Compliance 관리

컴플라이언스

보안 기준선, 라이선스, 취약점 현황을 연결해 공급망 보안 운영과 규제 대응에 필요한 관리 흐름을 한 곳에서 정리합니다.

컴플라이언스 개요

Hexamind Platform의 컴플라이언스 모듈은 공급망 보안 운영에 필요한 세 가지 관리 기능을 제공합니다.

Security Baseline

조직이 지켜야 할 최소 보안 기준을 문서화하고 관리합니다. 프로젝트에 기준선을 연결하면 검토 기준과 후속 조치를 더 일관되게 운영할 수 있습니다.

라이선스 관리

오픈소스 라이선스 현황과 충돌 가능성을 조기에 파악합니다. 법률 검토가 필요한 대상을 빠르게 선별하고 공급망 보안 문서화의 근거를 정리할 수 있습니다.

취약점 통합 관리

모든 프로젝트의 취약점을 하나의 뷰에서 검색하고 관리합니다. 특정 CVE가 우리 조직의 어떤 프로젝트에 영향을 미치는지 빠르게 파악할 수 있습니다.

Security Baseline

조직이 지켜야 할 최소 보안 기준을 문서화하고, 프로젝트·환경 단위로 연결해 일관된 보안 운영의 기반을 만듭니다.

보안 기준선은 조직 내 모든 SW가 준수해야 할 최소 보안 요건입니다.

• 심각도별 취약점 패치 기한 정의

• 허용 또는 금지 라이선스 범주 설정

• 외부 통신 보안 요건 명시

• 배포 환경별 승인 기준 정의

기준선 가이드라인 등록

기준선 가이드라인은 이름·버전·카테고리·발행처·유효 기간·첨부 문서를 함께 관리하며, 조직의 정책 이력과 갱신 내역을 체계적으로 기록합니다.

프로젝트에 기준선 적용하기

가이드라인은 전역, 특정 프로젝트, 특정 환경 단위로 적용할 수 있어 조직 구조에 맞게 적용 범위를 유연하게 조정할 수 있습니다.

라이선스 관리

오픈소스 라이선스 현황을 프로젝트 단위로 파악하고, 충돌 가능성을 사전에 분석해 법률 검토가 필요한 구성요소를 조기에 선별할 수 있습니다.

오픈소스 라이선스 위반의 심각성

일부 라이선스는 사용 방식, 배포 구조, 수정 여부에 따라 공개 의무나 법률 검토가 필요할 수 있습니다. 이 화면은 위험 신호를 조기에 파악하기 위한 운영 도구이며 최종 법률 판단은 별도 검토가 필요합니다.

License Database

SPDX 표준의 전체 라이선스 목록을 탐색하고 조건, 검토 포인트, 특허 관련 조항 등을 확인합니다.

주요 라이선스 분류 기준:

Permissive 계열: 상용 배포에 비교적 유연하며 제약이 적은 라이선스 그룹

Weak Copyleft 계열: 연결 방식과 수정 범위에 따라 조건 확인이 필요한 라이선스 그룹

Strong Copyleft 계열: 배포 구조에 따라 공개 의무 검토가 필요한 라이선스 그룹

Network Copyleft 계열: 서비스 제공 방식에서도 검토 대상이 될 수 있는 라이선스 그룹

Project Licenses

프로젝트에 사용된 모든 오픈소스 컴포넌트의 라이선스 현황을 라이선스 중심으로 조회합니다. 예를 들어 어떤 프로젝트에서 GPL 계열 라이선스를 사용하는지 바로 확인할 수 있습니다.

라이선스 충돌 분석

SPDX 호환성 기준을 바탕으로 프로젝트 내부의 라이선스 충돌 가능성을 분석합니다.

라이선스 충돌 분석 해석 방법

이 분석은 공급망 보안 운영과 초기 리스크 선별을 돕기 위한 결과입니다. 배포 구조와 계약 조건에 따른 최종 해석은 법무 검토와 함께 판단하세요.

심각 (FAIL): 공개 의무 검토가 필요한 라이선스가 핵심 배포물에 포함된 경우

경고 (WARNING): 사용 방식과 배포 모델에 따라 해석이 달라질 수 있는 경우

정상 (PASS): MIT, Apache-2.0, BSD 계열 등 비교적 충돌 가능성이 낮은 구성

취약점 통합 관리

모든 프로젝트의 취약점을 하나의 통합 뷰로 조회하고, 조직 전체에 걸친 영향 범위를 빠르게 파악합니다.

