스패로우(대표 장일수)는 오픈소스 관리 도구인 '스패로우(Sparrow) SCA v1.6'을 조달청 디지털 서비스몰에 등록하고, 이를 기념해 구매 시 최대 50% 할인 혜택을 제공하는 프로모션을 연말까지 진행한다고 13일 밝혔다.
특히, 스패로우 SCA v1.6는 조달청 디지털 서비스 몰에 등록된 최초의 오픈소스 관리 도구로 '소스코드구성분석 솔루션'으로 검색 가능하다.
스패로우 SCA는 오픈소스 보안 취약점을 진단하고 오픈소스 라이선스를 식별하는 도구로 소스코드, 바이너리 파일 뿐만 아니라 오픈소스 소스코드의 일부만 가져오는 스니팻 분석도 지원한다. 사용자는 제공되는 라이선스 정보 차트를 활용해 사용 중인 오픈소스 소프트웨어 라이선스 현황을 파악해 의무사항 준수가 가능하고 발견된 취약점 정보를 확인해 안전한 버전으로 업그레이드할 수 있다.
또한, 지난해 바이든 행정부가 사이버 보안 강화를 위해 공표한 행정명령 에서 의무화한 SBOM(소프트웨어 자재명세서)도 지원한다. SBOM 내보내기 기능을 활용하면 소프트웨어 구성 요소를 빠르고 간편하게 파악할 수 있어, 소프트웨어 공급망 관리의 손쉬운 시작을 돕는다.
스패로우 관계자는 “국내 기업 61.5%가 오픈소스 소프트웨어를 사용하는 등 오픈소스가 급속히 확산하면서 최근 Log4j, Spring4Shell 취약점 등이 잇따라 발견, 공급망 보안을 위협하고 있다”고 말했다. .
장일수 대표는 “오픈소스와 소프트웨어 공급망 보안이 매우 중요한 보안 이슈로 떠오르는 가운데 이번 조달청 디지털서비스몰 등록을 계기로 스패로우가 공공기관의 안전한 오픈소스 활용에 기여할 수 있을 것으로 기대한다”고 말했다.
장 대표는 이어 “GS인증을 받은 오픈소스 관리 도구 '스패로우 SCA'는 오픈소스 취약점 진단과 SBOM 내보내기 등을 통해 일반기업과 공공기관의 소프트웨어 공급망 보안 기반을 마련해 줄 것”이라고 말했다.
안수민기자 smahn@etnews.com
