Clarity 개요
바이너리 코드 분석을 통한 오픈소스 관리 솔루션
‘클래리티(Clarity)’는 바이너리 코드 분석을 통한 오픈소스 관리 솔루션으로, 바이너리 코드를 스캐닝하여 소프트웨어 내에 존재하는 오픈소스 컴포넌트를 식별하고 해당 오픈소스의 라이선스 및 보안취약점 정보를 제공합니다. 기업은 클래리티의 바이너리 코드 점검을 통해 라이선스 위반에 대한 법적이슈와 오픈소스 보안취약점을 사전에 방지하여 외부에서 공급되는 소프트웨어를 안전하게 활용할 수 있습니다.
Clarity 주요 특징
클래리티(Clarity)는 오픈소스 검증 목록을 구축하고 알려진 보안 취약점을 맵핑하며 새로운 보안 취약점을 모니터링합니다.
소스코드 없이 바이너리 파일 내 오픈소스 식별
리버스 엔지니어링이 아닌 String Fingerprint 기반의 정확한 분석
스니펫(부분적으로 사용된 코드)의 오픈소스 탐지
직관적인 UI를 통한 분석 결과 가시화
다양한 임베디드 환경(ARM, Intel 등)을 범용적으로 지원
클라우드 및 온프레미스 설치 지원
Clarity 바이너리 분석
클래리티는 String Fingerprinting 알고리즘으로 한정된 정보의 바이너리 데이터를 분석하고 오픈소스 식별의 높은 정확성을 자랑합니다.
기존 오픈소스 탐지의 한계점
- 한 개의 bit만 다르더라도 값이 바뀌는 체크섬 검사를 활용하는 방식의 한계 극복
- 리버스 엔지니어링을 통한 바이너리 분석은 모든 실행 환경에 대한 완전한 분석이 어렵기 때문에 정확한 오픈소스 라이선스 및 보안 취약점 검증은 현실적으로 어려움
- 소스코드 체크 방식의 경우 빌드시 외부 라이브러리 참조 배포되는 오픈소스의 검증이 어려움
Fingerprinting의 높은 정확성
- 최종 단위의 개별 파일로 Unpack 후 변하지 않는 식별자(스트링 값, 함수명, 변수명 등)를 추출
- Clarity의 오픈소스 DB와 교차 검색하여, 빈도, 값의 길이 등에 따른 점수화를 통한 분석 결과에 대한 신뢰성 확보
오픈소스 구성 요소 내 Fingerprints의 데이터베이스 구축
바이너리 파일 및 펌웨어에서 fingerprint 정보 추출 (strings, functions 등)
추출한 fingerprint 정보와 오픈 소스 DB 내 정보를 매칭
확인된 오픈소스 라이선스 위반 사항 및 위협에 대한 BoM 생성
Clarity 라이선스 검증
파일 단위 라이선스 검증
오픈소스의 파일 단위의 세부 라이선스 정보를 모두 제공하여 대표 라이선스 확인만으로 놓칠 수 있는 라이선스 리스크 최소화
- 파일 단위 라이선스는 오픈소스에 선언된 대표 라이선스 정보가 아닌, 해당 오픈소스의 구성 요소별 라이선스 정보를 모두 제공
- 사용자는 각 구성 요소별 라이선스 정보를 확인하여 준법성 여부를 보다 면밀하게 확인 및 보완할 수 있음
Clarity는 대표 라이선스와 개별 파일별 라이선스 확인이 가능
Litigator Code 별도 관리
라이선스 저작권에 대해 강력한 컴플라이언스를 강제하고 소송을 제기하는 오픈소스 코드인 Litigator Code에 대한 별도의 관리 포인트 제공
- 개인 오픈소스 개발자가 직접 법적 권리를 제기하거나, 오픈소스 관련 비영리 단체가 저작권자를 대신하여 소송을 제기
- 소송을 당한 기업은 제품 판매 정지, 손해배상 및 이익 배분 등의 피해를 받음
Clarity는 상기와 같이 저작권 이슈가 되는 오픈소스를 『Litigator Code』로 별도 관리하며, 이에 대한 정보를 사용자에게 알림
Clarity SBOM 관리
클래리티(Clarity)는 소스코드 혹은 관련자료에 의지하지 않고 SBOM을 독립적으로 생성해 제공합니다.
국제 표준 SBOM 포맷인 SPDX와 CycloneDX, Customize SBOM 형식과 최신 버전의 SPDX 및 CycloneDX를 지원합니다.
