| sitelink1 | |
|---|---|
| sitelink2 | |
| sitelink3 | |
| sitelink4 | |
| extra_vars5 | |
| extra_vars6 |
FOSSLight, Syft, Trivy, Dependency-Track 모두 "Apache License 2.0" 을 따르기 때문에 상용 라이선스 없이 자유롭게 사용, 수정, 배포가 가능하다.
[SBOM 도구 비교표]
| 항목 | FOSSLight | Syft | Trivy | Dependency-Track |
|---|---|---|---|---|
| 개발사/기여자 | LG전자 | Anchore | Aqua Security | OWASP |
| 주요 목적 | 오픈소스 컴플라이언스, SPDX 기반 SBOM | SBOM 생성, 다양한 포맷 지원 | 취약점 스캔 + SBOM | SBOM 관리 및 보안 정책 운영 |
| SBOM 생성 | ✅ 지원 (SPDX) | ✅ 지원 (SPDX, CycloneDX) | ✅ 지원 (CycloneDX 등) | ❌ (수신 전용) |
| 지원 포맷 | SPDX | SPDX, CycloneDX, Syft JSON | SPDX, CycloneDX | CycloneDX, SPDX |
| 취약점 스캔 (CVE) | ❌ 미지원 | ⚠️ 제한적 | ✅ 매우 강력 | ✅ 연동된 SBOM 기반 |
| 지원 언어/환경 | C, Java, JS 등 주요 언어 | 컨테이너, 패키지 기반 (언어 다양) | OS 패키지, 언어, 이미지 등 | SBOM 기반 연동 분석 |
| 라이선스 정보 분석 | ✅ 매우 강력 | ⚠️ 제한적 | ⚠️ 제한적 | ✅ SPDX 기반 가능 |
| CLI/자동화 | ✅ CLI + GUI | ✅ CLI | ✅ CLI | ✅ REST API + GUI |
| CI/CD 연동 용이성 | ✅ Jenkins 등 쉽게 연동 | ✅ 파이프라인 내 실행 용이 | ✅ 파이프라인 내 실행 용이 | ✅ Jenkins, GitHub Actions 등과 연동 |
| 정책 기반 관리 | ❌ 미지원 | ❌ | ❌ | ✅ 취약점 기준 정책 설정 가능 |
| 시각화/분석 대시보드 | ✅ 일부 (FOSSLight Hub) | ❌ | ❌ | ✅ 매우 우수 (웹 기반 UI) |
| 운영 방식 | 로컬 or 서버형(Hub) | 로컬 실행 | 로컬 실행 | 서버 기반 웹 UI |
| 라이선스 | Apache 2.0 | Apache 2.0 | Apache 2.0 | Apache 2.0 |
[각 도구의 역할 요약]
| 도구 | 주된 역할 | 권장 사용 목적 |
|---|---|---|
| FOSSLight | 오픈소스 식별 및 SPDX 기반 SBOM 생성 | 라이선스 컴플라이언스 중심의 SBOM 문서화 |
| Syft | 다양한 언어/컨테이너 환경에 대한 SBOM 생성 | 경량/범용 SBOM 생성기 (보안 스캔 연계 가능) |
| Trivy | 이미지/코드/패키지에 대한 취약점 스캔 및 SBOM 생성 | DevSecOps에서 취약점 자동 검출 및 CycloneDX 출력 |
| Dependency-Track | 수신된 SBOM을 기반으로 정책 기반 보안 관리 및 시각화 | 중앙 집중형 SBOM 운영 및 취약점 관리 플랫폼 |
[실무적 병행 사용 예시]
[개발단계]
└─ FOSSLight 또는 Syft로 SBOM 생성 (SPDX/CycloneDX)
[CI 단계]
└─ Trivy로 보안 스캔 + SBOM 출력
└─ Syft와 함께 사용 가능
[운영단계]
└─ Dependency-Track에 SBOM 등록 → 취약점/라이선스 정책 감시 및 대시보드 제공
[목적에 따른 도구 선택]
| 목적 | 추천 도구 |
|---|---|
| 오픈소스 라이선스 관리 중심 | FOSSLight |
| 다중 언어/이미지 대상 SBOM 생성 | Syft |
| DevSecOps에서 자동 보안 스캔 | Trivy |
| 시각화 및 정책 기반 보안 관리 | Dependency-Track |
[목적에 따른 도구 조합 추천]
| 조합 | 사용 목적 |
|---|---|
| FOSSLight + Trivy | 컴플라이언스 + 보안 취약점 관리 동시 수행 |
| Syft + Trivy + Dependency-Track | 경량 SBOM 생성부터 보안 스캔, 대시보드 운영까지 풀 체인 |
| FOSSLight + Dependency-Track | SPDX 기반 SBOM을 등록해 중앙 보안 관리용으로 활용 |
[도구별 적용 환경]
| 도구 | 실행 OS | 지원 언어 | SBOM 포맷 | 비고 |
|---|---|---|---|---|
| FOSSLight | Linux/macOS | C, Java, JS, Obj-C, Swift | SPDX | Python 기반 CLI, 다양한 파일 기반 분석 |
| Syft | Linux/macOS/Windows | Java, JS 등 | CycloneDX, SPDX | 매우 가벼운 CLI, 디렉토리 기반 분석 |
| Trivy | Linux/macOS | Java, JS, Docker, 바이너리 | CycloneDX | 취약점 분석 + SBOM 동시 지원 |
| Dependency-Track | 웹 서버 (Tomcat/Jetty 등) | SBOM 소비 | CycloneDX 전용 | SBOM 시각화 및 정책 위반 감시 |
시스템 추천 구성 예시 (로컬 또는 서버)
- 운영체제: Ubuntu 22.04 LTS
- 패키지: git, python3, openjdk-11, nodejs
- 도구: fosslight, syft, trivy 설치
- 설정: Git 저장소 clone 후 주기적으로 SBOM 생성 → Dependency-Track 업로드
