Skip to content

Commit

Permalink
modified ISO/IEC DIS 18974 to ISO/IEC 18974
Browse files Browse the repository at this point in the history
  • Loading branch information
@haksungjang
haksungjang committed Nov 1, 2023
1 parent 537175f commit d4f30c0
Show file tree
Hide file tree
Showing 9 changed files with 30 additions and 30 deletions.
4 changes: 2 additions & 2 deletions content/ko/blog/2023/20230327_openchain_project/index.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -40,9 +40,9 @@ OpenChain Project에는 [다수의 Work Group](https://www.openchainproject.org/

## OpenChain Standard

### ISO/IEC 5230:2020, ISO/IEC DIS 18974
### ISO/IEC 5230:2020, ISO/IEC 18974

가장 가시적인 결과는 오픈소스 관리를 위한 최초의 국제 표준을 개발한 것입니다. 2020년 12월, [ISO/IEC 5230](https://www.iso.org/standard/81039.html)이 오픈소스 컴플라이언스를 위한 유일한 국제 표준으로 등록되었습니다. [ISO/IEC DIS 18974](https://www.iso.org/standard/86450.html)는 오픈소스 보안 보증 컴플라이언스를 위한 사실상의 표준이며, 2023년 하반기에 ISO 표준으로 공식 등록될 예정입니다.
가장 가시적인 결과는 오픈소스 관리를 위한 최초의 국제 표준을 개발한 것입니다. 2020년 12월, [ISO/IEC 5230](https://www.iso.org/standard/81039.html)이 오픈소스 컴플라이언스를 위한 유일한 국제 표준으로 등록되었습니다. [ISO/IEC 18974](https://www.iso.org/standard/86450.html)는 오픈소스 보안 보증 컴플라이언스를 위한 사실상의 표준이며, 2023년 하반기에 ISO 표준으로 공식 등록될 예정입니다.

이들 표준은 기업이 오픈소스를 관리하는데 꼭 필요한 핵심 요구사항을 정의하고 있습니다. 기업은 이 표준의 요구사항을 준수함으로 Software Supply Chain 내에서 오픈소스 관리가 이뤄지고 있음을 투명하게 나타낼 수 있습니다.

Expand Down
4 changes: 2 additions & 2 deletions content/ko/blog/2023/20230403_openchain_kwg/index.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -41,15 +41,15 @@ Linux Foundation의 OpenChain Project General Manager [Shane Coughlan](https://j

![Untitled](./Untitled_2.png)

오픈소스 컴플라이언스를 위한 표준인 ISO/IEC 5230뿐만 아니라 보안을 위한 표준인 [ISO/IEC DIS 18974](https://www.iso.org/standard/86450.html)도 개발 중입니다. 이 표준은 곧 공식 ISO 표준으로 등록될 예정이며, 기업이 준수해야 할 [Self-Checklist](https://github.com/OpenChain-Project/Reference-Material/blob/master/Self-Certification/Checklist/DIS-18974/en/DIS-18974-Self-Certification-Checklist-2.0.md)도 공개되어 있습니다. 이러한 자료들을 활용하여 기업은 효율적인 오픈소스 리스크 관리를 수행할 수 있습니다.
오픈소스 컴플라이언스를 위한 표준인 ISO/IEC 5230뿐만 아니라 보안을 위한 표준인 [ISO/IEC 18974](https://www.iso.org/standard/86450.html)도 개발 중입니다. 이 표준은 곧 공식 ISO 표준으로 등록될 예정이며, 기업이 준수해야 할 [Self-Checklist](https://github.com/OpenChain-Project/Reference-Material/blob/master/Self-Certification/Checklist/DIS-18974/en/DIS-18974-Self-Certification-Checklist-2.0.md)도 공개되어 있습니다. 이러한 자료들을 활용하여 기업은 효율적인 오픈소스 리스크 관리를 수행할 수 있습니다.

