ISO/IEC 5230 · 18974 연계
이 페이지는 ISO/IEC 18974(오픈소스 보안 보증) 에 초점을 맞춥니다. 이 DevSecOps 가이드에서 구현한 내용이 표준 요구사항의 어느 항목을 충족하는지 확인할 수 있습니다. 라이선스 컴플라이언스 표준인 ISO/IEC 5230은 이 가이드 범위 밖입니다.
ISO/IEC 18974란
OpenChain Project가 주관하며 자체 인증(Self-Certification) 방식으로 누구나 무료로 인증 가능합니다.
목적: 오픈소스 소프트웨어의 알려진 보안 취약점(CVE 등)을 식별·추적·대응하는 최소 핵심 요구사항을 정의합니다. 모든 규모의 조직이 부담 없이 채택할 수 있도록 최소 기준에 집중합니다.
구성: 프로그램 설립·관련 작업 정의·컴플라이언스 보증·자료 제공 4개 섹션으로 구성됩니다. 각 요구사항은 4.x.x 형식으로 번호가 부여되어 있습니다.
인증 방법: OpenChain 공식 사이트에서 자체 인증 체크리스트를 작성해 제출합니다. 외부 감사 없이 조직 스스로 선언하는 방식이므로 절차가 간소하고 비용이 없습니다.
DevSecOps 구현과 요구사항 매핑
이 가이드에서 구현한 DevSecOps 파이프라인이 ISO/IEC 18974의 주요 요구사항을 어떻게 충족하는지 아래 표로 정리합니다.
| 요구사항 번호 | 요구사항 내용 (요약) | 구현 방법 | 관련 페이지 |
|---|---|---|---|
| 4.1.1 | 보안 보증 정책 문서화 | DevSecOps 전략·SLA 정책 문서 | 도입 전략 |
| 4.1.2 | 정책의 인식·교육 | 팀 내 파이프라인 실패 안내·문서화 | 파이프라인 설계 |
| 4.2.1 | 오픈소스 컴포넌트 식별 | syft SBOM 자동 생성 | SCA |
| 4.2.2 | 알려진 취약점 확인 | grype CVE 스캔·PR 차단 | SCA |
| 4.2.3 | 취약점 대응 절차 | SLA 정의·예외처리 프로세스 | SCA |
| 4.3.1 | 컴플라이언스 보증 활동 | 정기 스캔·SBOM 아티팩트 보관 | 모니터링 |
| 4.3.2 | 자료 보존 | SBOM 릴리즈별 영구 보관 | 모니터링 |
| 4.4.1 | 외부 문의 대응 절차 | 취약점 대응 SLA·VEX 문서 | SCA |
자체 인증 준비 체크리스트
OpenChain 자체 인증은 선언 방식이지만 감사 요청 시 증적을 제시할 수 있어야 합니다.
-
보안 정책 문서
- DevSecOps 도입 전략 문서 (strategy.md 기반)
- 취약점 심각도별 SLA 정의 문서
- 예외처리 승인 프로세스 문서
-
SBOM 증적
- CI/CD에서 자동 생성된 SBOM 파일 (릴리즈 버전별 보관)
- SBOM 생성 도구·포맷·주기 명시 문서
-
취약점 관리 증적
- grype 스캔 결과 아티팩트
- 예외 처리된 CVE 목록·승인 기록 (.grype.yaml 주석 포함)
- 취약점 발견→수정 이력 (GitHub Issues·PR)
-
지속적 모니터링 증적
- 정기 스캔 워크플로우 실행 로그
- Dependabot·Renovate PR 이력
- 신규 CVE 알림→대응 타임라인
인증 등록 절차
- 자체 평가: OpenChain 공식 체크리스트에서 ISO/IEC 18974 항목을 자체 평가하고 모든 요구사항 충족 여부를 확인합니다.
- 선언: 모든 요구사항 충족 확인 후 OpenChain에 적합 프로그램 보유를 선언합니다. 조직 정책 문서에도 명시를 권장합니다.
- 등록: OpenChain 커뮤니티 오브 컨포먼스에 조직명을 등록합니다. 선택사항이지만 공급망 신뢰도 향상에 도움이 됩니다.
한계 및 주의사항
DevSecOps 범위: 이 가이드의 DevSecOps 구현은 ISO/IEC 18974의 오픈소스 보안 보증에 초점을 맞춥니다. SAST·DAST·IaC 보안 등 추가 영역은 표준 요구사항을 넘어서는 보안 강화 활동으로, 인증 범위를 넘어서는 선택적 개선입니다.
ISO/IEC 5230 별도 준비 필요: 라이선스 컴플라이언스 표준인 ISO/IEC 5230은 이 가이드 범위 밖입니다. Trusted OSS의 기업 오픈소스 거버넌스 가이드를 참고하세요.