| sitelink1 | https://github.com/oss-review-toolkit/ort |
|---|---|
| sitelink2 | |
| sitelink3 | |
| sitelink4 | |
| extra_vars5 | |
| extra_vars6 |
ORT는 SBOM 분석 초기에 접한 오픈소스인데
기능상 FOSSLight 와 유사하게 확장되는 오픈소스이다. (그래서 기능이 FOSSlight 와 유사)
프로젝트를 가져다가 scan하고 결과를 report 하고 관리해준다.
그중 refine 기능이 있는지 확인해보았는데 읍다. (분석해서 레포팅해주지만 refine 하고는 다르다)
다음은 ORT 홈페이지에서 소개하는 대표 기능들의 설명을 번역기로 돌린 결과이다.
Analyzer
분석기 는 지정된 버전 관리 입력 디렉터리( -i) 내의 소프트웨어 프로젝트의 종속성을 확인하는 소프트웨어 구성 분석(SCA) 도구입니다.
ORT에서 실행해야 하는 유일한 필수 도구이며, 분석기의 출력이 다른 모든 도구의 입력이 됩니다.
분석은 감지된 패키지 관리자를 쿼리하여 작동합니다.
Advisor
어드바이저 는 구성된 서비스에서 보안 권고를 검색합니다.
분석기 결과를 입력으로 사용합니다. 분석기가 식별한 모든 패키지에 대해, 알려진 보안 취약점이 있는 구성된 서비스를 쿼리합니다.
이러한 서비스에서 반환된 취약점은 데이터 출처 및 심각도(있는 경우)와 같은 추가 정보와 함께 출력 결과 파일에 저장됩니다.
Evaluator
평가기는 검사 결과에 대한 사용자 지정 라이선스 정책 검사를 수행하는 데 사용됩니다.
검사 대상 규칙은 전용 DSL을 사용하는 Kotlin 스크립트로 구현됩니다.
Reporter
리포터 는 ORT 결과 파일을 기반으로 다양한 형식의 문서를 생성합니다.
현재 지원되는 형식은 다음과 같습니다. (리포터 이름은 대소문자를 구분하지 않습니다)
여기서부터 홈페이지에 나오는 소개문
OSS Review Toolkit (ORT)
- 개요: 오픈소스 의존성 분석 및 라이선스 컴플라이언스 도구 (2023년 3월 7일 최초 commit)
- 분석 방식: 메타데이터 기반 + 정적 분석 일부 지원
- 지원 언어: Java, Python, JavaScript, Go 등 다수
- 출력 형식: SPDX, CycloneDX, 자체 ORT 결과
- 장점
- 고성능 분석
- 다양한 SCM 및 패키지 매니저 지원
- 작성 언어: Kotlin/Java
- GitHub: https://github.com/oss-review-toolkit/ort
oss-review-toolkit (ORT) GitHub 주요 저장소 상세
1. ort
- 설명: 메인 툴셋. Analyzer, Scanner, Downloader, Advisor, Evaluator, Reporter, Notifier 등으로 구성된 완전한 OSS 컴플라이언스 파이프라인
- 언어: Kotlin/Java
- 라이선스: Apache 2.0
2. ort-config
- 설명: ORT의 정책·스캐너 설정·curation 파일 모음 저장소
- 언어: Kotlin
- 라이선스: Apache 2.0
3. ort-workbench
- 설명: ORT 결과 파일(.ort.json/yml)을 시각적으로 분석할 수 있는 데스크탑 GUI 도구
- 언어: Kotlin
- 라이선스: Apache 2.0
4. orthw-shell
- 설명: ORT 결과 및 파이프라인 과정을 셸 스크립트로 자동화하는 도구
- 언어: Shell
- 라이선스: Apache 2.0
5. ort-ci-github-action
- 설명: GitHub Actions 워크플로우에서 ORT를 실행해 SBOM 생성, 라이선스 검수, 보안 체크 자동화
- 언어: Kotlin + YAML
- 라이선스: Apache 2.0
6. ort-ci-gitlab
- 설명: GitLab CI에서 ORT 실행 자동화 지원
- 언어: Kotlin + YAML
- 라이선스: Apache 2.0
* 기타 주요 저장소
- ort-governance: ORT 프로젝트의 거버넌스 문서, 헌장, 의사결정 정책 포함 (CC‑BY‑4.0)
- ort-test-data-scanner: 테스트용 샘플 데이터 및 스캐너 테스트 시나리오 제공
- ort-package-manager-plugin: 외부 패키지 매니저를 위한 플러그인 템플릿 저장소
- .github: GitHub Actions 워크플로우, Issue/PR 템플릿 등 커뮤니티 지원 파일
* 관련 도구 모음 (펄 페이지 기준)
- ORT 메인 툴 외에도 아래의 도구들이 공식 문서에서 소개되고 있습니다 :
- ORT Server: Kubernetes 환경에서 ORT를 REST API/웹 UI로 실행할 수 있는 서버형 구현 (Eclipse Apoapsis 기반)
- ORT Workbench: 분석 결과를 GUI로 탐색
- ORT GitHub Action / GitLab CI: CI 환경 연동 지원
- ORTHW: 쉘 자동화 스크립트
- OpossumUI: 감사 워크플로우 전용 GUI 도구 (ORT 결과 기반)
| 저장소 | 설명 | 언어 | 라이선스 |
|---|---|---|---|
| ort | 메인 툴셋 (Analyzer → Scanner → Reporter 등) | Kotlin/Java | Apache 2.0 |
| ort-config | 정책/스캐너 설정 파일 | Kotlin | Apache 2.0 |
| ort-workbench | 분석 결과 GUI 뷰어 | Kotlin | Apache 2.0 |
| orthw-shell | 쉘 기반 자동화 도구 | Shell | Apache 2.0 |
| ort-ci-github-action / ort-ci-gitlab | CI 연동용 도구 | Kotlin/YAML | Apache 2.0 |
| ort-governance | 프로젝트 거버넌스 문서 | - | CC‑BY‑4.0 |
| ort-package-manager-plugin | 패키지 매니저 플러그인 템플릿 | Kotlin | Apache 2.0 |
| .github | 커뮤니티 관련 설정 파일 모음 | YAML | Apache 2.0 |
ORT 테스트시 사용했던 명령어와 주소들