오픈 소스 탐지기
오픈 소스 탐지기(Open-Source Detector)는 코드베이스, 애플리케이션 또는 디지털 자산을 스캔하여 오픈 소스 프로젝트에서 유래한 구성 요소를 식별하도록 설계된 소프트웨어 도구 또는 자동화된 시스템입니다. 이러한 도구는 바이너리, 소스 코드 및 종속성 매니페스트를 분석하여 특정 소프트웨어 제품의 전체 구성 요소 명세서(BOM, Bill of Materials)를 파악합니다.
오늘날의 소프트웨어 환경에서 거의 모든 상용 애플리케이션은 타사 오픈 소스 라이브러리를 통합하고 있습니다. 이러한 의존성은 상당한 법적, 보안 및 운영 위험을 초래합니다. 오픈 소스 탐지기는 다양한 오픈 소스 라이선스(예: GPL, MIT, Apache)에 대한 법적 준수를 유지하고, 오래된 종속성으로 인해 발생하는 보안 취약점을 완화하며, 소프트웨어 공급망의 투명성을 보장하는 데 매우 중요합니다.
이러한 탐지기는 일반적으로 여러 기술을 사용하여 작동합니다. 알려진 오픈 소스 패키지 저장소에 대한 시그니처 매칭을 사용하고, 프로젝트 구성 파일(예: package.json, pom.xml) 내의 종속성 그래프를 분석하며, 때로는 컴파일된 코드를 핑거프린팅하기 위해 바이너리 분석과 같은 고급 기술을 사용합니다. 출력물은 일반적으로 모든 구성 요소, 해당 버전 및 관련 라이선스를 나열하는 상세한 소프트웨어 구성 요소 명세서(SBOM)입니다.
소프트웨어 구성 요소 명세서(SBOM), 소프트웨어 구성 분석(SCA), 종속성 스캐닝, 라이선스 준수 관리.