diff --git a/content/ko/guide/iso5230_guide/5-community/1-contributions/_index.md b/content/ko/guide/iso5230_guide/5-community/1-contributions/_index.md index 3afbd607f9..9609b9fcea 100644 --- a/content/ko/guide/iso5230_guide/5-community/1-contributions/_index.md +++ b/content/ko/guide/iso5230_guide/5-community/1-contributions/_index.md @@ -212,5 +212,6 @@ description: > ## 5. 참고 -- 관련 가이드: [기업 오픈소스 관리 가이드 — 6. 기여](../../../opensource_for_enterprise/6-contribution/) +- 관련 가이드: [기업 오픈소스 관리 가이드 — 2. 정책 §(9) 오픈소스 기여](../../../opensource_for_enterprise/2-policy/#9-오픈소스-기여) +- 관련 가이드: [기업 오픈소스 관리 가이드 — 3. 프로세스 §4 오픈소스 기여 프로세스](../../../opensource_for_enterprise/3-process/#4-오픈소스-기여-프로세스) - 관련 템플릿: [오픈소스 정책 템플릿 — §3 오픈소스 기여](../../../templates/1-policy/) diff --git a/content/ko/guide/opensource_for_enterprise/1-teams/_index.md b/content/ko/guide/opensource_for_enterprise/1-teams/_index.md index a617512cae..9331a323fb 100644 --- a/content/ko/guide/opensource_for_enterprise/1-teams/_index.md +++ b/content/ko/guide/opensource_for_enterprise/1-teams/_index.md @@ -172,4 +172,10 @@ ISO 표준은 공통적으로 다음과 같이 프로그램 내 각 역할을 오픈소스 프로그램 매니저와 보안 담당의 역할이 더욱 중요해지고 있습니다. 오픈소스 프로그램 매니저는 오픈소스 보안 보증에 대한 기본 지식도 갖추어야 하며, 보안 담당자는 [SBOM](https://www.cisa.gov/sbom) (Software Bill of Materials) 관리와 같은 새로운 보안 요구사항에 대한 이해도 필요합니다. +--- + +> **ISO/IEC 5230 / 18974 준수 가이드** — 이 섹션과 관련된 조항: +> - [§3.1.2 역량](../../iso5230_guide/1-program-foundation/2-competence/) — 역할별 역량 정의·평가 기록 +> - [§3.2.2 효과적 리소스](../../iso5230_guide/2-relevant-tasks/2-resourced/) — 담당자 지정 문서화, 미준수 검토 절차 + 또한, 모든 역할에서 지속적인 학습과 최신 트렌드 파악이 중요해지고 있습니다. 오픈소스 생태계와 관련 기술, 법규는 빠르게 변화하고 있어, 각 담당자는 자신의 분야에서 지속적으로 지식을 업데이트해야 합니다. 이를 위해 [OpenChain](https://www.openchainproject.org/)이나 [TODO Group](https://todogroup.org/)과 같은 국제 커뮤니티에 참여하거나, [국내 오픈소스 컨퍼런스](https://www.oss.kr/)에 참석하는 것도 좋은 방법입니다. diff --git a/content/ko/guide/opensource_for_enterprise/2-policy/_index.md b/content/ko/guide/opensource_for_enterprise/2-policy/_index.md index 5c32bb1831..ba56c5f785 100644 --- a/content/ko/guide/opensource_for_enterprise/2-policy/_index.md +++ b/content/ko/guide/opensource_for_enterprise/2-policy/_index.md @@ -411,12 +411,19 @@ ISO 표준은 공통적으로 다음과 같이 프로그램의 적용 범위와 ### 10.1 성과 지표 정의 1. **성과 지표 목록**: - - 분석한 공급 소프트웨어의 수. - - 해결된 알려진 취약점 및 새로 발견된 취약점의 수. - - 컴플라이언스 산출물 생성 및 배포 수. - - 외부 문의에 대한 응답 시간. - - 프로그램 참여자의 교육 이수율. - - 외부 오픈소스 기여 및 공개 프로젝트의 수. + ISO/IEC 18974 §4.1.4.2는 프로그램이 달성해야 할 **정량적 성과 메트릭 세트**를 요구합니다. + 아래는 권장 지표와 초기 목표값 예시입니다. 