Shane은 KWG 멤버들을 위한 기념품도 가져와서 큰 호응을 얻기도 하였습니다. (Thank you, Shane 😊 )

![Untitled](./Untitled_3.png)

### OpenChain 보안 표준 소개 (SK텔레콤, 장학성)

[ISO/IEC 5230](https://www.iso.org/standard/81039.html)은 오픈소스 컴플라이언스를 위한 국제 표준입니다. 이 표준은 2020년에 ISO에 등록되었으며, 세계의 [많은 기업이 이 표준을 준수](https://www.openchainproject.org/community-of-conformance)하여 오픈소스 컴플라이언스 관리를 훌륭하게 수행하고 있습니다. 기업이 오픈소스를 관리해야 하는 이유는 라이선스 컴플라이언스 뿐만 아니라 보안 취약점에 대한 리스크도 존재하기 때문입니다. OpenChain Project에서는 보안 취약점 관리를 위한 표준, [ISO/IEC DIS 18974](https://www.iso.org/standard/86450.html), OpenChain security assurance specification을 만들었습니다. 저는 이 표준이 어떤 내용으로 구성되어 있는지를 [간단히 요약하여 소개](https://openchain-project.github.io/OpenChain-KWG/meeting/17th/OpenChain%EB%B3%B4%EC%95%88%EB%B3%B4%EC%A6%9D%EA%B7%9C%EA%B2%A9%EC%86%8C%EA%B0%9C_20230328_%EC%9E%A5%ED%95%99%EC%84%B1.pdf)하였습니다.
[ISO/IEC 5230](https://www.iso.org/standard/81039.html)은 오픈소스 컴플라이언스를 위한 국제 표준입니다. 이 표준은 2020년에 ISO에 등록되었으며, 세계의 [많은 기업이 이 표준을 준수](https://www.openchainproject.org/community-of-conformance)하여 오픈소스 컴플라이언스 관리를 훌륭하게 수행하고 있습니다. 기업이 오픈소스를 관리해야 하는 이유는 라이선스 컴플라이언스 뿐만 아니라 보안 취약점에 대한 리스크도 존재하기 때문입니다. OpenChain Project에서는 보안 취약점 관리를 위한 표준, [ISO/IEC 18974](https://www.iso.org/standard/86450.html), OpenChain security assurance specification을 만들었습니다. 저는 이 표준이 어떤 내용으로 구성되어 있는지를 [간단히 요약하여 소개](https://openchain-project.github.io/OpenChain-KWG/meeting/17th/OpenChain%EB%B3%B4%EC%95%88%EB%B3%B4%EC%A6%9D%EA%B7%9C%EA%B2%A9%EC%86%8C%EA%B0%9C_20230328_%EC%9E%A5%ED%95%99%EC%84%B1.pdf)하였습니다.

![Untitled](./Untitled_4.png)

Expand Down
6 changes: 3 additions & 3 deletions content/ko/guide/opensource_for_enterprise/1-teams/_index.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -25,7 +25,7 @@ ISO 표준은 공통적으로 다음과 같이 프로그램 내 여러 참여자
{{% /alert %}}


{{% alert title="ISO/IEC DIS 18974 - Security Assurance" color="warning" %}}
{{% alert title="ISO/IEC 18974 - Security Assurance" color="warning" %}}

* 3.1.2.1: A documented list of roles with corresponding responsibilities for the different Program Participants<br>`여러 프로그램 참여자에 대한 각각의 책임을 나열한 문서`

Expand Down Expand Up @@ -92,7 +92,7 @@ ISO 표준은 공통적으로 다음과 같이 각 역할을 위해 필요한
{{% /alert %}}


{{% alert title="ISO/IEC DIS 18974 - Security Assurance" color="warning" %}}
{{% alert title="ISO/IEC 18974 - Security Assurance" color="warning" %}}

* 3.1.2.2: A document that identifies the competencies for each role.<br>`각 역할을 위해 필요한 역량을 기술한 문서`

