[아이티데일리] 사이버 보안 전문기업 KMS테크놀로지(KMS Technology, 대표 이창표)는 오픈소스 거버넌스 관리 포털 시스템인 ‘코스와이즈(KossWise)’를 정식 론칭하고 금융 서비스 기업을 비롯한 대규모 기업들을 대상으로 오픈소스 소프트웨어 공급망 관리 시장 공략을 강화한다고 23일 밝혔다.

‘코스와이즈’는 오픈소스 보안취약점 및 라이선스 점검 도구인 ‘블랙덕(Black Duck)’과 실시간 연동된 정보를 활용해 오픈소스 SW 사용 현황을 정확하게 점검해 파악하고, 이에 맞춰 오픈소스 사용 계획부터 프로젝트 배포에 이르는 전 과정을 통제 및 관리할 수 있는 오픈소스 거버넌스 관리 포털 시스템이다.

‘코스와이즈’는 전체 프로젝트의 오픈소스 사용 현황 및 관리 프로세스를 확인하고, 리포지터리(Repository, 저장소)를 연동시켜 자동 점검한다. 이후에는 SPDX, 사이클론DX(CycloneDX), TTA 표준에 맞춘 SBOM(Software Bill of Materials; 소프트웨어 구성품 명세서)을 제공함으로써 오픈소스 소프트웨어 및 보안취약점 DB를 검색해 보안위협에 대응할 수 있도록 지원한다.

또한 ‘블랙덕’에서 제공되는 깃허브(GitHub), 깃랩(GitLap), 젠킨스(Jenkins), 넥서스3 리포지터리(Nexus3 Repository), Npm, 그래들(Gradle), 메이븐(Maven) 등의 플러그인을 결합시켜 데브섹옵스(DevSecOps), CI/CD 환경과 연동된다. 또한 오픈소스 SW 점검 결과를 ‘코스와이즈’ 포털 시스템에서도 확인할 수 있다.

사용자는 ‘코스와이즈’를 통해 △오픈소스 관리 프로세스 △프로젝트 자가 점검 △오픈소스 사용 계획 검토 △오픈소스 공식 점검 등을 할 수 있다.

KMS테크놀로지 이창표 대표는 “‘블랙덕’은 연간 4회의 SW 업데이트가 있으며 새롭게 추가되는 다양한 서비스 기능들을 ‘코스와이즈’에서도 연동 지원될 수 있도록 지속적인 개발에 힘쓸 것이다”라며 “최근 ‘블랙덕’이 업데이트돼 타사 SCA(소프트웨어 구성 분석) 도구에서 생성된 SBOM(SPDX, CycloneDX 규격 기준)도 임포트하면 내용을 확인할 수 있는 기능이 제공된다. 이로써 올 하반기에는 ‘코스와이즈’에서도 서비스 연동을 통해 확인할 수 있다”고 말했다.

KMS테크놀로지 관계자는 “‘코스와이즈’를 통해 ‘블랙덕’에서 생성된 다양한 결과를 확인할 수 있으며, 고객 내부 시스템과 연동 지원으로 금융권을 비롯한 다양한 기업 고객들이 ‘코스와이즈’와 ‘블랙덕’을 조합해 오픈소스 관리를 요청하는 요구사항이 크게 증가하고 있다”고 덧붙였다.