각 기업은 비즈니스 환경에 맞춰 목표값을 조정할 수 있습니다. + + | 지표 | 측정 방법 | 목표값(예시) | 측정 주기 | + |------|----------|------------|---------| + | SBOM 완전성 | 공급 소프트웨어 중 SBOM이 생성된 비율 | 100% | 분기 | + | Critical 취약점 평균 대응 시간(MTTD) | CVE 공개 → 조치 완료까지의 평균 일수 | 7일 이내 | 분기 | + | High 취약점 평균 대응 시간 | CVE 공개 → 조치 완료까지의 평균 일수 | 30일 이내 | 분기 | + | 취약점 재발생률 | 동일 컴포넌트에서 6개월 내 재발 비율 | 10% 이하 | 반기 | + | 외부 문의 초기 응답 준수율 | 14영업일 이내 초기 응답 비율 | 95% 이상 | 분기 | + | 신규 참여자 교육 이수율 | 온보딩 후 3개월 내 교육 완료 비율 | 100% | 분기 | + | 컴플라이언스 산출물 제공율 | 공급 소프트웨어 배포 시 산출물 동봉 비율 | 100% | 릴리스마다 | + 2. **지표 목표 설정**: - 각 지표에 대한 목표치를 설정하여 프로그램의 성과를 평가할 수 있도록 합니다. - 목표치는 조직의 비즈니스 목표와 프로그램의 목적에 맞추어 설정됩니다. @@ -508,12 +515,18 @@ ISO 표준은 공통적으로 다음과 같이 제3자가 오픈소스에 대해 ### 9.2 연락처 공개 1. **공개 연락처**: - - *오픈소스 프로그램 매니저*의 공식 연락처를 공개적으로 제공합니다. - - 연락처는 다음과 같은 채널에 등록됩니다: + - **라이선스 컴플라이언스 문의** (ISO/IEC 5230 §3.2.1.1): 오픈소스 프로그램 매니저의 공식 이메일 주소를 공개합니다. (예: `oss@company.com`) + - **보안 취약점 신고 채널** (ISO/IEC 18974 §4.2.1.1): 보안 취약점 전용 이메일 주소를 별도로 공개합니다. (예: `security@company.com`) + - 두 채널을 구분하면 처리 우선순위 관리와 담당자 배정이 용이합니다. + - 연락처는 다음과 같은 위치에 공개합니다: - 오픈소스 고지문 - - 회사 웹사이트 + - 회사 웹사이트(보안 정책 페이지 포함) - Linux Foundation의 Open Compliance Directory -2. **문의 방법 안내**: + - `/.well-known/security.txt` 파일 (RFC 9116, 보안 취약점 신고 채널 표준) +2. **보안 취약점 채널 운영 원칙**: + - 보고 채널이 실제로 모니터링되고 있음을 명시합니다. (예: "영업일 기준 3일 이내 수신 확인 응답") + - CVD(Coordinated Vulnerability Disclosure) 원칙에 따라 비공개 협력 후 공개하는 방침을 명시합니다. +3. **문의 방법 안내**: - 외부에서 오픈소스 관련 문의를 할 수 있는 방법을 명확히 안내합니다. - 이메일 주소, 웹사이트 문의 양식 등을 통해 문의를 받을 수 있도록 시스템을 운영합니다. @@ -632,8 +645,19 @@ ISO/IEC 5230은 다음과 같이 문서화된 오픈소스 기여 정책을 요 9. 오픈소스 기여 -이러한 요소들을 포함하여 오픈소스 정책을 수립하고 문서화하면, ISO/IEC 5230과 ISO/IEC 18974 표준의 주요 요구사항을 충족할 수 있습니다. +이러한 요소들을 포함하여 오픈소스 정책을 수립하고 문서화하면, ISO/IEC 5230과 ISO/IEC 18974 표준의 주요 요구사항을 충족할 수 있습니다. ![](./spec_number_02.png) +--- + +> **ISO/IEC 5230 / 18974 준수 가이드** — 이 섹션과 관련된 조항: +> - [§3.1.1 정책](../../iso5230_guide/1-program-foundation/1-policy/) — 문서화된 오픈소스 정책 +> - [§3.1.4 프로그램 범위](../../iso5230_guide/1-program-foundation/4-scope/) — 