Expand Down Expand Up @@ -129,7 +129,7 @@ ISO 표준은 공통적으로 다음과 같이 각 역할을 위해 필요한
{{% /alert %}}


{{% alert title="ISO/IEC DIS 18974 - Security Assurance" color="warning" %}}
{{% alert title="ISO/IEC 18974 - Security Assurance" color="warning" %}}

* 3.1.2.3: List of participants and their roles<br>`참여자 명단과 그들의 역할`
* 3.2.2.1: Document with name of persons, group or function in Program role(s) identified<br>`프로그램 내 각 역할을 담당하는 인원, 그룹 또는 직무의 이름을 기재한 문서`
Expand Down
14 changes: 7 additions & 7 deletions content/ko/guide/opensource_for_enterprise/2-policy/_index.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -20,7 +20,7 @@ description: >
{{% /alert %}}


{{% alert title="ISO/IEC DIS 18974 - Security Assurance" color="warning" %}}
{{% alert title="ISO/IEC 18974 - Security Assurance" color="warning" %}}

* 3.1.1.1: A documented Open Source Software Security Assurance policy <br>`문서화된 오픈소스 소프트웨어 보안 보증 정책`

Expand Down Expand Up @@ -133,7 +133,7 @@ ISO 표준은 공통적으로 다음과 같이 내부 책임을 할당하는 문
{{% /alert %}}


{{% alert title="ISO/IEC DIS 18974 - Security Assurance" color="warning" %}}
{{% alert title="ISO/IEC 18974 - Security Assurance" color="warning" %}}

* 3.2.2.4: A documented procedure that assigns internal responsibilities for Security Assurance.<br>`보안 보증에 대한 내부 책임을 할당하는 문서화된 절차`

Expand Down Expand Up @@ -204,7 +204,7 @@ ISO 표준은 공통적으로 다음과 같이 프로그램 내 각 역할을
{{% /alert %}}


{{% alert title="ISO/IEC DIS 18974 - Security Assurance" color="warning" %}}
{{% alert title="ISO/IEC 18974 - Security Assurance" color="warning" %}}

* 3.2.2.2: The identified Program roles have been properly staffed and adequate funding provided;<br>`프로그램 내 각 역할을 담당하는 인원이 적합하게 배치되고, 예산이 적절하게 지원되어야 합니다.`

Expand Down Expand Up @@ -239,7 +239,7 @@ ISO 표준은 공통적으로 다음과 같이 문제 해결을 위해 내부
{{% /alert %}}


{{% alert title="ISO/IEC DIS 18974 - Security Assurance" color="warning" %}}
{{% alert title="ISO/IEC 18974 - Security Assurance" color="warning" %}}

* 3.2.2.3: Identification of expertise available to address identified Known Vulnerabilities<br>`식별된 알려진 취약점을 해결을 위해 전문 기술 자문을 이용할 수 있는 방법`

Expand Down Expand Up @@ -289,7 +289,7 @@ ISO 표준은 공통적으로 다음과 같이 프로그램의 적용 범위와

{{% /alert %}}

{{% alert title="ISO/IEC DIS 18974 - Security Assurance" color="warning" %}}
{{% alert title="ISO/IEC 18974 - Security Assurance" color="warning" %}}

* 3.1.4.1: A written statement that clearly defines the scope and limits of the Program <br>`프로그램의 적용 범위와 한계를 명확하게 정의한 문서화된 진술`
* 3.1.4.2: A set of metrics the program shall achieve to improve<br>`프로그램 개선을 위해 달성해야 하는 일련의 측정 기준`
Expand Down Expand Up @@ -351,7 +351,7 @@ ISO 표준은 공통적으로 다음과 같이 제3자가 오픈소스에 대해
{{% /alert %}}


{{% alert title="ISO/IEC DIS 18974 - Security Assurance" color="warning" %}}
{{% alert title="ISO/IEC 18974 - Security Assurance" color="warning" %}}

