SBOM 관리 플랫폼

Clarity Supply Chain

SBOM 기반 통합 오픈소스 거버넌스 플랫폼. 다양한 SCA 도구의 분석 결과와 외부에서 전달받은 SBOM을 한 곳에서 통합 관리하고, 전사 정책 기반으로 자동 검증·통제를 수행합니다.

OVERVIEW

오픈소스 공급망 전반의 가시성과 통제력

Clarity SC(Clarity Supply Chain)는 다양한 SCA 도구의 분석 결과와 외부에서 전달받은 SBOM을 한 곳에서 통합 관리하고, 전사 정책 기반으로 자동 검증·통제를 수행하는 SBOM 기반 통합 오픈소스 거버넌스 플랫폼입니다. 기업의 거버넌스 정책을 시스템화한 컨트롤 타워로서 공급망 전반에 대한 가시성과 통제력을 제공하며, 미국 NSA의 SBOM 운영 권고 기준(생성–검증–감시)을 기반으로 설계되었습니다.

KEY FEATURES

특징 및 기능

NSA 권고 기준 3단계 SBOM 운영

Generation(생성) : 소스·바이너리 기반 자동 생성, CI/CD 연계, 핵심 메타데이터 포함
Verification(검증) : 제3자 SBOM과 자체 분석 결과 교차 검증, SBOM 병합으로 누락 방지
Monitoring(감시) : NVD CVE 실시간 연동, Retro Scan으로 신규 취약점 추적

SBOM 생애주기 관리

표준 포맷(SPDX 3.0, CycloneDX 1.6, NIS-SBOM) 자동 생성
프로젝트 단위 SBOM의 제품·전사 단위 병합(Merge)
두 SBOM의 차이 비교 및 엑셀 출력, 버전별 변경 이력 관리

거버넌스 정책 자동화

라이선스 정책 등급화(GPL=Red, MIT=Green 등) 및 최대 5단계 워크플로우 운영
보안취약점의 경우 심각도(Severity)×자산중요도(Importance) 매트릭스로 위험 등급 세분화
자사 고유 컴플라이언스 가이드라인 시스템화

End-to-End 감사 추적

프로젝트 등록·스캔 → 이슈 확인·소명 → 정책 위반 검토 → 승인·SBOM 발행 전 과정 자동 로그화
시간·유형·사용자별 필터로 모든 활동 추적, 외부 감사 대응 용이

통합 대시보드

검증 진행률, 요청 처리 현황, 취약점 심각도 분포, 정책 충돌 알림 실시간 모니터링
부서별·기간별 분석 차트로 의사결정 지원

자동 알림

발생 이벤트를 E-Mail 등으로 송신 및 내 업무 현황을 통해 가시성있게 확인

USE CASE

어떤 상황에서 필요한가요?

이미지 슬롯 · OSBC 자료 전달 대기

글로벌 규제 대응 컨트롤 타워

EU CRA, 美 행정명령, NIS2 등 SBOM 제출 의무에 전사 표준 SBOM 자동 발행

이미지 슬롯 · OSBC 자료 전달 대기

공급망 SBOM 통합 관리

협력사 SBOM과 자체 검증 결과를 한 플랫폼에서 통합 관리

이미지 슬롯 · OSBC 자료 전달 대기

부서 간 협업 통합 환경

개발팀·보안팀·법무팀·감사팀의 단일 포털 협업

이미지 슬롯 · OSBC 자료 전달 대기

신규 CVE 발생 대응

Log4Shell급 취약점 발생 시 영향받는 제품·프로젝트 자동 검색 및 다채널 알람

이미지 슬롯 · OSBC 자료 전달 대기

반입 OSS 사전 검증

신규 오픈소스 반입 신청에 대한 자동 검증·검토·승인 워크플로우

이미지 슬롯 · OSBC 자료 전달 대기

M&A·외주 산출물 통합 거버넌스

외부 도입 SW의 SBOM Import 후 자사 정책으로 일괄 평가

이미지 슬롯 · OSBC 자료 전달 대기

공공·국방 SBOM 거버넌스

NSA 권고 3단계 기반 SBOM 관리로 조달 요건 충족

※ Use Case 이미지는 OSBC 측 자료 전달 후 적용 예정. 적절한 이미지가 없는 경우 리스트형 레이아웃으로 대체 가능합니다.

FAQ

자주 묻는 질문

Clarity SC와 Clarity는 어떻게 다른가요?

Clarity는 SBOM을 생성하는 검증 엔진이고, Clarity SC는 SBOM을 관리·통제하는 플랫폼입니다. Clarity SC는 여러 SCA 결과를 API로 수집하여 전사 거버넌스 정책에 자동 대입합니다. "찾기(SCA) + 관리하기(Governance)"의 결합이 Clarity SC입니다.

이미 다른 SCA 도구를 사용 중인데 Clarity SC만 도입할 수 있나요?

네, 가능합니다. Clarity SC는 외부 SBOM Import 기능을 제공하여 SPDX·CycloneDX 형식의 SBOM을 수집·관리할 수 있습니다. 다양한 SCA 도구의 결과를 단일 플랫폼에서 통합 관리해드립니다.

자사 고유의 라이선스 정책을 반영할 수 있나요?

네, 가능합니다. 라이선스별 5단계 워크플로우(등록·검토·승인 등)를 자유롭게 정의하고, 자산중요도와 심각도를 곱한 매트릭스로 위험 등급을 세분화하여 정책에 반영할 수 있습니다. 엑셀 Import와 수동 등록 모두 지원합니다.

감사 대응이 가능한가요?

네, 가능합니다. 프로젝트 등록부터 SBOM 발행까지 모든 활동이 자동 로그화되며, 시간·유형·사용자별 필터로 조회할 수 있습니다. End-to-End Audit Trail은 Clarity SC의 핵심 가치 중 하나로, NSA 권고 기준에 부합하는 SBOM 운영 체계를 제공해드립니다.

SBOM 표준 외에 자체 양식 출력이 가능한가요?

네, 가능합니다. SPDX 3.0, CycloneDX 1.6 기본 제공 외에 NIS-SBOM 등 사용자정의 포맷을 추가할 수 있으며, 기존 포맷의 항목도 수정·편집할 수 있습니다.

신규 CVE 발생 시 어떻게 알림을 받나요?

Clarity SC의 Retro Scan 기능이 NVD CVE 정보와 실시간 연동되어 영향받는 프로젝트와 컴포넌트를 자동 검색합니다. 알림은 E-Mail 및 대시보드 등으로 확인할 수 있습니다.

Clarity Supply Chain에 대해 더 알고 싶으신가요?

OSBC 전문가가 도입·연계 방안을 안내해 드립니다

문의하기→ 브로슈어 다운로드