사이버 보안 전문기업 ㈜KMS테크놀로지(KMS Technology, 대표 이창표)가 오픈소스 거버넌스 관리 포털 시스템인 'KossWise(코스와이즈)'를 정식 론칭하고 금융 서비스 기업을 비롯한 대규모 기업들을 대상으로 오픈소스 소프트웨어 공급망 관리 시장 공략을 강화한다고 밝혔다.
코스와이즈는 오픈소스 보안취약점 및 라이선스 점검 도구인 '블랙덕(Black Duck)'과 실시간 연동된 정보를 활용하여, 오픈소스 SW 사용 현황을 정확하게 점검하여 파악하고, 이에 맞춰 오픈소스 사용 계획부터 프로젝트 배포에 이르는 전(全) 과정을 통제 및 관리할 수 있는 오픈소스 거버넌스 관리 포털 시스템이다.
또한, 전체 프로젝트의 오픈소스 사용 현황 및 관리 프로세스를 확인하고, 리포지터리(Repository, 저장소)를 연동시켜 자동 점검, 이후에 SPDX, CycloneDX, TTA 표준에 맞춘 SBOM(소프트웨어 구성품 명세서(Software Bill of Materials) 제공, 오픈소스 소프트웨어 및 보안취약점 DB를 검색하여 보안위협에 대응할 수 있도록 지원한다.
KMS테크놀로지 코스와이즈는 개발자 및 오픈소스 담당자 간 사용 계획 검토부터 SBOM 승인 및 프로젝트 배포의 전 과정을 모니터링하고 관리하는 오픈소스 관리 프로세스, 공식점검 요청 전 전체 소스에 대해 개발자가 직접 스캔 등록하여 BOM(원재료설명서) 내역을 확인하고 조치하는 프로젝트 자가 점검, 오픈소스 소프트웨어를 프로젝트에 사용하기 위해 계획 단계에서 담당자에게 보내는 오픈소스 사용 계획 검토, 오픈소스 사용 계획 승인 후 대상 프로젝트 전체 소스 코드를 스캔 등록하여 요청하는 오픈소스 공식 점검, Repository Server 연동으로 오픈소스 반입 전 저장소(Repository, 리포지터리) 연동 및 점검, 각 프로젝트 별 오픈소스 SBOM 내역을 확인하며 보안취약점 및 라이선스 정보를 식별하고 조치 가이드를 확인하는 전체 프로젝트 점검 내역 및 가이드, 오픈소스 보안취약점과 라이선스 위반 위험 확인을 위한 TTA 표준 SBOM 제공 및 다운로드, 전체 프로젝트에서 사용중인 컴포넌트 검색, NVD 및 Black Duck이 자체 보유한 오픈소스 소프트웨어 및 보안취약점 DB 검색, SSO, SMTP, SMS/메신저, 인사정보 등과 연동하여 정보를 제공하는 다양한 레거시시스템과의 커스터마이징 연동의 기능이 있다고 밝혔다.
또한 Black Duck(블랙덕)에서 제공되는 다양한 플러그인(GitHub, GitLap, Jenkins, Nexus3 Repository, Npm, Gradle, Maven 등)을 결합시켜 DevSecOps, CI/CD 환경과 연동되며 오픈소스 SW 점검 결과를 포털 시스템에서도 확인할 수 있어, 최적의 소프트웨어 공급망 관리를 위한 플랫폼으로 주목받고 있다.
이창표 대표는 "Black Duck(블랙덕)은 연간 4회의 SW 업데이트가 있으며 새롭게 추가되는 다양한 서비스 기능들을 연동 지원될 수 있도록 지속적인 개발에 힘쓸 것이다"며 "최근 Black Duck(블랙덕)이 업데이트되어 타사 SCA(소프트웨어 구성 분석) 도구에서 생성된 SBOM(SPDX, CycloneDX 규격 기준)도 Import 하면 내용을 확인할 수 있는 기능이 제공되어 올 하반기 코스와이즈에서도 서비스 연동을 통해 확인할 수 있게 된다"고 말했다.