소프트웨어 구성 분석(SCA)은 강력한 보안 태세를 유지하는 데 필수적입니다. SCA 도구와 기술은 소프트웨어 애플리케이션을 검사하고 타사 및 오픈 소스 구성 요소와 관련된 보안 취약성 또는 법적 라이선스 제한 사항을 식별하는 데 사용됩니다. 오픈 소스 소프트웨어(OSS) 채택이 폭발적으로 증가함에 따라 코드베이스에 숨어 있을 수 있는 보안 취약점이나 소프트웨어 라이센스 규정 준수 침해를 진정으로 파악하려면 효과적인 SCA가 필수적입니다.
FossID SCA 도구는 가장 포괄적인 스캐닝 기능, 유연한 워크플로우 사용자 정의, 세부적인 거버넌스 및 관리, 다양한 보고 형식, 최고 수준의 개인 정보 보호 및 기밀 유지를 위한 배포 옵션을 제공합니다. 또한, 이제 AI 코딩 어시스턴트가 주류가 됨에 따라 SCA 솔루션은 전체 코드베이스를 스캔해야 할 뿐만 아니라 효과적인 SCA 기술은 오픈 소스 소프트웨어 구성 요소에 속하는 코드 스니펫을 정확하게 식별할 수 있는 기능이 있어야 합니다.
도입 방법과 관계없이 코드베이스에 있는 모든 오픈소스 소프트웨어를 자신 있게 찾고, 라이선스 준수 및 보안 취약성 위험을 식별하고, 업계 규정 및 고객 요구 사항을 충족하는 완전한 소프트웨어 구성표(SBOM)를 생성합니다.
 | 360° 오픈소스 스캐닝선언된 디펜던시뿐만 아니라 전체 코드베이스를 스캔하여 도입된 메소드에 있는 모든 오픈 소스를 탐지할 수 있습니다. |
 | 코드 스니펫 탐지팀이 라이선스 또는 보안 위험에 대한 가시성과 함께 AI 생성 코드를 자신있게 활용할 수 있도록 가장 작은 오픈 소스 블록을 찾으세요. |
 | 취약한 조각 찾기알려진 취약한 코드의 정확한 블록을 식별하여 팀이 효율적으로 문제를 해결하고 보안 상태에 대해 의심의 여지가 없도록 하세요. |
공급업체 SBOM을 수집하고 NTIA 호환 SBOM을 통합 및 내보내 규제 보안 요구 사항을 쉽게 충족할 수 있습니다. SPDX 또는 CycloneDX에서 라이센스 텍스트, 저작권 설명 및 보안 취약점을 포함하는 완전한 SBOM을 생성합니다.
공급업체의 SBOM을 FossID에 통합하세요.
FossID로 코드베이스를 스캔하고 결과를 감사합니다.
FossID Workbench에서 SBOM을 단일 프로젝트로 통합하세요.
SBOM을 검증하고 SPDX, CycloneDX 또는 기타 형식을 생성하세요.
강력한 보고서를 위해 파일에 포함된 라이선스 및 저작권 선언을 찾아 추출합니다. 이 보고서에는 오픈 소스 구성 요소 수준과 다를 수 있는 파일 수준 라이선스 및 저작권이 포함됩니다.
라이센스 추출강력한 보고서를 위해 파일에 포함된 라이선스 및 저작권 선언을 찾아 추출합니다. 이 보고서에는 오픈 소스 구성 요소 수준과 다를 수 있는 파일 수준 라이선스 및 저작권이 포함됩니다.
패키지 매니페스트를 분석하여 구성 요소 라이선스와 취약성에 대한 완전한 가시성을 제공하는 종속성 트리를 만들고 프로젝트의 직접적 종속성과 전이적 종속성에 대한 종속성 그래프를 생성합니다.
종속성 분석패키지 매니페스트를 분석하여 구성 요소 라이선스와 취약성에 대한 완전한 가시성을 제공하는 종속성 트리를 만들고 프로젝트의 직접적 종속성과 전이적 종속성에 대한 종속성 그래프를 생성합니다.
개발 팀 전체에서 세부적인 제어를 통해 오픈 소스 정책을 정의하고 시행하여 애플리케이션에서 어떤 오픈 소스 소프트웨어를 사용할 수 있고 어떤 오픈 소스 소프트웨어를 사용할 수 없는지에 대한 명확한 지침과 엄격한 제어를 제공합니다.
정책 관리개발 팀 전체에서 세부적인 제어를 통해 오픈 소스 정책을 정의하고 시행하여 애플리케이션에서 어떤 오픈 소스 소프트웨어를 사용할 수 있고 어떤 오픈 소스 소프트웨어를 사용할 수 없는지에 대한 명확한 지침과 엄격한 제어를 제공합니다.
 | 업계를 선도하는 OSS 인텔리전스 데이터베이스로 구동FOSS 인텔리전스 데이터베이스는 전담 연구팀이 유지 관리하고 큐레이션합니다. 수십 개의 공개 소스와 사용자 기여 사이트에서 제공되는 3페타바이트(Petabytes) 이상의 소프트웨어 구성 요소를 포함합니다.
|
FossID 도구는 소프트웨어 개발 라이프사이클(SDLC)에서 분리하여 사용할 수 있지만 SDLC 툴체인에 맞춰 사용하면 영향력을 높일 수 있습니다. 유연한 통합을 통해 감사원의 경험을 최적화하는 동시에 Scan, Gate, Notify 사용 사례를 충족하는 워크플로를 구축할 수 있습니다.
코드를 스캔하여 로컬로 또는 FossID Wordbench에서 결과를 확인하세요.
Scan코드를 스캔하여 로컬로 또는 FossID Wordbench에서 결과를 확인하세요.
스캔 결과를 토대로 데이터 기반의 진행/중지 결정을 내립니다.
Gate스캔 결과를 토대로 데이터 기반의 진행/중지 결정을 내립니다.
조사 결과에 주의가 필요한 경우 관련 이해관계자에게 알립니다.
Notify조사 결과에 주의가 필요한 경우 관련 이해관계자에게 알립니다.
Features01Git SCM에서 직접 스캔FossID Workbench의 Git 통합을 사용하여 GitHub, GitLab, Bitbucket과 같은 Git 기반 플랫폼에서 코드를 가져오고 스캔하세요. 이를 통해 개발자 워크플로를 중단하지 않고도 코드베이스의 규정 준수 및 보안 위험을 감사할 수 있습니다. | Features02CI/CD 파이프라인에 스캔 및 게이트 통합git의 컨텍스트를 사용하여 새 코드 변경 사항을 스캔하고 이전 상태와 비교합니다. 발견 사항이 발생하면 파이프라인 게이트를 선택하고 풀 리퀘스트 주석을 통해 알림을 보냅니다. Workbench Agent는 Workbench 기반 스캔과 게이트를 CI/CD 파이프라인으로 가져옵니다. 스캔, 게이트, 알림을 위한 사용자 정의 워크플로를 구축하기 위해 Workbench를 완벽하게 제어합니다. |
