는 특화된 오픈소스 관리 솔루션 및 컨설팅 서비스를 제공해 전자, SI, 통신, 방위, 게임, 인터넷, 자동차 및 금융을 포함한 모든 산업 분야의 선도 기업 고객망을 보유하고 있다. 현재 국내 다수 금융업, 제조업 등의 선도 기업들이 SBOM 및 ISO 인증 작업을 진행, 오픈소스 토털 솔루션을 경험하고 있다. OSBC는 회사 솔루션 Synk, FossID, Clarity에 이어 이번 SBOM/ ISO 5230 인증 컨설팅 사업을 확장하면서 고객 기반을 지속해서 확장하는 한편, 더 폭넓은 오픈 소스 거버넌스 체계를 구축할 예정이다.

웹사이트: http://www.osbc.co.kr
이 뉴스는 기업·기관·단체가 뉴스와이어를 통해 배포한 보도자료입니다. 배포 안내 >
뉴스와이어 제공