* 3.2.1.1: Publicly visible method to allow third parties to make Known Vulnerability or Newly Discovered Vulnerability enquires (e.g., via an email address or web portal that is monitored by Program Participants)<br>`제3자가 알려진 취약점 또는 새로 발견된 취약점에 대해 문의할 수 있는 공개된 방법 (예: 이메일 주소 또는 프로그램 참여자가 모니터링하는 웹 포털)`

Expand Down Expand Up @@ -426,7 +426,7 @@ ISO/IEC 5230은 다음과 같이 문서화된 오픈소스 기여 정책을 요

오픈소스 정책을 문서화하는 것은 효과적인 오픈소스 관리를 위해 가장 중요한 과정입니다.

다음 페이지에서 위에서 언급한 ISO/IEC 5230과 ISO/IEC DIS 18974의 요구사항을 충족하는 샘플 오픈소스 정책 문서를 제공합니다. : [[부록1] 오픈소스 정책 (샘플)](../7-policy-template)
다음 페이지에서 위에서 언급한 ISO/IEC 5230과 ISO/IEC 18974의 요구사항을 충족하는 샘플 오픈소스 정책 문서를 제공합니다. : [[부록1] 오픈소스 정책 (샘플)](../7-policy-template)

위의 내용을 참고하여 각 요구사항을 회사의 상황에 맞게 적절한 원칙을 수립하는 것이 필요합니다. 또한 문서로만 그치지 않고, 실행 가능한 절차까지 고려해야 합니다. 말뿐인 정책은 소용이 없습니다.

Expand Down
12 changes: 6 additions & 6 deletions content/ko/guide/opensource_for_enterprise/3-process/_index.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -144,7 +144,7 @@ ISO 표준은 공통적으로 다음과 같이 프로그램 내 각 역할을
{{% /alert %}}


{{% alert title="ISO/IEC DIS 18974 - Security Assurance" color="warning" %}}
{{% alert title="ISO/IEC 18974 - Security Assurance" color="warning" %}}

* 3.3.1.1: A documented procedure ensuring all Open Source Software used in the Supplied Software is continuously recorded across the lifecycle of the Supplied Software. This includes an archive of all Open Source Software used in the Supplied Software;<br>`배포용 소프트웨어에 사용된 모든 오픈소스 소프트웨어가 배포용 소프트웨어의 수명 주기 동안 지속적으로 기록되도록 하는 문서화된 절차. 여기에는 배포용 소프트웨어에 사용된 모든 오픈소스 소프트웨어의 저장소도 포함된다.`

Expand Down Expand Up @@ -280,9 +280,9 @@ This offer is valid to anyone in receipt of this information.

기업은 제품/서비스를 개발하면서 오픈소스 보안 취약점을 탐지하고 해결하는 등 보안 보증을 위한 활동을 수행해야 합니다.

ISO/IEC DIS 18974 표준은 다음과 같이 보안 보증 방법에 대한 문서화된 절차와 수행된 조치를 기록하도록 요구합니다.
ISO/IEC 18974 표준은 다음과 같이 보안 보증 방법에 대한 문서화된 절차와 수행된 조치를 기록하도록 요구합니다.

{{% alert title="ISO/IEC DIS 18974 - Security Assurance" color="warning" %}}
{{% alert title="ISO/IEC 18974 - Security Assurance" color="warning" %}}

3.1.5 - Standard Practice Implementation `3.1.5 - 표준 사례 구현`

Expand Down Expand Up @@ -389,7 +389,7 @@ ISO 표준은 공통적으로 다음과 같이 제3자의 문의에 대응하기
{{% /alert %}}


{{% alert title="ISO/IEC DIS 18974 - Security Assurance" color="warning" %}}
{{% alert title="ISO/IEC 18974 - Security Assurance" color="warning" %}}

* 3.2.1.2: An internal documented procedure exists for responding to third party Known Vulnerability or Newly Discovered Vulnerability inquiries.<br>`제3자에 의한 알려진 취약점 또는 새로 발견된 취약점 문의에 대응하기 위한 내부의 문서화된 절차`

Expand Down Expand Up @@ -472,9 +472,9 @@ SK텔레콤에서 공개한 [오픈소스 기여 절차](https://sktelecom.githu

프로세스가 문서화만 되어 있고 실제 운영되지 않는다면 바람직하지 않습니다. 또한, 업무 상황이나 조직 구성에 맞지 않게 되어 있는 것도 문제입니다. 기업은 프로세스가 회사 내부 조직과 상황에 맞게 항상 최신 상태로 유지되어야 합니다.

