10th Meeting
Online Meeting, June 2021
Schedule
- Schedule: 2021-06-22 (Tue) 3:00~5:00 PM
- How to join
- Zoom (Please refer to the e-mail for the access address)
Agenda
소그룹 모임 주제
- 자기 소개
- 하는 일, 최근 주요 관심사
- 다른 회사의 담당자에게 궁금한 것이 있다면?
Attendees
- SK Telecom
- LINE Plus
- Kakao
- LG Electronics
- NCSOFT
- Hyundai Mobis
- Hyundai Motors
- Hyundai Autoever
- Samsung Electronics
- KT ds
Video
Intro
OpenChain Update
OpenChain KWG Update
FOSSLight Open Source Project
최근 주요 동향
NIPA 오픈소스 거버넌스 가이드
Minutes
OpenChain Update (Shane Coughlan / Linux Foundation)
- Security Guide 를 발간할 계획이 있으며, 현재 편집 중 (Link)
OpenChain KWG Update (장학성/SK텔레콤)
FOSSLight Open Source Project 소개 (김경애/LG전자)
- FOSSLight Open Source Project 란?
- FOSSLight 스캐너를 통해 소스코드, 디펜던시, 바이너리를 스캔하고
- 스캔한 결과물을 FOSSLight System에 업로드하여
- OSS Distribution Site에 공개할 수 있도록 고지문 발급하는 시스템
- FOSSLight Source Scanner
- String Search 기반으로 라이선스 검출 (ScanCode 활용)
- Code Match 가 불가하여 OSS 이름 검출이 불가함
- 소스
- FOSSLight Dependency Scanner
- 개발 환경에서 Dependency 목록에 대해 OSS 정보 출력
- 지원 가능한 Package Manager
- Gradle (Java/Android)
- Maven (Java)
- NPM (Node.js)
- Pypi (Python)
- Pub (Dart with flutter)
- Cocoapods (Swift/Obj-C)
- Transitive Dependency 출력
- 빌드되지 않는 환경에서 동작하지 않음
- FOSSLight System
- Open Source Compliance Process를 효율적으로 수행하는 시스템
- LICENSE/OSS 정보 조회 및 관리
- Project 단위로 OSC 수행 및 Status 관리
- 3rd Party Project 관리
- Vulnerability 관리
- Self-Check 기능
- 곧 Release 될 기능
- FOSSLight Binary Scanner
- Binary 실제 분석하는 것은 아님
- Path 내 Binary를 추출하여 checksum, TLSH 추출
- System Database와 비교하여 OSS 정보 자동 출력
- FOSSLight REUSE
- 특징
- 동일한 OSS 이름이지만 다양하게 불리는 경우, Nickname을 등록하여 일관된 이름으로 통합 관리 가능
- OSS Notice Format을 커스터마이징할 수 있음 (Company Name, Email 등)
- FOSSLight Contribution Items
- 버그 리포팅
- 오타
- 문서화 작업
- 1인 OSC 담당자를 위한 Customizing
- Distribution 단계 구현
- 테스트 자동화 등
Google OSV & Open Source Insight (Robin Hwang/카카오)
- Google OSV https://osv.dev/
- SVE와 Sonatype OSS Index 등을 통해 취약성 데이터 베이스 확인
- 구글이 OSS-Fuzz 프로젝트에서 발견한 데이터 세트를 제공
- OSS-Fuzz: 소프트웨어 프로그래밍 오류를 발견하는 Fuzz Test 프로젝트
- CVE의 경우, 취약성 정보를 특정 패키지 버전에 매핑하기 어려운 경우가 많음
- Open Source Insight https://deps.dev/
- Google에서 Open Source Insight 서비스 공개
- 기존에 ClearlyDefined 서비스를 제공하고 있음
- 직관적인 UI로 서비스 구성
- 보안 취약성 정보를 연결, 종속성 그래프도 제공
- 차별점
- Npm과 같은 일반적인 도구 세트를 대체하려는 것은 아니고 패키징에 정의되어 있는 정보를 토대로 구성
- Lock 파일에 선언된 종속성과 다르거나 더 완전할 수 있음
- OpenSSF Score 도입
기업 공개 소프트웨어 거버넌스 가이드 (이서연/LINE 플러스)
- 기업 공개 소프트웨어 거버넌스 가이드
- NIPA 주관하고 오픈업이 연구 수행하여 국내 기업의 올바른 오픈소스 활용을 안내하기 위함
- SKT, 라인, Kakao 에서 NIPA 기업 공개 소프트웨어 거버넌스 가이드 집필하였음
- 실물 책자는 발간 진행 중이고, 웹 통해서 확인 가능
- 오픈소스 사용하기
- 오픈소스 기여하기
- 오픈소스 공개하기
- 기업편: 어떻게 공개해야 할지, 공개 후 해야 할 일 등
- 개발자편: 오픈소스 공개 준비 방법, 운영 방법
- 다양한 의견과 컨트리뷰션 환영합니다.
Photo Gallery

OpenChain News
Feedback
Was this page helpful?
Glad to hear it! Please tell us how we can improve.
Sorry to hear that. Please tell us how we can improve.
Last modified 2021년 10일 3월:
add photos (b577ad24)