| sitelink1 | https://fosslight.org/hub-guide/ |
|---|---|
| sitelink2 | |
| sitelink3 | |
| sitelink4 | |
| extra_vars5 | |
| extra_vars6 |
FOSSLight 프로젝트 자체에서 "사전 검증된 오픈소스" 정보를 담고 있는 Binary DB의 전체 데이터를 SQL 덤프 또는 다른 공개된 형태로 제공하지는 않습니다.
몇 가지 이유가 있습니다:
- 데이터의 동적 특성: 오픈소스 정보(버전, 라이선스, 취약점 등)는 지속적으로 업데이트되고 변경됩니다. 특정 시점의 스냅샷을 공개하더라도 빠르게 구식이 될 수 있습니다.
- 데이터의 규모: FOSSLight는 수만 개 이상의 오픈소스 정보를 관리한다고 언급하고 있습니다. 이러한 대규모 데이터를 정기적으로 공개하고 유지보수하는 것은 상당한 리소스가 필요합니다.
- 내부 구축 및 활용 목적: FOSSLight의 Binary DB는 사용자가 자신의 프로젝트에서 스캔된 바이너리를 기반으로 축적하는 "자체적으로 구축하는" 데이터베이스의 성격이 강합니다. 즉, 각 기업이나 사용자가 FOSSLight를 도입하여 사용하면서 얻는 스캔 결과와 수동 검증 데이터를 통해 자신들의 DB를 풍부하게 만들어 나가는 것이 주된 활용 목적입니다.
- 보안 및 저작권 문제: 다른 오픈소스 프로젝트의 정보를 취합하는 과정에서 해당 오픈소스의 라이선스나 저작권 고지 의무를 준수해야 하는 부분이 발생할 수 있으며, 이는 대규모 데이터 공개에 대한 복잡성을 야기할 수 있습니다.
대신, FOSSLight는 다음과 같은 방식으로 정보를 제공합니다:
- FOSSLight Hub: 사용자가 FOSSLight Hub를 설치하면, 자신의 스캔 결과를 통해 Binary DB를 구축하고 관리할 수 있습니다. 여기에서
Self-Check기능 등을 통해 특정 OSS의 라이선스 및 취약점 정보를 조회할 수 있습니다. - FOSSLight Scanner: Binary Scanner는 스캔 시 DB와 연동하여 이미 알려진 정보를 활용합니다.
- 스키마 및 데이터베이스 스크립트: GitHub 저장소에는 PostgreSQL DB를 생성하고 테이블 스키마를 만드는 데 필요한 SQL 스크립트(
fosslight_create.sql등)가 공개되어 있습니다. 이를 통해 사용자는 자신만의 FOSSLight DB를 구축하고 데이터를 채울 수 있습니다. - NVD(National Vulnerability Database) 연동: FOSSLight Hub는 보안 취약점 정보를 위해 NVD와 같은 공용 취약점 데이터베이스에서 데이터를 가져와 활용합니다. 이는 "사전 검증된 오픈소스" 자체의 정보라기보다는 오픈소스와 관련된 취약점 정보입니다.
따라서, 만약 "사전 검증된 오픈소스" 정보가 필요하다면, FOSSLight Binary Scanner를 사용하여 직접 바이너리를 스캔하고, 미식별된 부분은 공식 문서를 참조하여 수동으로 정보를 보완하여 자신의 FOSSLight DB에 축적하는 과정이 필요합니다. 외부에서 직접 INSERT 문으로 구성된 대규모의 "사전 검증된 오픈소스" DB를 다운받을 수 있는 공식적인 경로는 현재로서는 없는 것으로 보입니다.