Labrador OSS Process

Detect

Labrador/SBOM

Correct

Vulnerabilities/Licenses

Protect

Patches/Compliance Management

Labrador OSS Overview

VUDDY์™€ CENTRIS ํŠนํ—ˆ ๊ธฐ์ˆ ๋กœ ์ž‘๋™๋˜๋Š” Labrador OSS๋Š”
์†Œํ”„ํŠธ์›จ์–ด ๊ณต๊ธ‰๋ง ๊ด€๋ฆฌ ํˆด์„ ์ œ๊ณตํ•จ์œผ๋กœ์จ SDLC์˜ ๋ชจ๋“  ๋‹จ๊ณ„์—์„œ ์ค‘์š”ํ•œ ์—ญํ• ์„ ํ•ฉ๋‹ˆ๋‹ค.

SBOM ์ƒ์„ฑ

Labrador OSS๋ฅผ ์‚ฌ์šฉํ•  ๊ฒฝ์šฐ ๊ฐ€์žฅ ์ •ํ™•ํ•œ ์†Œ์Šค ์ฝ”๋“œ SBOM์„ ์ž๋™์œผ๋กœ ์ƒ์„ฑํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. CENTRISยฎ ๋ฐ VUDDYยฉ๋กœ ๊ตฌ๋™๋˜๋Š” Labrador OSS๋Š” ํŒŒ์ผ, ๋ผ์ด๋ธŒ๋Ÿฌ๋ฆฌ ๋ฐ ๊ธฐ๋Šฅ๊ณผ ๊ฐ™์€ ๋ชจ๋“  ์ข…๋ฅ˜์˜ ์†Œํ”„ํŠธ์›จ์–ด ์ปดํฌ๋„ŒํŠธ๋ฅผ ๊ฐ์ง€ํ•ฉ๋‹ˆ๋‹ค. ์ฝ”๋“œ ์กฐ๊ฐ๊นŒ์ง€ ํ‘œ์ค€ํ™”๋œ ํ˜•์‹(SPDX ๋ฐ CycloneDX)์œผ๋กœ SBOM์„ ์ƒ์„ฑํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. (Labrador๋Š” ํ˜„์žฌ ์œ ์ผํ•˜๊ฒŒ ์ฝ”๋“œ๋ ˆ๋ฒจ ์ˆ˜์ค€ ๊ฐ์ง€ ๊ธฐ๋Šฅ์„ ๋ณด์œ ํ•˜๊ณ  ์žˆ์–ด ์‹œ์žฅ์—์„œ ๊ฐ€์žฅ ๊ฐ•๋ ฅํ•œ SCA ์†”๋ฃจ์…˜ ์—ญํ• ์„ ์ˆ˜ํ–‰ํ•ฉ๋‹ˆ๋‹ค.)

์ทจ์•ฝ์  ์Šค์บ”

VUDDYยฉ ๊ธฐ์ˆ ๋กœ ์†Œ์Šค ์ฝ”๋“œ๋ฅผ ์Šค์บ”ํ•˜์—ฌ ์ทจ์•ฝ์ ์„ ๋ฐœ๊ฒฌํ•ฉ๋‹ˆ๋‹ค. Labrador OSS ๋Š” ์†Œ์Šค ์ฝ”๋“œ์˜ ์ •ํ™•ํ•œ ์ทจ์•ฝ์ ์„ ํƒ์ง€ํ•ฉ๋‹ˆ๋‹ค. VUDDYยฉ๋ฅผ ํ†ตํ•ด์„œ Labrador OSS๋Š” ์†Œ์Šค ์ฝ”๋“œ๋ฅผ ๊ธฐ๋Šฅ ์ˆ˜์ค€๊นŒ์ง€ ๋ถ„์„ํ•˜๋Š” ์„ธ๊ณ„ ์œ ์ผํ•œ SCA ์†”๋ฃจ์…˜ ์—ญํ• ์„ ์ˆ˜ํ–‰ํ•ฉ๋‹ˆ๋‹ค.