ISO/IEC DIS 18974 표준은 다음과 같이 프로세스를 주기적으로 검토 및 개선해야 함을 요구합니다.
ISO/IEC 18974 표준은 다음과 같이 프로세스를 주기적으로 검토 및 개선해야 함을 요구합니다.

{{% alert title="ISO/IEC DIS 18974 - Security Assurance" color="warning" %}}
{{% alert title="ISO/IEC 18974 - Security Assurance" color="warning" %}}

* 3.1.2.5: Documented Evidence of periodic reviews and changes made to the process;<br>`프로세스를 주기적으로 검토하고 개선했음을 나타내는 문서화된 증거`
* 3.1.2.6: Documented verification that these processes are current with company internal best practices and who is assigned to accomplish them.<br>`이러한 프로세스는 회사 내부 모범 사례를 반영하여 항상 현행화되어야 하고, 이를 누가 책임지고 수행해야 하는지를 명시한 문서화된 증거`
Expand Down
2 changes: 1 addition & 1 deletion content/ko/guide/opensource_for_enterprise/4-tool/_index.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -48,7 +48,7 @@ ISO/IEC 5230 규격의 3.3.1.2에서는 배포용 소프트웨어에 포함된 S
{{% /alert %}}


{{% alert title="ISO/IEC DIS 18974 - Security Assurance" color="warning" %}}
{{% alert title="ISO/IEC 18974 - Security Assurance" color="warning" %}}

* 3.3.1.2: Open Source Software Component Records for the Supplied Software that demonstrates the documented procedure was properly followed.<br>`문서화된 절차가 적절히 준수되었음을 보여주는 배포용 소프트웨어에 대한 오픈소스 소프트웨어 컴포넌트 기록`

Expand Down
6 changes: 3 additions & 3 deletions content/ko/guide/opensource_for_enterprise/5-training/_index.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -21,7 +21,7 @@ description: >
{{% /alert %}}


{{% alert title="ISO/IEC DIS 18974 - Security Assurance" color="warning" %}}
{{% alert title="ISO/IEC 18974 - Security Assurance" color="warning" %}}

* 3.1.1.2: A documented procedure to make Program Participants aware of the Security Assurance policy.<br>`프로그램 참가자에게 보안 보증 정책을 알리기 위한 문서화된 절차.`

Expand Down Expand Up @@ -50,7 +50,7 @@ ISO 표준은 공통적으로 다음과 같이 프로그램 참여자의 인식
{{% /alert %}}


{{% alert title="ISO/IEC DIS 18974 - Security Assurance" color="warning" %}}
{{% alert title="ISO/IEC 18974 - Security Assurance" color="warning" %}}

* 3.1.3.1: Documented Evidence of assessed awareness for the Program Participants - which should include the Program’s objectives, one’s contribution within the Program, and implications of Program non-conformance.<br>`다음 사항에 대한 프로그램 참여자의 인식을 평가하였음을 나타내는 문서화된 증거 : 프로그램의 목표, 프로그램 내에서의 참여자 기여 방법 및 프로그램을 준수하지 않을 경우 미치는 영향.`

Expand Down Expand Up @@ -135,7 +135,7 @@ ISO 표준은 공통적으로 다음과 같이 프로그램 참여자의 인식
{{% /alert %}}


{{% alert title="ISO/IEC DIS 18974 - Security Assurance" color="warning" %}}
{{% alert title="ISO/IEC 18974 - Security Assurance" color="warning" %}}