프로젝트별 심층 검토를 보완하는 조직 단위 가시성을 확보합니다. 취약점을 중심에 놓고 어떤 제품·버전에 영향을 미치는지 즉시 파악할 수 있습니다.

신규 CVE가 보고되거나 긴급 패치 대응이 필요한 상황에서 영향받는 프로젝트와 버전을 즉시 파악하고, 대응 범위를 빠르게 선별할 수 있습니다.

Security Advisory와의 차이점

Security Advisory → Audit은 특정 프로젝트 취약점의 분석 상태와 코멘트를 깊게 관리하고, Compliance → Vulnerability는 전체 프로젝트를 가로지르는 검색과 현황 파악에 적합합니다.

이전 페이지

Security Advisory

다음 페이지

보안 & 정책

컴플라이언스

보안 기준선, 라이선스, 취약점 현황을 연결해 공급망 보안 운영과 규제 대응에 필요한 관리 흐름을 한 곳에서 정리합니다.

컴플라이언스 개요

Hexamind Platform의 컴플라이언스 모듈은 공급망 보안 운영에 필요한 세 가지 관리 기능을 제공합니다.

Security Baseline

라이선스 관리

취약점 통합 관리

Security Baseline

조직이 지켜야 할 최소 보안 기준을 문서화하고, 프로젝트·환경 단위로 연결해 일관된 보안 운영의 기반을 만듭니다.

보안 기준선은 조직 내 모든 SW가 준수해야 할 최소 보안 요건입니다.

• 심각도별 취약점 패치 기한 정의

• 허용 또는 금지 라이선스 범주 설정

• 외부 통신 보안 요건 명시

• 배포 환경별 승인 기준 정의

기준선 가이드라인 등록

기준선 가이드라인은 이름·버전·카테고리·발행처·유효 기간·첨부 문서를 함께 관리하며, 조직의 정책 이력과 갱신 내역을 체계적으로 기록합니다.

프로젝트에 기준선 적용하기

가이드라인은 전역, 특정 프로젝트, 특정 환경 단위로 적용할 수 있어 조직 구조에 맞게 적용 범위를 유연하게 조정할 수 있습니다.

라이선스 관리

오픈소스 라이선스 현황을 프로젝트 단위로 파악하고, 충돌 가능성을 사전에 분석해 법률 검토가 필요한 구성요소를 조기에 선별할 수 있습니다.

오픈소스 라이선스 위반의 심각성

License Database

SPDX 표준의 전체 라이선스 목록을 탐색하고 조건, 검토 포인트, 특허 관련 조항 등을 확인합니다.

주요 라이선스 분류 기준:

Permissive 계열: 상용 배포에 비교적 유연하며 제약이 적은 라이선스 그룹

Weak Copyleft 계열: 연결 방식과 수정 범위에 따라 조건 확인이 필요한 라이선스 그룹

Strong Copyleft 계열: 배포 구조에 따라 공개 의무 검토가 필요한 라이선스 그룹

Network Copyleft 계열: 서비스 제공 방식에서도 검토 대상이 될 수 있는 라이선스 그룹

Project Licenses

라이선스 충돌 분석

SPDX 호환성 기준을 바탕으로 프로젝트 내부의 라이선스 충돌 가능성을 분석합니다.

라이선스 충돌 분석 해석 방법

이 분석은 공급망 보안 운영과 초기 리스크 선별을 돕기 위한 결과입니다. 배포 구조와 계약 조건에 따른 최종 해석은 법무 검토와 함께 판단하세요.

심각 (FAIL): 공개 의무 검토가 필요한 라이선스가 핵심 배포물에 포함된 경우

경고 (WARNING): 사용 방식과 배포 모델에 따라 해석이 달라질 수 있는 경우

정상 (PASS): MIT, Apache-2.0, BSD 계열 등 비교적 충돌 가능성이 낮은 구성

취약점 통합 관리

모든 프로젝트의 취약점을 하나의 통합 뷰로 조회하고, 조직 전체에 걸친 영향 범위를 빠르게 파악합니다.

신규 CVE가 보고되거나 긴급 패치 대응이 필요한 상황에서 영향받는 프로젝트와 버전을 즉시 파악하고, 대응 범위를 빠르게 선별할 수 있습니다.

Security Advisory와의 차이점

이전 페이지

Security Advisory

다음 페이지

보안 & 정책