์†Œํ”„ํŠธ์›จ์–ด ์ˆ˜์ •

Labrador OSS๋Š” ํ˜์‹ ์ ์ธ ์ˆ˜์ • ๊ธฐ์ˆ ์ธ ํŒจ์น˜ ๋ฐฑํฌํŒ…์„ ํ†ตํ•ด ํŒจ์น˜ ๊ถŒ์žฅ ์‚ฌํ•ญ์„ ์ œ๊ณตํ•ฉ๋‹ˆ๋‹ค.
ํŒจ์น˜ ๋ฐฑํฌํŒ…์€ ์†Œ์Šค ์ฝ”๋“œ๋ฅผ ๊ธฐ๋Šฅ ์ˆ˜์ค€์œผ๋กœ ํŒจ์น˜ํ•˜๊ธฐ ์œ„ํ•ด(์›จ์ด๋ฐฑ ์‹œ์Šคํ…œ๊ณผ ๋น„๊ตํ•˜์—ฌ) ์ˆœ์„œ๋Œ€๋กœ ํŒจ์น˜ ๊ณผ์ •์„ ๋˜๋Œ๋ฆฝ๋‹ˆ๋‹ค.

๋ผ์ด์„ ์Šค ์ปดํ”Œ๋ผ์ด์–ธ์Šค

Labrador OSS๋ฅผ ์‚ฌ์šฉํ•˜์—ฌ ๋ผ์ด์„ ์Šค ์œ„๋ฐ˜ ์‚ฌํ•ญ์„ ํ™•์ธํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. Labrador OSS๋Š” ๋ฐ์ดํ„ฐ๋ฒ ์ด์Šค์— 1,600๊ฐœ ์ด์ƒ์˜ ๋ผ์ด์„ ์Šค๋ฅผ ๋ณด์œ ํ•˜๊ณ  ์žˆ๊ธฐ ๋•Œ๋ฌธ์— ์†Œ์Šค ์ฝ”๋“œ์—์„œ ์ž ์žฌ์ ์ธ ๋ผ์ด์„ ์Šค ๋ฌธ์ œ๋ฅผ ์ฆ‰์‹œ ๋ฐœ๊ฒฌํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.

Labrador OSS Features

๋‹ค์–‘ํ•œ ๋ถ„์„ ์˜ต์…˜

Labrador OSS๋Š” 3๊ฐ€์ง€ ๋ถ„์„ ์˜ต์…˜์„ ์ œ๊ณตํ•˜์—ฌ ์‰ฝ๊ฒŒ ์‚ฌ์šฉํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. Labrador๋Š” ๊ท€ํ•˜๊ฐ€ ์ œ๊ณตํ•˜๋Š” ๋ชจ๋“  ์œ ํ˜•์˜ ํŒŒ์ผ, ์†Œ์Šค ์ฝ”๋“œ ๋˜๋Š” URL์„ ์ฆ‰์‹œ ๋ถ„์„ํ•˜์—ฌ ์ž ์žฌ์ ์ธ ๋ผ์ด์„ ์Šค ์œ„๋ฐ˜ ๋˜๋Š” ์ทจ์•ฝ์„ฑ์„ ํ™•์ธํ•ฉ๋‹ˆ๋‹ค.

SDLC & CI/CD ํ†ตํ•ฉ

REST API๋ฅผ ํ†ตํ•ด Labrador OSS๋Š” ํด๋ผ์šฐ๋“œ ๊ธฐ๋ฐ˜ ๋˜๋Š” ์˜จํ”„๋ ˆ๋ฏธ์Šค SDLC ๋ฐ CI/CD ํŒŒ์ดํ”„๋ผ์ธ์— ์•ˆ์ „ํ•œ ๋ฐ์ดํ„ฐ ํ†ต์‹ ์„ ์ œ๊ณตํ•˜์—ฌ ๋ชจ๋“  ์ข…๋ฅ˜์˜ ์ธํ”„๋ผ์—์„œ ๋ณด์•ˆ ์†Œํ”„ํŠธ์›จ์–ด ํ™˜๊ฒฝ์„ ๊ฐ„๋‹จํ•˜๊ฒŒ ์ƒ์„ฑํ•  ์ˆ˜ ์žˆ๋„๋ก ํ•ฉ๋‹ˆ๋‹ค.

