OSS 라이선스와 검증 도구에 대하여(+OLIVE Platform)
https://qualityhm.tistory.com/12
2021 공개SW 페스티벌 후기
온오프믹스를 떠돌다가 사전 신청해두었던 페스티벌이 11/30일 오후 2시부터 리누스 토발즈의 축사를 시작으로 다양한 세션들이 준비되어 있었다. 오픈소스 생태계에서 모두 한가닥 하시는 분들
qualityhm.tistory.com
온라인 공개SW페스티벌을 보고서 오픈소스 라이선스에 대해 포스팅을 해봐야 겠다 생각이 들었고, 찾아보았던 라이선스 관리 툴 정보에 대해 포스팅한다.
OSS
오픈소스는 개발 비용 절감, 최신 기술 확보, 기술 경쟁력 강화를 목적으로 누구나 언제든지 사용 가능하지만, 소스의 수정(재생산)/배포하는 경우 해당 라이선스 정책 의무를 따라야 하며 단순 사용 고지 수준부터 전체 소스 코드 공개가 요구되기도 한다.
OSS 검증 도구
개발 조직은 오픈소스 사용 시 이를 인지하고 있어야 하며, OSS 라이선스 검증 툴을 이용하여 사용 결정을 내릴 수 있다.
개발자가 직접 확인 방법과 자동화 툴을 이용한 2중 검증을 권장하며 자동화 툴 방식은 소스 코드 스캔 후 비교, 원본 소스와 주석문 비교, 파일 크기 비교 등이 이뤄지며 오픈소스 자체의 취약점, 3rd party audit 기능이 지원되기도 한다.
상용화된 도구는 다음과 같다. 유료 버전과 무료 버전이 있으며 기업 규모에서 도입을 고려하고 있다면 trial로 사용해보는게 좋을 것 같다.
https://www.olis.or.kr/codeEye/OpensourceLicenseInsp.do
++
2021년 LG가 공개한 무료 도구 : https://fosslight.org/fosslight-guide/started/1_install.html
2021년 카카오가 공개한 무료 도구 : https://olive.kakao.com/intro
이러한 도구를 사용하는 이유 중 관리의 편리성이 중요할 것 같은데, 변경점에 대해 최신 반영이 이뤄지는가도 하나의 체크사항이 될 것 이다.
예를 들어, 기존 라이선스의 변경이 위와 같이 발생된 경우 전담팀이 있지 않는 이상 추적에 대한 어려움이 있을 것으로 예상된다. 하지만 카카오에서 공개한 olive platform의 경우 실시간으로 사용자가 component를 등록하기 때문에 보완될 수 있을 것으로 생각된다.
실 사용 후기
olive는 카카오에서 사내에서만 사용하다 무료로 beta 오픈한 서비스이다. 카카오 계정을 통해 github과 연동하여 분석된 결과를 볼 수 있으며, 사용자 등록한 오픈소스 component가 실시간으로 반영된다.
카카오 로그인 후 github 연동하여 몇 개의 repository를 스캔 돌려봤으며, 추출된 component를 다음과 같은 report 형태로 확인할 수 있었다.
beta 버전이므로 component 확인 기능만 존재하는 것으로 보여지며, 개인당 최대 5개 project 등록 가능하다.
정말 간단하지만, SIMPLE IS BEST.
분석 결과와 디펜던시 추적이 잘 되면 굳이 유료 상용화 도구를 쓰지 않아도 되지 않을까 싶었다.
++
LG의 fosslight는 설치없이 데모버전을 사용해봤는데 약간은 불친절함과 오래된 감성의 UI지만 CVSS 점수, 관리자/사용자 분리, 메일 리포트 기능이 있어 실무 도입을 고려하고 있다면 볼만한 것 같다.
마치며
기업 측면에서 보았을 때 오픈소스 라이선스 위반 시 큰 시간과 비용으로 돌아오기 때문에 반드시 관리되야 할 것이다. 그리고 오픈소스화 하는 이유는 전 세계 사람과의 협업, 자율성, 투명성을 주기 때문인데 이러한 마인드를 함양하고 정당하게 사용해야겠다!