오픈소스 선택 시 고려사항
유사한 기능을 제공하는 여러 오픈소스 중 어느 것을 선택해야 하나?
오픈소스를 사용하지 않고 제품이나 서비스를 개발하는 것은 불가능하다고 할 수 있을 만큼 소프트웨어 개발에 오픈소스는 핵심 요소가 되었다. 오픈소스의 사용으로 소프트웨어 개발 시간을 단축하면서도 서비스 안정성 및 보안 강화를 기대할 수 있다. 하지만, 오픈소스를 사용할 때는 라이선스가 무엇인지 확인하고, 라이선스가 요구하는 의무사항을 준수해야 한다.
여기에서는 SK텔레콤의 개발자와 개발 조직이 소프트웨어를 개발하면서 오픈소스를 올바르게 사용하기 위한 가이드를 제공한다.
필요한 기능을 구현하기 위해 오픈소스를 사용하기로 했다면 유사한 기능을 제공하는 여러 오픈소스 프로젝트 중 어느 오픈소스를 선택하는게 좋을까? 여러 측면의 고려해야 할 포인트를 알아보자.
기업이 오픈소스를 사용하여 제품/서비스를 개발할 때 법적인 문제를 발생시키지 않으려면 오픈소스 라이선스를 확인하고, 각 라이선스가 요구하는 바를 준수해야 한다. 이러한 활동을 오픈소스 컴플라이언스라고 한다. SK텔레콤 구성원은 오픈소스를 사용하면서 적절한 컴플라이언스 활동을 수행해야 한다.
오픈소스를 올바르게 사용하기 위해서는 먼저 저작권 및 오픈소스 라이선스에 대해 이해해야 한다.
오픈소스 라이선스에 대한 자세한 사항은 다음 페이지를 참고하라.
여러가지 방법으로 오픈소스 라이선스를 확인할 수 있다. 분석도구를 사용하지 않고도 확인할 수 있다.
사용하려는 오픈소스의 라이선스를 확인하는 방법은 다음 페이지를 참고하라.
SK텔레콤은 제품/서비스 개발 시 오픈소스의 사용을 적극 권장한다. 하지만, SK텔레콤의 지식재산 보호를 위해 오픈소스 라이선스 별로 요구하는 의무 사항을 준수해야 한다. SK텔레콤의 구성원은 이를 숙지하여 오픈소스 사용 시 라이선스를 확인하고 의무 사항 준수를 위한 활동을 해야 한다. 다음 페이지에서 어떤 오픈소스 라이선스를 주의해야 할지에 대해 확인하라.
SK텔레콤의 제품/서비스에 오픈소스를 포함하여 배포할 경우, 각 오픈소스 라이선스가 요구하는 사항을 준수해야 한다. 오픈소스 라이선스에 따라 고지 의무만 요구하기도 하고, 소스 코드 공개까지 요구하기도 한다.
이와 같이 오픈소스 라이선스 의무사항을 준수하여 법적 리스크를 최소화하는 활동을 오픈소스 컴플라이언스라고 한다.
SK텔레콤 개발조직에서 고지 등 오픈소스 컴플라이언스 활동을 위해서는 개발 프로세스의 분석/설계 완료 단계에서 사용할 오픈소스 확정 후 ITGO를 통하여 점검을 요청한다.
담당 부서 (준법법무경영 그룹 IPR팀)에서 점검 후 고지를 위한 오픈소스 고지문을 발급한다.
CVE는 알려진 오픈소스 보안 취약점을 데이터베이스화하여 제공한다. 사용하려는 오픈소스를 CVE에서 검색하여 알려진 보안 취약점이 있는지 확인할 수 있다.
대표적인 오픈소스 저장소인 GitHub은 Public Reporitory에서 취약한 Dependency를 감지하고 Dependabot 경고를 생성한다.
SK텔레콤은 오픈소스 보안취약점 진단을 위한 도구를 운영한다. 담당부서(정보보호담당)에 진단을 요청할 수 있다.
SK텔레콤 오픈소스 정책 및 부서별 R&R과 검증 프로세스는 다음 페이지를 참고한다.
유사한 기능을 제공하는 여러 오픈소스 중 어느 것을 선택해야 하나?
오픈소스 라이선스가 무엇인가?
오픈소스 라이선스를 확인하는 방법
오픈소스 라이선스 별 의무사항
Was this page helpful?
Glad to hear it! Please tell us how we can improve.
Sorry to hear that. Please tell us how we can improve.