์‚ฌ์šฉ์ž ์ •์˜ ์ทจ์•ฝ์ 

์กฐ์ง์˜ ๊ฒฝ์šฐ Labrador OSS๋ฅผ ์‚ฌ์šฉํ•˜์—ฌ ์‚ฌ์œ  ์†Œ์Šค ์ฝ”๋“œ๋ฅผ ๊ด€๋ฆฌํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. ์‚ฌ์šฉ์ž ์ •์˜ ์ทจ์•ฝ์„ฑ ๊ธฐ๋Šฅ์„ ํ†ตํ•ด ๋‚ด๋ถ€์ ์œผ๋กœ ์ •์˜๋œ ์ทจ์•ฝ์„ฑ๊ณผ ์˜ค๋ž˜๋˜๊ฑฐ๋‚˜ ๊ธˆ์ง€๋œ ์ปดํฌ๋„ŒํŠธ๋ฅผ ๋“ฑ๋กํ•˜๊ณ  ์†Œ์œ  ๋ฐ OSS ์ปดํฌ๋„ŒํŠธ๋ฅผ ๋™์‹œ์ ์œผ๋กœ ์ž๋™ ์ œ์–ดํ•˜๋Š” ๋ฐ ๋„์›€์„ ์ค๋‹ˆ๋‹ค. ๋ฐ˜๋ณต๋˜๋Š” ์ทจ์•ฝ์ ์„ ์ œ๊ฑฐํ•˜์—ฌ ์‹œ๊ฐ„๊ณผ ์ž์› ์†Œ๋น„๋ฅผ ํฌ๊ฒŒ ์ค„์ด๊ณ  ์กฐ์ง์— ๋ชจ๋“  SDLC ๋‹จ๊ณ„์—์„œ ๊ฐœ๋ฐœ ์ •์ฑ…์„ ๊ด€๋ฆฌํ•  ์ˆ˜ ์žˆ๋Š” ๊ณต๊ฐ„์„ ์ œ๊ณตํ•ฉ๋‹ˆ๋‹ค.

SBOM Overview

SBOM์ด๋ž€?

SBOM(์†Œํ”„ํŠธ์›จ์–ด ๋ถ€ํ’ˆ ๋ช…์„ธ์„œ)์€ ์ œ์กฐ์—…์œผ๋กœ๋ถ€ํ„ฐ ์œ ๋ž˜ํ•œ, ๋ชจ๋“  ๋ถ„์„๋œ ์†Œํ”„ํŠธ์›จ์–ด ๊ตฌ์„ฑ ์š”์†Œ์˜ ๋ชฉ๋ก์ž…๋‹ˆ๋‹ค. Labrador๋Š” ๊ตญ์ œ ํ‘œ์ค€์ธ SPDX ๋ฐ CycloneDX์˜ ํ˜•์‹์œผ๋กœ SBOM์„ ์ œ๊ณตํ•ฉ๋‹ˆ๋‹ค.

SBOM์˜ ์ค‘์š”์„ฑ

Heartbleed๋‚˜ Solarwinds์™€ ๊ฐ™์€ ์ „์„ธ๊ณ„ ์ˆ˜๋ฐฑ๋งŒ ๋ช…์˜ ๊ณ ๊ฐ๋“ค์—๊ฒŒ ์˜ํ–ฅ์„ ๋ฏธ์น˜๋Š” ์นจํ•ด ์‚ฌ๋ก€๋ฅผ ๊ณ ๋ คํ•˜๋ฉด SBOM์€ ์œ„ํ—˜์„ ์™„ํ™”ํ•˜๊ณ  ํŒจ์น˜์— ์ˆ˜๊ฐœ์›” ๋˜๋Š” ์ˆ˜๋…„์ด ๊ฑธ๋ฆด ์ˆ˜ ์žˆ๋Š” ์œ„ํ—˜์„ฑ ๋ฐœ๊ฒฌ์„ ์œ„ํ•œ ํ•„์ˆ˜ ์š”์†Œ๊ฐ€ ๋˜์—ˆ์Šต๋‹ˆ๋‹ค.

