「헬스케어 분야」 오픈소스SW 매니지먼트 아카데미 전문과정 교육 2일차
오픈체인
- 워킹그룹
- https://github.com/fossology/fossology
- https://github.com/OpenChain-Project/OpenChain-KWG
- https://sktelecom.github.io/
- https://github.com/eclipse-sw360/sw360
- https://github.com/fosslight/fosslight
- https://olive.kakao.com/
- https://github.com/sktelecom/onot
- https://github.com/ncsoft/oss-basic-training
오픈소스 ISO 표준을 위한 길
- 조직
- 정책
- 프로세스
- 도구
- 교육
- 선언/유지
오픈소스는 어렵다.
- 변화와 진화가 너무 빠름
- 오픈소스 관련 상용 도구 비쌈
- 소프트웨어 & 법이 연관되어 있음
- 책임은 최종 배포자
- 공급자들이 자꾸 변경됨
- 소프트웨어 공급망 문제...
그러나 프로젝트의 최소 90% 이상이 오픈소스,
ISO 컴플라이언스, 보안 보증
조직이 제일 필요하고, 담당, 현황 등이 중요
현대차는 iso 표준아니면 납품못함(예정
오픈소스 오퍼레이팅 역량이 있으면 오픈소스, 아니면 상용 어차피 기업은 돈이 늘 있다.
문서 메이저/마이너 => 빡빡하게하지는 않음, 애플리케이션 연동도아님 좀 빡시다 메이저, 아니면 마이너?
fosslight 실습
SBOM 수기보다 도구 사용하자
스캐닝 2종류
- 텍스트 스캐닝(fossology, nexb) 문자를 지우면 문제
- 소스 스캐닝(대부분 상용, db 기반이기 때문에 돈이....)
좋은 도구일수록, 빠르게
다만 2)는 여러 코드, 라이센스 제공 받기도 함 그래서 해석의 여지가 있음 같은 도구, 다른 결과
오픈소스 검사
- 소스코드
- 바이너리(어려워서 다들 상용, 정확도는 낮다)
- 디펜던시
아이덴티피케이션?
- 오소리, https://osori-db.github.io/
- olis https://www.olis.or.kr/
fosslight hub 쓰는 목적, 크게 2가지
- 컴플라이언스 관리
- 보안 취약점 관리
포인트, CVE 관련해서는 해결했냐 안했냐.
sbom 관리
오픈소스 실제 기록
동기
- 스스로 정리
- 후임에게 전달
사족
- 기술스탭 모집중 홈페이지
오픈소스 컴플라이언스 업무
- CTO 스탭
TJ >
- 개발때는 자유로히
- 리스트 정리
- 출시 전에 컴플라이언스 체크
이해 대상
- 오픈소스 그 자체
- 오픈소스 사용자
채널
기여
오픈 소스 검증
- 스캔툴 protex?
- 3줄 => 30장 => 3줄
- 전문개발 용어 공부 및 개발자들에게 확신주기
오픈소스 담당부서 되다
- 오픈소스 도입
- 오픈소스2.1
왜하냐?
- 하고 있으면 신의성실원칙,
- 이로 인한 리스크 감소
만일 한다면?
- 부서, 담당자가 선제적으로 필요함