SBOM identification 에서 출력하는 warning, error 메세지

황제낙엽 2025.12.29 09:58 조회 수 : 30

sitelink1  
sitelink2  
sitelink3  
sitelink4  
extra_vars5  
extra_vars6  

진행하다보면 identification reqeust review 의 confirm 진행시 다음의 항목들은 모두 해소하라는 메세지가 나온다.

메시지별 의미, 원인, 대응 방법이다.

 

1. New open source

* 의미

  - FOSSLight Hub 기준으로 처음 등장한 OSS 컴포넌트

  - (이 프로젝트 또는 조직 DB에 아직 등록된 적 없음)

* 주 발생 위치

  - DEP (의존성 스캔)

  - SRC (소스 스캔)

  - BIN (바이너리 스캔)

* 원인

  - 신규 라이브러리 도입

  - 기존 내부 OSS DB에 없는 OSS

  - OSS Name 자동 매칭 실패

* 대응 방법

  - OSS 이름/버전 실제 존재 여부 확인

  - 공식 사이트 / GitHub / Maven / PyPI 등으로 검증

  - 문제 없으면 OSS 등록 승인

  - OSS DB에 정식 등록

* 주의

  - 내부 코드가 OSS로 오인된 경우 → OSS Name 수정 또는 제외 처리

 

2. New version

* 의미

  - 기존에 등록된 OSS이지만 새로운 버전이 발견됨

* 원인

  - 라이브러리 업그레이드

  - 간접 의존성 변경

  - Binary 스캔에서 다른 버전 식별

* 대응 방법

  - 해당 버전이 공식 릴리스인지 확인

  - 라이선스 변경 여부 확인

  - 보안 이슈(NVD) 영향 확인

  - 문제 없으면 버전 승인

* 실무 팁

  - New version은 대부분 정상

  - 라이선스 변경이 없는지만 확인하면 됨

 

3. New license

* 의미

  - OSS는 기존과 동일하지만 새로운 라이선스 조합 또는 표기가 등장

* 주 발생 위치

  - SRC (소스 헤더)

  - DEP (패키지 메타데이터)

  - BIN (license 추정 결과)

* 원인

  - dual-license

  - SPDX 표현 차이

  - 라이선스 자동 인식 오류

* 대응 방법

  - 공식 라이선스 확인 (LICENSE, README)

  - SPDX 정식 ID로 정규화

  - 기존 허용 라이선스 정책과 비교

  - 승인 or 정책 위반 처리

* 중요

  - New license는 반드시 법무/OSS 담당 검토 필요

 

4. Required

* 의미

  - 필수 메타데이터 누락

* DEP / SRC / BIN 공통 Required 항목

  - OSS Name

  - Version

  - License

* 원인

  - 자동 스캔 실패

  - 내부 코드 / proprietary 바이너리

  - 압축/난독화 파일

* 대응 방법 (가장 중요)

  - 내부 코드인 경우

    >- OSS Name: INTERNAL_CODE

    >- License: NOASSERTION 또는 Proprietary

    >- Scope: Internal

  - 실제 OSS인데 인식 실패한 경우

    >- OSS Name 수동 입력

    >- License 수동 지정

    >- Version 보완

  - Required는 방치하면 Identification 완료 불가

 

5. unknown-license-reference

* 의미

  - SPDX 표준에 없는 라이선스 문자열 발견

* 원인

  - 커스텀 라이선스 문구

  - 잘못된 SPDX 표현

  - 내부 템플릿 문구

* 대응 방법

  - SPDX License List에서 검색

  - 매칭되는 SPDX ID로 치환

  - 없다면:

    >- LicenseRef-CompanyName

    >- NOASSERTION 사용

* 절대 그대로 두지 말 것 - SPDX 문서 생성 시 오류 발생

 

6. Declared

  * License 상세에서 'SPDX Short Identifier' 항목에 다른 문자열이 기재된 경우 붉게 출력되곤 하는데

    'SPDX Short Identifier' 항목에 기재된 내용을 지우면 된다.

 

[수정팁]

* 'Pre-Review' 버튼으로 오픈한 팝업에서 출력되는 목록들은 수정해야 할 내용이 있는 목록이다.

    - 해당 목록에서 항목을 체크후 'Change OSS Name' 또는 'Change License' 을 수행하면 뭔가 값을 설정하는 듯 한데 '붉은색' 또는 '푸른색' 안내 메세지가 사라진다.

    - 'Save' 버튼 동작후 'Status'가 O 로 출력되어야만 한다.

이 게시물을
목록
번호 제목 글쓴이 날짜 조회 수
공지 [계속 추가중] SBOM 용어 정의 황제낙엽 2025.04.10 9305
공지 [계속 추가중] Keycloak 용어 및 설정 옵션 정의 황제낙엽 2024.02.02 9391
147 같은 OSS 지만 여러 버전을 등록해야 하는 경우 황제낙엽 2026.04.24 21
146 [FOSSLight Dependency Scanner] Android Project 의 Dependency Scan 을 위한 Android SDK 설치와 설정 황제낙엽 2026.04.23 20
145 FOSSLight Hub 의 REST API 이용 (v2) 황제낙엽 2026.03.19 1194
144 [FOSSLight/검토용] 개발그룹의 sbom-info.yaml 분석 및 피드백 절차 황제낙엽 2026.03.16 25
143 [FOSSLight/관리용] Project Identification 진행에서 최종 SBOM SPDX 문서 추출 황제낙엽 2026.02.09 23
142 [FOSSLight] 'Download Location' 컬럼 값에 'Different from DB' 라는 푸른색 메세지가 출력 file 황제낙엽 2026.02.06 2364
141 [FOSSLight] Project Identification 진행시의 신규 OSS 등록 처리 방법 황제낙엽 2026.02.06 2434
140 [FOSSLight Hub] License 정보를 직접 등록시 필요한 항목 목록 황제낙엽 2026.02.06 2298
139 [FOSSLight Hub] Open Source 정보를 직접 등록시 필요한 항목 목록 황제낙엽 2026.02.06 2283
138 [OSS] Microsoft.Web.WebView2 황제낙엽 2026.02.06 2311
137 [FOSSLight] fosslight 프로젝트의 'Pre-Review' > 'Open Source' 팝업창의 세 버튼에 대한 용도 황제낙엽 2026.02.06 2334
136 [FOSSLight/검토용] prechecker convert 결과 Hub 등록후 Identification 처리 file 황제낙엽 2026.02.05 2247
135 python venv 설치, fosslight source scanner , binary scanner 설치, 버전 확인 황제낙엽 2026.02.02 2330
134 SPDX 템플릿 다운로드 및 온라인 변환기 황제낙엽 2026.01.22 2496
133 SBOM(Software Bill of Materials) 및 소프트웨어 공급망 보안 관련 주요 정부 기관 및 단체 황제낙엽 2026.01.22 2445
132 [FOSSLight] online guide link 황제낙엽 2026.01.14 27
» identification 에서 출력하는 warning, error 메세지 황제낙엽 2025.12.29 30
130 sbom-info.yaml 을 이용한 dependency scan excel 작성 file 황제낙엽 2025.12.29 2330
129 binary scan 결과물에 대해 취약점이 없는데 왜 SBOM에 넣어야 하나? 황제낙엽 2025.12.17 2291
128 fosslight_source_scanner 에서 스캔 결과 License컬럼 : "New license" (실제 값은 있음) 황제낙엽 2025.12.03 2471
쓰기 태그