US Regulation

2021๋…„ 5์›” ๋Œ€ํ†ต๋ น ํ–‰์ • ๋ช…๋ น์œผ๋กœ, SBOM์„ ํ†ตํ•œ ์†Œํ”„ํŠธ์›จ์–ด ๊ทœ์ œ๊ฐ€ ํ˜„์‹คํ™”๋์Šต๋‹ˆ๋‹ค. ๋ชจ๋“  ๋ฏธ๊ตญ ์ •๋ถ€ ๊ด€๋ จ ์กฐ์ง์€ ์ด์ œ ์ œ๊ณตํ•˜๋Š” ์†Œํ”„ํŠธ์›จ์–ด ์„œ๋น„์Šค์— ๋Œ€ํ•˜์—ฌ SBOM์„ ์ œ๊ณตํ•ด์•ผ ํ•ฉ๋‹ˆ๋‹ค. ๋‹น์‚ฌ๋Š” ๊ฐ€๊นŒ์šด ์‹œ์ผ ๋‚ด์— ์ „ ์„ธ๊ณ„์ ์œผ๋กœ ๋ณธ ๊ทœ์ •์„ ์ฑ„ํƒํ•  ๊ฒƒ์œผ๋กœ ์˜ˆ์ƒํ•˜๊ณ  ์žˆ์Šต๋‹ˆ๋‹ค.

SBOM Process

VUDDYยฉ (VUlnerable coDe clone DiscoverY)
: A Scalable Approach for Vulnerable Code Clone Discovery, IEEE Symposium on Security and Privacy(S&P)

CENTRISยฉ
: A Precise and Scalable Approach for Identifying Modified Open-Source Software Reuse, International Conference on Software Engineering(ICSE)

Integration

Languages/Frameworks

Package Managers

CI/CD

Get Labrador OSS

Labrador OSS๋Š” ํ”„๋กœ์ ํŠธ์— ๋Œ€ํ•œ ์ตœ์ ์˜ ๋ณด์•ˆ์„ ๋ณด์žฅํ•˜๊ธฐ ์œ„ํ•œ SBOM ํ”„๋กœ์„ธ์Šค๋ฅผ ๋ณด์œ ํ•˜๊ณ  ์žˆ์Šต๋‹ˆ๋‹ค.

  • 1. SBOM
    ์ƒ์„ฑ

    ๋ชจ๋“  ์†Œํ”„ํŠธ์›จ์–ด ์ปดํฌ๋„ŒํŠธ ๋ชฉ๋ก ์ƒ์„ฑ

  • 2. ์ทจ์•ฝ์ 
    ๊ฐ์ง€

    ์ฝ”๋“œ๋ ˆ๋ฒจ ์ˆ˜์ค€์—์„œ ์ทจ์•ฝ์  ๊ฐ์ง€(VUDDYยฉ)

  • 3. ์ทจ์•ฝ์ 
    ์ˆ˜์ •

    ์ทจ์•ฝ์  ํŒจ์น˜ ์ž๋™ ์ œ์•ˆ

  • 4. ๋ผ์ด์„ ์Šค
    ์ค€์ˆ˜

    ๋ผ์ด์„ ์Šค ์ค€์ˆ˜ ๋ฌธ์ œ ๊ฐ์ง€

  • 5. UDCMยฎ

    User-defined Components Management (UDCM)
    ์ž์ฒด ์ฝ”๋“œ์— ๋Œ€ํ•œ ์‰ฌ์šด ๊ด€๋ฆฌ & ๋ณดํ˜ธ