OVERVIEW
오픈소스 공급망 전반의 가시성과 통제력
외부에서 전달받거나 내부 분석으로 생성된 SBOM을 중앙에서 통합 관리하고, 전사 정책 기반으로 자동 검증 및 통제를 수행하여 오픈소스 공급망 전반의 가시성과 통제력을 제공합니다.
-
WHY
기존 SCA 도구와의 차이
SCA는 분석 중심. Clarity Supply Chain은 분석 결과를 통합하여 전사 정책으로 관리·통제하는 거버넌스 플랫폼입니다.
-
HOW
표준 SBOM 기반 통합
SPDX, CycloneDX 등 글로벌 표준 포맷 + 다양한 SCA 도구 결과를 Import하여 프로젝트·제품·전사 단위로 병합 관리합니다.
-
WHO
대상 고객
오픈소스 공급망 관리가 필요한 SI·IT솔루션·제조·금융·공공 기업, ISO 5230 대응이 필요한 조직.
KEY FEATURES
6대 핵심 기능
SBOM 통합 관리부터 지속 모니터링까지, 엔터프라이즈 거버넌스의 필수 요건을 포괄합니다
-
01
SBOM 통합 관리 및 표준 지원
- SPDX, CycloneDX, NIS-SBOM 등 표준 포맷 지원
- 다양한 SCA 도구 결과 Import 및 통합 관리
- 프로젝트·제품·전사 단위 SBOM 병합 관리
- SBOM 변경 이력 및 버전 비교 기능
-
02
3rd Party SBOM 검증
- 외부 공급사 SBOM Import 및 검증
- Deep Fingerprinting 기반 정확도 검증
- 공급망 리스크 신뢰성 확보
-
03
라이선스 / 보안취약점 정책 기반 통제
- 라이선스 허용·조건부·금지 정책 설정
- 취약점 심각도 및 자산 중요도 기반 정책 적용
- 정책 위반 자동 식별 및 경고
-
04
Workflow 기반 거버넌스 프로세스
- 승인·반려·소명 요청 등 워크플로우 지원
- SDLC 단계별 정책 적용 (사전 검토 / 개발 중 검토)
- Audit Trail (이력 추적) 제공
-
05
지속적 모니터링
- SBOM 기반 취약점 변경 자동 탐지
- 재스캔 없이 신규 CVE 발생 시 알림 (레트로 스캔)
-
06
통합 가시성
- 전사 오픈소스 현황 대시보드
- 프로젝트 / 제품 / 조직 단위 리스크 관리
- API 기반 타 시스템 연계
USE CASE
어떤 상황에서 필요한가요?
활용 시나리오 2~3개 배치 예정. 현재 OSBC 측 콘텐츠 전달 대기 중입니다
-
시나리오 1 (플레이스홀더)
상황 설명 + 해결 방안 텍스트가 들어갈 자리입니다.
-
시나리오 2 (플레이스홀더)
상황 설명 + 해결 방안 텍스트가 들어갈 자리입니다.
-
시나리오 3 (플레이스홀더)
상황 설명 + 해결 방안 텍스트가 들어갈 자리입니다.
※ Use Case 콘텐츠는 OSBC 측 전달 후 확정 예정
FAQ
자주 묻는 질문
표준 SBOM을 Import 하여 모니터링, 병합 외 정책 기반의 핵심 기능들을 대부분 사용할 수 있습니다. 단, 소스코드 분석 및 오픈소스 구성요소 탐지를 위해서는 Clarity, Clarity AIR 혹은 FossID 등의 SCA 도구와의 연계 사용이 필요합니다.
기존 SCA 도구는 분석 중심이며, Clarity Supply Chain은 분석 결과를 통합하여 전사 정책 기반으로 관리·통제하는 거버넌스 플랫폼입니다.
가능합니다. SBOM Import를 통해 SBOM 내 구성요소를 가시화할 수 있습니다. 다른 SBOM과 병합하거나, SCA 기반 분석 결과와 비교 검토를 할 수도 있습니다.
SPDX 및 CycloneDX와 같은 글로벌 표준 포맷을 지원하며 사용자 정의 SBOM을 지정하고 생성할 수도 있습니다.
SBOM에 포함된 구성요소를 기반으로 취약점을 지속적으로 모니터링하며, NVD를 통해 신규 취약점 발생 시 재스캔 없이 자동으로 탐지 및 알림을 제공합니다.