FOSSLight

FOSSLight 프로젝트는 오픈소스를 통합적으로 관리할 수 있는 시스템인 FOSSLight Hub와 오픈소스 분석을 수행하는 FOSSLight Scanner로 구성되어 있습니다.

FOSSLight Hub

FOSSLight Hub는 오픈소스와 라이선스를 관리하고, 오픈소스 컴플라이언스 프로세스를 순차적으로 처리할 수 있는 통합 시스템이자 보안 취약점, Supply Chain 관리 및 Software BOM(Bill of Materials) 관리 등 오픈소스와 관련된 모든 것을 관리할 수 있는 올인원 시스템입니다.
본 가이드 페이지는 FOSSLight Hub 기본 사용 방법과 tutorial, 개발 환경 세팅 방법 및 maintenance 팁 등 고급 기능들에 대해 설명하고 있습니다. FOSSLight Hub 목차 페이지에서 해당 내용 확인하실 수 있습니다.

FOSSLight Scanner

FOSSLight Scanner는 Prechecker, Dependency Scanner, Source Scanner, Binary Scanner 4가지의 스캐너로 구성되어 있으며, FOSSLight Scanner를 통해 4개 스캐너의 통합 결과를 생성하도록 수행할 수 있습니다.

각 Scanner에 대한 설치 및 사용 방법에 대한 가이드는 FOSSLight Scanner 하위 가이드 페이지에서 확인하실 수 있습니다.

FOSSLight Prechecker

FOSSLight Prechecker는 소스 코드 내에 저작권 및 라이선스 규칙을 준수했는지 확인하고 또 저작권 및 라이선스, Download Location 정보를 쉽게 추가할 수 있도록 도와주는 도구로, 잘 활용할수록 불필요한 오픈소스 스캐닝을 막을 수 있습니다. 예를 들어 개발 초기부터 FOSSLight Prechecker를 활용하여 직접 개발한 소스 코드와 오픈소스 코드에 대하여 저작권 및 라이선스, Download Location 정보를 명확하게 표기하도록 관리한다면 별도의 스캐닝 작업 없이도 오픈소스 사용을 정확하게 파악할 수 있습니다.

FOSSLight Source Scanner

FOSSLight Dependency Scanner

FOSSLight Dependency Scanner는 여러 패키지 매니저에 대한 종속성 분석을 통하여 오픈소스 정보를 추출하는 도구로, 패키지 매니저의 Manifest 파일을 자동으로 감지하고 각 패키지 매니저별로 종속성을 분석한 후 오픈소스 정보가 포함된 보고서 파일을 생성합니다. 이때 재귀적으로 종속성 분석을 해주기 때문에, 1차 종속성만 분석하는 디펜던시 스캐너에 비해 실제 사용된 모든 오픈소스 정보를 추출할 수 있습니다.

FOSSLight Binary Scanner

FOSSLight Binary Scanner는 바이너리 형태의 파일을 찾아서 바이너리 파일 목록을 추출한 후, 연계된 데이터베이스에 검출한 바이너리의 오픈소스 정보가 있다면 자동으로 오픈소스 정보를 출력해주는 도구입니다. 이는 바이너리 자체를 분석하는 방법이 아니기 때문에, 데이터베이스 정보가 많아야 바이너리 분석이 잘 수행될 수 있으니 참고하시기 바랍니다.