적용 범위 정의 +> - [§3.2.1 외부 문의 접근성](../../iso5230_guide/2-relevant-tasks/1-access/) — 공개 문의 채널 +> - [§3.2.2 효과적 리소스](../../iso5230_guide/2-relevant-tasks/2-resourced/) — 인원·예산·미준수 검토 +> - [§3.5.1 기여](../../iso5230_guide/5-community/1-contributions/) — 기여 정책 +> - [§4.1.4 프로그램 범위(18974)](../../iso18974_guide/1-program-foundation/4-scope/) — 성과 메트릭 정의 +> - [§4.2.1 접근성(18974)](../../iso18974_guide/2-relevant-tasks/1-access/) — 취약점 신고 채널 + 정책은 단순히 문서화에 그치지 않고 조직 내에서 실제로 이행되어야 합니다. 이를 위해 정기적인 검토와 업데이트, 그리고 프로그램 참여자들의 교육이 필요합니다. 효과적인 오픈소스 정책은 조직의 오픈소스 사용과 기여를 체계적으로 관리하고, 잠재적인 법적 및 보안 위험을 최소화하는 데 도움을 줄 것입니다. diff --git a/content/ko/guide/opensource_for_enterprise/3-process/_index.md b/content/ko/guide/opensource_for_enterprise/3-process/_index.md index 77dfa34e03..000cca01c9 100644 --- a/content/ko/guide/opensource_for_enterprise/3-process/_index.md +++ b/content/ko/guide/opensource_for_enterprise/3-process/_index.md @@ -678,3 +678,13 @@ OSRB는 매년 정기적으로 검토하여 정책과 프로세스를 개선합 {{% alert title="참고" color="info" %}} 각 프로세스의 실제 적용 예시는 [오픈소스 프로세스 템플릿](../../templates/2-process-template/)에서 확인할 수 있습니다. {{% /alert %}} + +--- + +> **ISO/IEC 5230 / 18974 준수 가이드** — 이 섹션과 관련된 조항: +> - [§3.1.5 라이선스 의무](../../iso5230_guide/1-program-foundation/5-license-obligations/) — 8가지 사용 사례별 처리 절차 +> - [§3.3.2 오픈소스 컴포넌트 기록](../../iso5230_guide/3-content-review/2-component-record/) — SBOM 기록 절차 +> - [§3.4.1 컴플라이언스 산출물](../../iso5230_guide/4-artifacts/1-compliance-artifacts/) — 산출물 보관 기간·버전 관리 +> - [§3.5.1 기여](../../iso5230_guide/5-community/1-contributions/) — 기여 승인 절차 +> - [§4.1.5 표준 관행 구현](../../iso18974_guide/1-program-foundation/5-standard-practice/) — 8가지 취약점 처리 방법 +> - [§4.3.2 보안 보증](../../iso18974_guide/3-content-review/2-security-assurance/) — CVE 탐지→평가→조치→통보→모니터링 diff --git a/content/ko/guide/opensource_for_enterprise/4-tool/_index.md b/content/ko/guide/opensource_for_enterprise/4-tool/_index.md index ced379eda4..a52e8f4519 100644 --- a/content/ko/guide/opensource_for_enterprise/4-tool/_index.md +++ b/content/ko/guide/opensource_for_enterprise/4-tool/_index.md @@ -423,3 +423,10 @@ CI/CD 파이프라인에 이러한 프로세스를 통합함으로써, 오픈소 이러한 도구 환경 구축을 통해 기업은 오픈소스 라이선스 컴플라이언스와 보안 보증 활동을 체계적이고 효율적으로 수행할 수 있으며, ISO/IEC 5230과 ISO/IEC 18974의 요구사항을 충족하는 데 큰 도움을 받을 수 있습니다. 