오픈소스 보안 취약점, 라이선스 위반 등을 자동으로 진단하고 관리

오픈소스 활용에 수반되는 보안 취약점과 라이선스 리스크를 자동 식별하여, 정밀한 분석을 통한 안전한 소프트웨어 개발 환경을 제공합니다.

솔루션 구성

제품

  • CORE 01

    소스코드

    • OSS 구성 요소 추출(SBOM)
    • OSS 보안 취약점 분석
    • 라이선스 위반 분석
  • CORE 02

    바이너리

    • 바이너리 구성 요소 분석
    • 취약점 / 라이선스 분석
  • CORE 03

    컨테이너

    • 이미지 구성 요소 분석
    • 취약점 분석
  • CORE 04

    서버케어

    • 설치 패키지/앱 자동 분석
    • 엔진 및 에이전트 제공

솔루션

  • PLATFORM 05

    취약점 점검 포탈 (연동)

    • 포탈, 사내 Git 등 시스템 연동
    • Repository 자동 분석/통합 포탈
  • PLATFORM 06

    취약점 점검 포탈 (정책)

    • 사전 정책 기반 입구 관리
    • 위험 OSS 격리 및 예외 승인
  • SUPPLY CHAIN 07

    SBOM 공급망 관리

    • SBOM 공유 자동화
    • 분석 결과 정보 자동 발송

솔루션 특장점

  • 1. In-Depth(3-Layer) 취약점 분석

    • 컴포넌트/파일/함수 단위의 3중 분석 통한 90% 이상의 정밀도 및 Zero-Day 취약점 탐지
      (특허기술: XVDB)

  • 2. AI 기반 데이터 검증 기반 구축

    • 아이티펍 AI 기능 적용으로 취약점, 라이선스 정보 탐지 분석 고도화

  • 3. 패치 우선순위 제공

    • 위험도에 따른 패치 우선 순위 및 Pin Point 백포팅 패치정보 제공

  • 4. 취약점 관리 포탈 제공(IVAS)

    • 고객 내부시스템 연동으로 자동 통보 및 후속 현황 관리, 고객 환경에 맞는 유연한 대응 가능

3-Layer 분석

  • 차별화된 취약점 탐색 정확도 제공

    타사 대비 함수 단위 미세분석으로 오탐 및 과탐 발생률 제로 수준

  • 취약점만 해결 가능한 백포팅 해법 제공

    문제되는 취약점 부분만 해결 가능한 검증된 패치정보 제공

  • 사용자 정의 취약점 등록 및 관리 가능

    컴포넌트 및 함수 단위의 자체 취약코드 등록/탐지 기능으로 내부 자산 보호

  • Zero Day(신규) 취약점 탐지 가능

    변경 및 조각난 유사코드 매칭으로 알려지지 않은 취약점 탐지

취약점 관리 포탈 (IVAS)

고객의 니즈를 반영한 취약점 통합 솔루션 IVAS

고객 내부 프로그램 및 저장소와 자동 연계 분석, 조치 담당자 자동 통보 및 후속 현황의 시스템적 관리 제공

통합 관리 포탈 (상세 지원)

조치 관리 지원

  • 조치 계획 관리 지원

    • 발견된 취약점 조치 계획 관리 / 예정일 경과 및 상태 변경 이력 표시

  • 조치 현황 안내

    • 단계별 현황 노출 / 예외처리 및 계획 미등록 취약점 구분

  • 조치 안내 확인

    • 탐지된 취약점 조치 정보 제공 / 정확한 조치를 위한 탐지 위치 정보 제공

조치 정책 지원

  • 조치 대상 필터링

    • 효율적인 패치 작업을 위한 필터링 / 위험도 기준 및 CWE 기준 설정

  • 담당자 권한별 메일 발송

    • 저장소별 취약점 조치 및 분석 결과 메일 자동 발송

  • 통합 검색 기능 제공

    • 특정 취약점(프로젝트/담당자명) 통합 검색 / 조치 예외 처리 항목 검색

서버케어 (Server Care)

서버케어 프로세스

서버케어 분석범위

  • OS패키지 소프트웨어

    • OS의 패키지 매니저(apt, rpm 등)에 의해 설치된 패키지 목록 및 해당 패키지의 취약점 분석
      (예: nginx)

  • OS패키지 라이브러리

    • 패키지에서 사용한 라이브러리 컴포넌트 탐지 및 해당 라이선스, 보안 취약점 분석
구분 SW 항목 SW 예시
운영 서버 구성 환경 사용자 설치 SW 서비스 Appl. SW 고객서비스용 SW
오픈소스 라이브러리 Openssl, Tensorflow
3rd Party SW MySQL, Oracle
OS 설치 SW OS패키지 SW Linux, Ubuntu, Windows 등
유틸리티 SW Openssh, Bash, Gcc 등

서버케어 특장점

  • 01

    간편한 자산 연동

    IP/호스트명 조회로 간편 등록 및 Agent 자동 설치

  • 02

    안정적인 운영 보장

    자원 사용률 확인 및 성능 모니터링으로 영향 최소화

  • 03

    지능화된 사용자 알림

    신규 설치/업데이트/삭제 및 신규 취약점 실시간 알림

  • 04

    컴포넌트 EoL 정보

    탐지 컴포넌트의 EoL 정보를 제공하여 사전 리스크 인지

SCM (공급망 관리)

아이티펍은 SBOM Exchange Platform을 통해 개발사, 공급사, 운영사 간의 지속적인 위험관리를 지원합니다.

  • 개발사

    • SBOM 생성 지원을 통한 보안 자가 진단

  • 공급사

    • 납품되는 SW의 SBOM 통합 및 검증 지원

  • 운영사

    • 통합 SBOM 기반의 지속적 SW 위험관리