https://OpenChain-Project.github.io/OpenChain-KWG/tags/%EC%9D%98%EC%A1%B4%EC%84%B1/Recent content in 의존성 on OpenChain KWGHugokohttps://OpenChain-Project.github.io/OpenChain-KWG/guide/tools/3-fosslight/Mon, 01 Jan 0001 00:00:00 +0000https://OpenChain-Project.github.io/OpenChain-KWG/guide/tools/3-fosslight/<p>FOSSLight는 LG Electronics가 주도하는 오픈소스 컴플라이언스 도구 모음입니다. 소스 코드·의존성·바이너리를 분석하는 <strong>FOSSLight Scanner</strong>와, 분석 결과를 중앙에서 관리하는 웹 플랫폼 <strong>FOSSLight Hub</strong>로 구성됩니다.</p> <ul> <li>GitHub (Hub): <a href="https://github.com/fosslight/fosslight">https://github.com/fosslight/fosslight</a></li> <li>GitHub (Scanner): <a href="https://github.com/fosslight/fosslight_scanner">https://github.com/fosslight/fosslight_scanner</a></li> <li>공식 문서: <a href="https://fosslight.org/fosslight-guide/">https://fosslight.org/fosslight-guide/</a></li> <li>라이선스: AGPL-3.0-only</li> </ul> <h2 id="주요-특징">주요 특징</h2> <h3 id="fosslight-hub">FOSSLight Hub</h3> <ul> <li><strong>컴플라이언스 프로세스 통합 관리</strong>: 프로젝트별 BOM 관리, 라이선스 의무사항 이행, 공지문 생성까지 일괄 처리</li> <li><strong>취약점 모니터링</strong>: NVD·CVE 연동으로 사용 중인 오픈소스의 취약점 현황 추적</li> <li><strong>3rd Party 관리</strong>: 외부 소프트웨어 공급망의 오픈소스 현황 등록 및 관리</li> <li><strong>SBOM 관리</strong>: SPDX(ISO 표준) 형식 지원</li> </ul> <h3 id="fosslight-dependency-scanner">FOSSLight Dependency Scanner</h3> <ul> <li><strong>14개 이상의 패키지 매니저 지원</strong>: NPM, Yarn, Maven, Gradle, PyPI, Go, Cargo, NuGet, CocoaPods 등</li> <li><strong>자동 감지</strong>: manifest 파일을 자동으로 탐지하여 분석</li> <li><strong>직·간접 의존성 분석</strong>: 전이적 의존성까지 재귀적으로 수집</li> <li><strong>다양한 출력 형식</strong>: Excel, SPDX, CycloneDX, YAML, CSV</li> </ul> <h2 id="fosslight-hub-설치">FOSSLight Hub 설치</h2> <p>Docker Compose를 사용합니다. 공식 저장소를 clone하여 실행합니다.</p>