오픈소스 관리 도구를 효과적으로 활용함으로써, 기업은 오픈소스 사용에 따른 법적 위험을 최소화하고, 보안 취약점에 신속하게 대응하며, 투명하고 신뢰할 수 있는 소프트웨어 공급망을 구축할 수 있습니다. 이는 궁극적으로 기업의 경쟁력 향상과 고객 신뢰 증진으로 이어질 것입니다. + +--- + +> **ISO/IEC 5230 / 18974 준수 가이드** — 이 섹션과 관련된 조항: +> - [§3.4.1 컴플라이언스 산출물](../../iso5230_guide/4-artifacts/1-compliance-artifacts/) — 산출물 보관 기간·버전 관리 절차 +> - [§4.1.5 표준 관행 구현](../../iso18974_guide/1-program-foundation/5-standard-practice/) — SCA·SAST·DAST 도구 활용 방법 +> - [§4.3.2 보안 보증](../../iso18974_guide/3-content-review/2-security-assurance/) — SBOM 기반 취약점 탐지 및 기록 diff --git a/content/ko/guide/opensource_for_enterprise/5-training/_index.md b/content/ko/guide/opensource_for_enterprise/5-training/_index.md index 68ed014516..02c9e6c372 100644 --- a/content/ko/guide/opensource_for_enterprise/5-training/_index.md +++ b/content/ko/guide/opensource_for_enterprise/5-training/_index.md @@ -256,3 +256,10 @@ SK텔레콤의 오픈소스 가이드 내 [라이선스별 의무사항](https:/ 이러한 교육 및 평가 체계를 통해 기업은 프로그램 참여자들의 오픈소스 라이선스 컴플라이언스와 보안 보증에 대한 이해도를 높이고, 역량을 지속적으로 개선할 수 있습니다. 또한, 정기적인 평가와 개선 활동을 통해 프로그램의 효과성을 지속적으로 향상시킬 수 있습니다. 이는 궁극적으로 기업의 오픈소스 관리 수준을 높이고, 오픈소스 사용에 따른 법적 위험을 최소화하며, 보안 취약점에 대한 대응 능력을 강화하는 데 기여할 것입니다. + +--- + +> **ISO/IEC 5230 / 18974 준수 가이드** — 이 섹션과 관련된 조항: +> - [§3.1.3 인식](../../iso5230_guide/1-program-foundation/3-awareness/) — 프로그램 참여자 인식 제고 절차 +> - [§3.1.4 프로그램 범위](../../iso5230_guide/1-program-foundation/4-scope/) — 교육 대상 범위 정의 +> - [§3.5.1 기여](../../iso5230_guide/5-community/1-contributions/) — 기여 정책 인식 절차(3.5.1.3) diff --git a/content/ko/guide/opensource_for_enterprise/6-conforming/_index.md b/content/ko/guide/opensource_for_enterprise/6-conforming/_index.md index 61cc017901..aae496454d 100644 --- a/content/ko/guide/opensource_for_enterprise/6-conforming/_index.md +++ b/content/ko/guide/opensource_for_enterprise/6-conforming/_index.md @@ -84,3 +84,10 @@ ISO/IEC 5230과 ISO/IEC 18974는 또한 적합성 인증 획득 후 18개월 동 ![](totalno.png) +--- + +> **ISO/IEC 5230 / 18974 준수 가이드** — 이 섹션과 관련된 조항: +> - [§3.6.1 준수 선언](../../iso5230_guide/6-conformance/1-conformance/) — 표준 요구사항 충족 확인 문서 +> - [§3.6.2 지속적 준수](../../iso5230_guide/6-conformance/2-duration/) — 18개월 준수 유지 선언 +> - [§4.1.4 프로그램 범위(18974)](../../iso18974_guide/1-program-foundation/4-scope/) — 성과 메트릭 및 지속적 개선 증거 +