SBOM OSS Review Toolkit (ORT) - Java 기반 무료 SBOM 생성 도구 (SAST / 메타데이터 기반)

OSS Review Toolkit (ORT)

• 개요: 오픈소스 의존성 분석 및 라이선스 컴플라이언스 도구 (2023년 3월 7일 최초 commit)
   
• 분석 방식: 메타데이터 기반 + 정적 분석 일부 지원
   
• 지원 언어: Java, Python, JavaScript, Go 등 다수
   
• 출력 형식: SPDX, CycloneDX, 자체 ORT 결과
   
• 장점
  • 고성능 분석
  • 다양한 SCM 및 패키지 매니저 지원
     
• 작성 언어: Kotlin/Java
   
• GitHub: https://github.com/oss-review-toolkit/ort

oss-review-toolkit (ORT) GitHub 주요 저장소 상세

1. ort

• 설명: 메인 툴셋. Analyzer, Scanner, Downloader, Advisor, Evaluator, Reporter, Notifier 등으로 구성된 완전한 OSS 컴플라이언스 파이프라인
• 언어: Kotlin/Java
• 라이선스: Apache 2.0 

2. ort-config

• 설명: ORT의 정책·스캐너 설정·curation 파일 모음 저장소
• 언어: Kotlin
• 라이선스: Apache 2.0

3. ort-workbench

• 설명: ORT 결과 파일(.ort.json/yml)을 시각적으로 분석할 수 있는 데스크탑 GUI 도구
• 언어: Kotlin
• 라이선스: Apache 2.0 

4. orthw-shell

• 설명: ORT 결과 및 파이프라인 과정을 셸 스크립트로 자동화하는 도구
• 언어: Shell
• 라이선스: Apache 2.0 

5. ort-ci-github-action

• 설명: GitHub Actions 워크플로우에서 ORT를 실행해 SBOM 생성, 라이선스 검수, 보안 체크 자동화
• 언어: Kotlin + YAML
• 라이선스: Apache 2.0 

6. ort-ci-gitlab

• 설명: GitLab CI에서 ORT 실행 자동화 지원
• 언어: Kotlin + YAML
• 라이선스: Apache 2.0 

* 기타 주요 저장소

• ort-governance: ORT 프로젝트의 거버넌스 문서, 헌장, 의사결정 정책 포함 (CC‑BY‑4.0) 
• ort-test-data-scanner: 테스트용 샘플 데이터 및 스캐너 테스트 시나리오 제공 
• ort-package-manager-plugin: 외부 패키지 매니저를 위한 플러그인 템플릿 저장소 
• .github: GitHub Actions 워크플로우, Issue/PR 템플릿 등 커뮤니티 지원 파일 

* 관련 도구 모음 (펄 페이지 기준)

• ORT 메인 툴 외에도 아래의 도구들이 공식 문서에서 소개되고 있습니다 :
• ORT Server: Kubernetes 환경에서 ORT를 REST API/웹 UI로 실행할 수 있는 서버형 구현 (Eclipse Apoapsis 기반)
• ORT Workbench: 분석 결과를 GUI로 탐색
• ORT GitHub Action / GitLab CI: CI 환경 연동 지원
• ORTHW: 쉘 자동화 스크립트
• OpossumUI: 감사 워크플로우 전용 GUI 도구 (ORT 결과 기반)