| sitelink1 | |
|---|---|
| sitelink2 | |
| sitelink3 | |
| sitelink4 | |
| extra_vars5 | |
| extra_vars6 |
[개요]
개발그룹에서 작성한 sbom-info.yml 문서에 대해 다음과 같은 검토 작업을 수행한다.
- 프로젝트 파일들중 경로가 누락된 내용을 추출하여 피드백
- sbom-info.yml 파일을 fosslight hub의 project identify 작업으로 oss 와 license 의 적합성을 검증하여 직접 수정 또는 검토 요청
[절차]
- prechecker convert 결과물과 project 스캔 결과물을 추출한다.
저장 목록은 아래와 같다.- binary scan 결과 spdx-yaml
- source scan 결과 spdx-yaml (src 폴더 하위에 경로별로 저장)
- sbom-info.yaml 의 prechecker convert (pre 폴더에 저장)
- project 스캔 결과물에서 sbom-info.yaml 내의 path 목록을 벗어난 추가 리소스가 있는지 확인
- 'SBOM Info Preprocess' 프로그램에서 'Path Missing Check' 을 이용한다.
- "sbom-info.yaml 업로드(YAML)" 에는 개발팀에서 작성한 sbom-info.yaml 파일을 지정
- "fosslight_report.yaml 업로드(SPDX-YAML)" 에는 binary 와 source 스캔 결과물(yaml)을 지정하면 된다.
- binary 스캔 결과는 파일을 드래그하여 추가
ex> master\WORK800_SPDX_260318_1122\fosslight_spdx_bin_260318_1128.yaml - source 스캔 결과는 src 를 폴더 경로에 추가후 폴더 선택
ex> master\WORK800_SPDX_260318_1122\src
- binary 스캔 결과는 파일을 드래그하여 추가
- prechecker convert 결과물과 dependency scan 결과물을 hub 에 등록한다. (sitelink1 참고)
- FOSSLight Hub의 Project 목록중 1번을 이용한다. -> Nexacro_v24_sbom-info_tmp (마지막 사용 일자)
- 등록하자마자 붉은색의 'New open source', 'New license', 'New version' 목록들이 주륵 나오는데...
'Binary Name' 없는 목록들이고 실제 파일 경로들이 지정되지 않은 목록이므로 'Exclude' 처리한다. (Exclude 컬럼을 체크하고 디스켓 버튼으로 저장) - 등록시의 oss, license 검토 작업으로 sbom-info.yaml 수정시 git repository 에 바로 반영한다.
- 검토 결과를 개발그룹에 메일로 전달한다.
