SBOM [FOSSLight/검토용] 개발그룹의 sbom-info.yaml 분석 및 피드백 절차

[개요]

개발그룹에서 작성한 sbom-info.yml 문서에 대해 다음과 같은 검토 작업을 수행한다.

• 프로젝트 파일들중 경로가 누락된 내용을 추출하여 피드백
• sbom-info.yml 파일을 fosslight hub의 project identify 작업으로 oss 와 license 의 적합성을 검증하여 직접 수정 또는 검토 요청

[절차]

• prechecker convert 결과물과 project 스캔 결과물을 추출한다.
  저장 목록은 아래와 같다.
  • binary scan 결과 spdx-yaml
  • source scan 결과 spdx-yaml (src 폴더 하위에 경로별로 저장)
  • sbom-info.yaml 의 prechecker convert (pre 폴더에 저장)
• project 스캔 결과물에서 sbom-info.yaml 내의 path 목록을 벗어난 추가 리소스가 있는지 확인
  • 'SBOM Info Preprocess' 프로그램에서 'Path Missing Check' 을 이용한다.
  • "sbom-info.yaml 업로드(YAML)" 에는 개발팀에서 작성한 sbom-info.yaml 파일을 지정
  • "fosslight_report.yaml 업로드(SPDX-YAML)" 에는 binary 와 source 스캔 결과물(yaml)을 지정하면 된다.
    • binary 스캔 결과는 파일을 드래그하여 추가
      ex> master\WORK800_SPDX_260318_1122\fosslight_spdx_bin_260318_1128.yaml
    • source 스캔 결과는 src 를 폴더 경로에 추가후 폴더 선택 
      ex> master\WORK800_SPDX_260318_1122\src
• prechecker convert 결과물과 dependency scan 결과물을 hub 에 등록한다. (sitelink1 참고)
  • FOSSLight Hub의 Project 목록중 1번을 이용한다. -> Nexacro_v24_sbom-info_tmp (마지막 사용 일자)
  • 등록하자마자 붉은색의 'New open source', 'New license', 'New version' 목록들이 주륵 나오는데...
    'Binary Name' 없는 목록들이고 실제 파일 경로들이 지정되지 않은 목록이므로 'Exclude' 처리한다. (Exclude 컬럼을 체크하고 디스켓 버튼으로 저장)
  • 등록시의 oss, license 검토 작업으로 sbom-info.yaml 수정시 git repository 에 바로 반영한다.
• 검토 결과를 개발그룹에 메일로 전달한다.