FOSSID 개요

Software Composition Analysis Solution

수정된 코드 스니펫을 포함해 전체 코드베이스에서 모든 오픈소스를 스캔하는 SCA 솔루션

소프트웨어 구성 분석(SCA)은 강력한 보안 태세를 유지하는 데 필수적입니다. SCA 도구와 기술은 소프트웨어 애플리케이션을 검사하고 타사 및 오픈 소스 구성 요소와 관련된 보안 취약성 또는 법적 라이선스 제한 사항을 식별하는 데 사용됩니다. 오픈 소스 소프트웨어(OSS) 채택이 폭발적으로 증가함에 따라 코드베이스에 숨어 있을 수 있는 보안 취약점이나 소프트웨어 라이센스 규정 준수 침해를 진정으로 파악하려면 효과적인 SCA가 필수적입니다.

FossID SCA 도구는 가장 포괄적인 스캐닝 기능, 유연한 워크플로우 사용자 정의, 세부적인 거버넌스 및 관리, 다양한 보고 형식, 최고 수준의 개인 정보 보호 및 기밀 유지를 위한 배포 옵션을 제공합니다. 또한, 이제 AI 코딩 어시스턴트가 주류가 됨에 따라 SCA 솔루션은 전체 코드베이스를 스캔해야 할 뿐만 아니라 효과적인 SCA 기술은 오픈 소스 소프트웨어 구성 요소에 속하는 코드 스니펫을 정확하게 식별할 수 있는 기능이 있어야 합니다.

FOSSID 특장점

종합적인 스캐닝, 정확한 스니펫 탐지, 세부적인 정책 관리로 오픈소스 위험 최소화

도입 방법과 관계없이 코드베이스에 있는 모든 오픈소스 소프트웨어를 자신 있게 찾고, 라이선스 준수 및 보안 취약성 위험을 식별하고, 업계 규정 및 고객 요구 사항을 충족하는 완전한 소프트웨어 구성표(SBOM)를 생성합니다.

360° 오픈소스 스캐닝

선언된 디펜던시뿐만 아니라 전체 코드베이스를 스캔하여 도입된 메소드에 있는 모든 오픈 소스를 탐지할 수 있습니다.

코드 스니펫 탐지

팀이 라이선스 또는 보안 위험에 대한 가시성과 함께 AI 생성 코드를 자신있게 활용할 수 있도록 가장 작은 오픈 소스 블록을 찾으세요.

취약한 조각 찾기

알려진 취약한 코드의 정확한 블록을 식별하여 팀이 효율적으로 문제를 해결하고 보안 상태에 대해 의심의 여지가 없도록 하세요.

SBOM 관리

공급업체 SBOM을 수집하고 NTIA 호환 SBOM을 통합 및 내보내 규제 보안 요구 사항을 쉽게 충족할 수 있습니다. SPDX 또는 CycloneDX에서 라이센스 텍스트, 저작권 설명 및 보안 취약점을 포함하는 완전한 SBOM을 생성합니다.

01 SBOM 수집

공급업체의 SBOM을 FossID에 통합하세요.

02 스캔 및 감사

FossID로 코드베이스를 스캔하고 결과를 감사합니다.

03 통합

FossID Workbench에서 SBOM을 단일 프로젝트로 통합하세요.

04 확인 및 내보내기

SBOM을 검증하고 SPDX, CycloneDX 또는 기타 형식을 생성하세요.

FOSSID doc-white-graph-Mag 03
라이센스 추출

강력한 보고서를 위해 파일에 포함된 라이선스 및 저작권 선언을 찾아 추출합니다. 이 보고서에는 오픈 소스 구성 요소 수준과 다를 수 있는 파일 수준 라이선스 및 저작권이 포함됩니다.

FOSSID hologram
종속성 분석

패키지 매니페스트를 분석하여 구성 요소 라이선스와 취약성에 대한 완전한 가시성을 제공하는 종속성 트리를 만들고 프로젝트의 직접적 종속성과 전이적 종속성에 대한 종속성 그래프를 생성합니다.

FOSSID woman-sitting-grey
정책 관리

개발 팀 전체에서 세부적인 제어를 통해 오픈 소스 정책을 정의하고 시행하여 애플리케이션에서 어떤 오픈 소스 소프트웨어를 사용할 수 있고 어떤 오픈 소스 소프트웨어를 사용할 수 없는지에 대한 명확한 지침과 엄격한 제어를 제공합니다.

업계를 선도하는 OSS 인텔리전스 데이터베이스로 구동

FOSS 인텔리전스 데이터베이스는 전담 연구팀이 유지 관리하고 큐레이션합니다. 수십 개의 공개 소스와 사용자 기여 사이트에서 제공되는 3페타바이트(Petabytes) 이상의 소프트웨어 구성 요소를 포함합니다.

  • 200M Software Components
  • 2500+ Software Licenses
  • 200K Vulnerable Snippets

FOSSID 통합 및 확장성

지속적인 오픈소스 위험 관리를 위해 SDLC에 맞게 워크플로우 맞춤화

FossID 도구는 소프트웨어 개발 라이프사이클(SDLC)에서 분리하여 사용할 수 있지만 SDLC 툴체인에 맞춰 사용하면 영향력을 높일 수 있습니다. 유연한 통합을 통해 감사원의 경험을 최적화하는 동시에 Scan, Gate, Notify 사용 사례를 충족하는 워크플로를 구축할 수 있습니다.

FOSSID doc-white-graph-Mag 04
Scan

코드를 스캔하여 로컬로 또는 FossID Wordbench에서 결과를 확인하세요.

FOSSID laptop-left 02
Gate

스캔 결과를 토대로 데이터 기반의 진행/중지 결정을 내립니다.

FOSSID woman-sitting 02
Notify

조사 결과에 주의가 필요한 경우 관련 이해관계자에게 알립니다.

Git SCM에서 직접 스캔

FossID Workbench의 Git 통합을 사용하여 GitHub, GitLab, Bitbucket과 같은 Git 기반 플랫폼에서 코드를 가져오고 스캔하세요. 이를 통해 개발자 워크플로를 중단하지 않고도 코드베이스의 규정 준수 및 보안 위험을 감사할 수 있습니다.

CI/CD 파이프라인에 스캔 및 게이트 통합

git의 컨텍스트를 사용하여 새 코드 변경 사항을 스캔하고 이전 상태와 비교합니다. 발견 사항이 발생하면 파이프라인 게이트를 선택하고 풀 리퀘스트 주석을 통해 알림을 보냅니다. Workbench Agent는 Workbench 기반 스캔과 게이트를 CI/CD 파이프라인으로 가져옵니다. 스캔, 게이트, 알림을 위한 사용자 정의 워크플로를 구축하기 위해 Workbench를 완벽하게 제어합니다.

FOSSID 유연한 배포

안전하고 확장 가능한 배포 옵션

FossID 소프트웨어 구성 분석(SCA) 도구의 유연한 아키텍처는 클라우드, 하이브리드 또는 온프레미스 배포를 통해 성능 및 보안 요구 사항을 충족할 수 있습니다.
또한 FossID Workbench와 FossID 지식 베이스를 격리된 에어 갭 환경에 배포하여 엄격한 개인 정보 보호 및 기밀 유지 요구 사항을 충족하고 데이터 보안 및 제어를 보장할 수 있습니다.

자세히 알아보기 >

Request More Information

제품 상담, 소개자료, 데모 요청 등 FOSSID에 대한 문의사항을 남겨주세요.