오픈소스 컴플라이언스 공통 Rules 템플릿

Rules 생성기

아래 생성기에서 옵션을 선택하면 바로 다운로드할 수 있는 설정 파일이 만들어집니다.

---

개요

이 템플릿은 AI 코딩 도구가 코드를 생성할 때 자동으로 오픈소스 정책을 인지하도록 만드는 공통 규칙 모음입니다. CLAUDE.md · .cursorrules · .clinerules 등 각 도구의 설정 파일에 붙여넣어 사용합니다. 허용·금지 라이선스 목록은 사내 정책에 맞게 수정해서 사용하시기 바랍니다.

---

전체 템플릿

---
## 오픈소스 정책

### 라이선스 관리

새로운 외부 패키지·라이브러리 추가 시 반드시 라이선스를 확인하고 명시할 것.

**허용 라이선스**: MIT, Apache-2.0, BSD-2-Clause, BSD-3-Clause, ISC

**주의 라이선스** (법무 검토 필요): LGPL, MPL

**금지 라이선스** (사전 승인 없이 사용 불가): GPL, AGPL, SSPL, Commons Clause

### 보안 관리

- 알려진 CVE 취약점이 있는 패키지 버전 사용 금지
- 의존성 추가 후 아래 명령어 중 하나를 실행할 것:
  - npm: `npm audit`
  - Python: `pip-audit`
  - 컨테이너·범용: `trivy fs .`
- 패키지 버전은 가능한 최신 안정 버전(Latest Stable) 사용

### SBOM 관리

- 의존성 변경 시 SBOM 업데이트 필요
- 생성 도구: cdxgen, syft, trivy
- 권장 포맷: CycloneDX (차선: SPDX)

### 저작권

- 기존 코드의 저작권 헤더 유지
- 새 파일 생성 시 프로젝트 라이선스 헤더 포함
- 타 프로젝트 코드 복사 시 출처 및 라이선스 명시
---

위 내용을 복사해서 각 도구의 설정 파일에 붙여넣으세요. 도구별 적용 방법은 아래 링크를 참고하세요.

---

섹션별 설명

허용·주의·금지 라이선스

MIT · Apache-2.0 · BSD · ISC 계열 허용 라이선스는 상업적 이용·수정·배포가 자유롭고 고지 의무만 있어 대부분의 기업 프로젝트에서 안전하게 사용할 수 있습니다.

LGPL · MPL 등 주의 라이선스는 사용 방식에 따라 소스코드 공개 의무가 발생할 수 있으므로 반드시 법무 검토를 거쳐야 합니다.

GPL · AGPL · SSPL · Commons Clause는 파생물 공개 의무 또는 상업적 이용 제한이 있어 사전 승인 없이는 사용할 수 없습니다.

라이선스	분류	주요 이유
MIT	허용	고지 의무만, 제약 없음
Apache-2.0	허용	특허 명시적 허용 포함
BSD-2/3-Clause	허용	MIT와 유사, 광고 조항 없음
ISC	허용	MIT 계열 간소화 버전
LGPL	주의	동적 링크 시 소스공개 의무 가능
MPL	주의	수정 파일 소스공개 의무
GPL	금지	파생물 전체 소스공개 의무
AGPL	금지	네트워크 사용 시도 소스공개 의무
SSPL	금지	서비스 인프라 전체 공개 의무
Commons Clause	금지	상업적 이용 제한

---

보안 관리

AI는 학습 데이터 기준으로 오래된 버전을 추천하는 경우가 있으므로, 패키지를 추가한 후에는 반드시 감사(audit) 명령어를 실행해 CVE 취약점 여부를 확인하는 것이 중요합니다.

보안 패치가 포함된 최신 안정 버전을 우선 선택하고, 특정 버전을 고정해야 하는 경우에는 해당 버전에 알려진 취약점이 없는지 확인 후 사용하시기 바랍니다.

---

SBOM 관리

SBOM은 프로젝트가 사용하는 의존성 전체를 기록한 명세서로, 취약점 추적과 라이선스 감사의 기반이 됩니다. CI/CD 파이프라인과의 연동 방법은 Quick CI/CD를 참고하세요.

---

사내 정책 커스터마이징

이 부분은 반드시 수정하세요

허용 라이선스를 추가할 때는 사내 법무팀이 승인한 라이선스를 허용 목록에 추가하시기 바랍니다.

금지 라이선스를 완화해야 하는 경우, 특정 컴포넌트에 한해 예외 승인을 받은 경우라면 해당 항목 옆에 승인 이유와 날짜를 주석으로 명시하세요.

언어별 audit 명령어도 팀 환경에 맞게 추가할 수 있습니다. Rust는 cargo audit, Go는 govulncheck, Java는 dependency-check 등을 보안 관리 섹션에 추가하면 됩니다.

---

도구별 적용

• Claude Code (CLAUDE.md)
• Cursor (.cursor/rules/)
• GitHub Copilot
• Windsurf
• Cline / Aider

---

셀프 스터디

Claude Code로 실제 프로젝트에 적용하기

위 생성기는 범용 템플릿을 만들어 줍니다. 실제 프로젝트의 의존성을 분석해서 맞춤형 파일을 생성하려면 아래 agent를 사용하세요.

사전 조건: Trusted OSS 저장소 클론 필요

cd agents/ai-coding-setup
claude

agent가 아래를 자동으로 수행합니다.

• 프로젝트 의존성 파일 분석 (package.json, requirements.txt 등)
• 금지 라이선스 패키지 사전 감지 및 대체 패키지 제안
• 선택한 AI 코딩 도구별 맞춤형 Rules 파일 생성
• 라이선스 위험 리포트 생성