Creditreform의 안전한 국제 신용 리스크 관리
현재 독일 노이스에 본사가 있는 Creditreform은 유럽과 중국의 23개국에 걸쳐 4,500명의 직원과 함께 167개의 지사를 두고 있습니다. Creditreform은 국제 전문가 네트워크를 통해 전 세계 고객에게 안전한 비즈니스 거래를 보장하기 위해 국제 정보 및 채권 추심 서비스를 제공합니다.
Creditreform은 Sonatype Lifecycle을 사용하여 여러 개발자 플랫폼에서 오픈 소스 구성 요소의 사용 및 모니터링을 관리합니다.
소나타입 라이프사이클을 본 사람들은 모두 ‘이건 우리가 사용할 수 있는 툴이야. 이게 바로 우리에게 적합해'라고 말했습니다.
— 노박 박사, CREDITREFORM의 연구 및 책임자
과제
: 오픈 소스 구성 요소 사용 추적 및 모니터링
Creditreform의 개발 팀은 오픈 소스 구성 요소의 사용을 추적하고 모니터링하는 데 어려움을 겪고 있었습니다. 특히 오픈 소스 거버넌스, 라이선스 및 종속성에 대한 투명성이 부족했습니다.
Creditreform 개발자는 체계적인 프로세스 없이 다운로드한 구성 요소의 보안 평가를 담당했습니다. 팀은 모든 개발 팀의 라이센싱 및 거버넌스를 위해 자동화된 보안 관리를 구현해야 한다는 것을 깨달았습니다.
솔루션
: 개발과 함께 확장되는 라이선스 모델
노박 박사는 여러 팀의 개발 환경 지원 및 보안 관련 지원을 위해 그녀는 오픈 소스 거버넌스 지원을 자동화하는 도구를 찾기로 했습니다. 가장 유망한 두 가지 후보는 Sonatype Platform과 Black Duck이었습니다.
OSS 거버넌스를 위한 Creditreform 방법론
Sonatype Platform과 Black Duck 중 어떤 도구를 사용할지 선택하기 위해 두 그룹의 개발자가 평가 프로세스를 도왔고, POC 동안 각 그룹은 애플리케이션 중 하나를 분석하고 결과에 대해 논의했습니다.
Sonatype Lifecycle 그룹은 기존 개발자 도구 세트로 Sonatype Lifecycle을 설정하고 사용하는 것은 “간단”하다고 설명했습니다. 해당 그룹은 Sonatype 가이드북의 예제 정책으로 시작한 다음 계속해서 거버넌스 정책을 구성하고 구체화했습니다.
또 다른 고려사항은 라이선스 모델에 대한 평가였습니다. 이에 대한 평가 결과로는 “Black Duck 라이선스 모델은 사용하는 사람의 수가 아니라 응용 프로그램의 크기와 수에 따라 다릅니다. 따라서 Sonatype이 우리의 기준에 훨씬 더 잘 맞습니다.”였습니다.또한, 오픈소스 사용에 대한 개인적인 평가와 결정을 내리는 일을 지양하는 데에는 Black Duck보다 Sonatype Lifecycle이 더 알맞았습니다.
Nowak 박사는 팀의 최종 결정을 이끌어낸 요인에 대해 다음과 같이 이야기했습니다.
“Sonatype Lifecycle을 본 사람들은 모두 ‘이건 우리가 할 수 있는 일이야. 이것이 우리에게 적합한 도구다.'라고 말했습니다. Sonatype Lifecycle이 실제로 우리에게 효과가 있다는 것을 확인했습니다. 자동화된 작업은 실제로 과거보다 더 좋은 결과를 보여주었습니다."
"모든 것을 수동으로 수행하는 것보다 Sonatype Lifecycle을 활용했을 때 과정과 결과가 훨씬 좋았습니다. 현행 개선을 위한 프로세스와 결과를 이해하고 개발자에게 온전히 의존할 필요가 없었습니다. 이것이 소프트웨어 개발 팀을 돕기 위해 Lifecycle을 찾는 이유입니다.”
결과
: Sonatype Lifecycle로 수동 평가 병목 현상 제거
Sonatype Lifecycle이 Creditreform의 오픈 소스에 대한 자동화된 보안 평가 프로세스의 핵심 역할을 하므로 개발 팀은 이제 수동 평가 프로세스의 병목 현상 없이 안전한 소프트웨어를 구축하는 데 집중할 수 있습니다.
애플리케이션 수가 계속하여 증가함에 따라 Sonatype Lifecycle은 개발자의 요구 사항을 충족하도록 확장할 수 있습니다. 팀은 자동화된 라이선스 및 거버넌스 정책을 지속적으로 강화하여 Lifecycle에서 가능한 한 많은 가치를 얻습니다.
“사실 복잡하지는 않았어요. Sonatype Lifecycle로 솔루션을 시작하고 실행하는 것은 매우 쉬웠습니다.”라고 노박 박사는 결론지었습니다.
결론
: Sonatype Lifecycle의 개발자 친화적인 솔루션은 취약점 탐지에 가장 적합합니다.
Sonatype과 Sonatype Platform을 추천하겠느냐는 질문에 노박 박사는 웃었다. “이미 했어요! 사람들은 계속해서 Sonatype에 대해 묻습니다. Sonatype은 우리에게 필요한 모든 것을 제공합니다. 또, Sonatype Lifecycle이 너무 잘 작동해서 그들이 개발자의 작업 방식을 잘 알고 있다는 인상을 받았습니다."
리포지토리에서부터 개발 파이프라인까지 오픈소스 관리를 자동화하는 Sonatype Platform,
더 궁금한 점이 있다면 바로 아래의 Sonatype 소개자료 다운로드 링크를 클릭하세요!
Sonatype 소개자료 다운로드
원문 : https://www.sonatype.com/customer-success/creditreform-and-sonatype-lifecycle
