SBOM [FOSSLight/관리용] Project Identification 진행에서 최종 SBOM SPDX 문서 추출

황제낙엽 2026.02.09 11:46 조회 수 : 23

sitelink1 https://www.omnibuscode.com/board/board_security/64576 
sitelink2 https://www.omnibuscode.com/kanban/?cont...ject_id=34 
sitelink3 https://www.omnibuscode.com/board/board_security/64588 
sitelink4  
extra_vars5  
extra_vars6  

[개요]

"[FOSSLight/검토용] 프로젝트 스캔, SBOM데이터 추출, 정제, 최종 산출 문서 생성" 작업 결과로

최종 완성된 sbom-info.yml 과 dependency scan 결과를 관리용 Project 에 등록 후

identification 작업으로 최종 산출물인 SBOM SPDX 문서를 추출한다.

 

[절차]

* Project 를 Prechecker 로 sbom 데이터 추출

  • 개발팀에서 작성한 yml 문서를 prechecker 의 convert 명령어를 이용하여 excel 문서로 추출
    • '명령 프롬프트' 실행
    • cd C:\Users\tobesoft\Documents\qc_works\sbom\FOSSLight\
    • py38_env\Scripts\activate.bat
    • fosslight_master_pre_conv.bat

 

* FOSSLight Hub의 project / identification 단계에서 BIN 탭에 엑셀 파일 등록

  - 등록하자마자 붉은색의 'New open source', 'New license', 'New version' 목록들이 주륵 나오는데...

     'Binary Name' 없는 목록들이고 실제 파일 경로들이 지정되지 않은 목록이므로 'Exclude' 처리한다. (Exclude 컬럼을 체크하고 디스켓 버튼으로 저장)

 

* 테이블 바로 위 "Pre-Review > Open Source" 메뉴에서 오류 목록 확인 (확인만하고 조치는 하지말자, 잘못 가이드하는 경우가 많아서)

 

* 오류 목록의 oss info 를 취합하여 파일로 사내 특화된 정보만 필터하고 샘플로 정제

 

* AI에 샘플 파일을 분석하게 하여 'download location' 과 'homepage' 등에서 라이선스 정보 확인

 

* 최종 수정 항목을 정리후 다음과 같이 처리

  - 'New open source' 또는 'New license' 오류의 경우 'Open Source' 와 'License' 메뉴에서 신규 등록

    > 동일한 oss 로 version 만 다른 경우가 있다, 이때는 oss name 에 version 을 명기해서 신규 oss로 등록하여 중복을 피한다. (hub의 한계다)

        . 예시) Microsoft Edge WebView2 SDK[1.0.622.22], Microsoft Edge WebView2 SDK[1.0.1518.46]

    > open source 정보 등록시 참고 내용 : https://www.omnibuscode.com/board/board_security/64588

    > license 정보 등록시 참고 내용 : https://www.omnibuscode.com/board/board_security/64589

- TFS Git 저장소의 master 브랜치에 반영 (정기 진행중인 경우엔 release 반영후 master 에 동시 반영)

 

* sbom-info.yaml 이 수정된 경우 prechecker convert 를 다시 수행하여 excel 파일을 재등록

  - 'Bin'탭의 우측에 'reset' 버튼 클릭 (디스켓 아이콘 왼쪽에 위치한 버튼으로 전체 목록을 삭제한다)

  - reset 후 디스켓 모양 버튼으로 저장한다.

  - excel 을 재등록후 오류 항목들을 재점검한다.

 

* Packing 단계로 진입

  - 붉은색 Required 가 모두 사라졌다면 'BOM'탭에서 저장 버튼 클릭 (디스켓 모양)

  - 'Request' 버튼으로 다음 진행

  - 데이터 확인후 'Review Start' 진행

    > Review Start 를 누르면 DEP, SRC, BIN 에는 더이상 항목 변경이 불가하게 된다.

  - 'Confirm' 버튼 클릭

 

* SBOM 문서 출력

  - 'Packaging' 단계로 진입하면 'Notice' 탭으로 이동

  - 하단의 콤보에서 'SPDX(JSON)' 을 선택

  - 'download' 버튼으로 SBOM 파일 다운로드

이 게시물을
목록
번호 제목 글쓴이 날짜 조회 수
공지 [계속 추가중] SBOM 용어 정의 황제낙엽 2025.04.10 9309
공지 [계속 추가중] Keycloak 용어 및 설정 옵션 정의 황제낙엽 2024.02.02 9391
63 같은 OSS 지만 여러 버전을 등록해야 하는 경우 황제낙엽 2026.04.24 22
62 [FOSSLight Dependency Scanner] Android Project 의 Dependency Scan 을 위한 Android SDK 설치와 설정 황제낙엽 2026.04.23 20
61 FOSSLight Hub 의 REST API 이용 (v2) 황제낙엽 2026.03.19 1194
60 [FOSSLight/검토용] 개발그룹의 sbom-info.yaml 분석 및 피드백 절차 황제낙엽 2026.03.16 25
» [FOSSLight/관리용] Project Identification 진행에서 최종 SBOM SPDX 문서 추출 황제낙엽 2026.02.09 23
58 [FOSSLight] 'Download Location' 컬럼 값에 'Different from DB' 라는 푸른색 메세지가 출력 file 황제낙엽 2026.02.06 2364
57 [FOSSLight] Project Identification 진행시의 신규 OSS 등록 처리 방법 황제낙엽 2026.02.06 2434
56 [FOSSLight Hub] License 정보를 직접 등록시 필요한 항목 목록 황제낙엽 2026.02.06 2298
55 [FOSSLight Hub] Open Source 정보를 직접 등록시 필요한 항목 목록 황제낙엽 2026.02.06 2283
54 [OSS] Microsoft.Web.WebView2 황제낙엽 2026.02.06 2312
53 [FOSSLight] fosslight 프로젝트의 'Pre-Review' > 'Open Source' 팝업창의 세 버튼에 대한 용도 황제낙엽 2026.02.06 2334
52 [FOSSLight/검토용] prechecker convert 결과 Hub 등록후 Identification 처리 file 황제낙엽 2026.02.05 2247
51 python venv 설치, fosslight source scanner , binary scanner 설치, 버전 확인 황제낙엽 2026.02.02 2331
50 SPDX 템플릿 다운로드 및 온라인 변환기 황제낙엽 2026.01.22 2498
49 SBOM(Software Bill of Materials) 및 소프트웨어 공급망 보안 관련 주요 정부 기관 및 단체 황제낙엽 2026.01.22 2445
48 [FOSSLight] online guide link 황제낙엽 2026.01.14 30
47 identification 에서 출력하는 warning, error 메세지 황제낙엽 2025.12.29 30
46 sbom-info.yaml 을 이용한 dependency scan excel 작성 file 황제낙엽 2025.12.29 2331
45 binary scan 결과물에 대해 취약점이 없는데 왜 SBOM에 넣어야 하나? 황제낙엽 2025.12.17 2291
44 fosslight_source_scanner 에서 스캔 결과 License컬럼 : "New license" (실제 값은 있음) 황제낙엽 2025.12.03 2471
쓰기 태그