* 3.1.2.4 - Documented evidence of assessed competence for each Program Participant; <br>`각 프로그램 참여자의 역량을 평가한 문서화된 증거`

Expand Down
8 changes: 4 additions & 4 deletions content/ko/guide/opensource_for_enterprise/6-conforming/_index.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -7,10 +7,10 @@ description: >
---


ISO/IEC 5230 3.6, ISO/IEC DIS 18974 3.4를 제외한 모든 요구사항을 준수하는 오픈소스 프로그램(오픈소스 정책 / 프로세스 / 도구 / 조직)을 구축한 기업은 다음 두가지를 문서화하여 명시할 수 있습니다.
ISO/IEC 5230 3.6, ISO/IEC 18974 3.4를 제외한 모든 요구사항을 준수하는 오픈소스 프로그램(오픈소스 정책 / 프로세스 / 도구 / 조직)을 구축한 기업은 다음 두가지를 문서화하여 명시할 수 있습니다.

1. 기업의 오픈소스 프로그램이 ISO/IEC 5230, ISO/IEC DIS 18974 의 모든 요구사항을 충족함
2. 적합성 인증을 획득한 후 18개월 이상 ISO/IEC 5230, ISO/IEC DIS 18974의 모든 요구 사항을 충족하는 상태 유지를 보장함
1. 기업의 오픈소스 프로그램이 ISO/IEC 5230, ISO/IEC 18974 의 모든 요구사항을 충족함
2. 적합성 인증을 획득한 후 18개월 이상 ISO/IEC 5230, ISO/IEC 18974의 모든 요구 사항을 충족하는 상태 유지를 보장함

기업은 위의 내용을 오픈소스 정책에 포함시킬 수도 있고, 외부에 공개되어 있는 웹사이트를 통해 게재할 수도 있습니다.

Expand All @@ -25,7 +25,7 @@ ISO/IEC 5230 3.6, ISO/IEC DIS 18974 3.4를 제외한 모든 요구사항을 준



여기까지 완료하면 기업은 드디어 ISO/IEC 5230, ISO/IEC DIS 18974의 모든 요구사항을 충족하게 됩니다.
여기까지 완료하면 기업은 드디어 ISO/IEC 5230, ISO/IEC 18974의 모든 요구사항을 충족하게 됩니다.



4 changes: 2 additions & 2 deletions content/ko/guide/opensource_for_enterprise/_index.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -23,15 +23,15 @@ description: >
오픈소스 관리를 위한 국제 표준은 아래 두가지가 있습니다.

1. [ISO/IEC 5230](https://www.iso.org/standard/81039.html) : OpenChain Specification - 오픈소스 컴플라이언스를 위한 국제표준
2. [ISO/IEC DIS 18974](https://www.iso.org/standard/86450.html) : OpenChain security assurance specification - 오픈소스 보안을 위한
2. [ISO/IEC 18974](https://www.iso.org/standard/86450.html) : OpenChain security assurance specification - 오픈소스 보안을 위한

## ISO/IEC 5230이란?

ISO/IEC 5230은 오픈소스 컴플라이언스를 위한 유일한 국제표준입니다. 이에 대한 소개는 다음 페이지를 참고하세요. : [ISO/IEC 5230 살펴보기](/OpenChain-KWG/guide/governance_iso5230/1-whatisopenchain/)

## 기업은 무엇을 해야 할까요?

두 표준 (ISO/IEC 5230, ISO/IEC DIS 18974)의 요구사항을 준수한다면 기업은 오픈소스 관리를 효과적으로 하고 있다고 볼 수 있습니다. 그럼 기업은 표준을 준수하기 위해 무엇을 해야 할까요? 다음과 같이 6가지 구성 요소를 갖추면 됩니다.
두 표준 (ISO/IEC 5230, ISO/IEC 18974)의 요구사항을 준수한다면 기업은 오픈소스 관리를 효과적으로 하고 있다고 볼 수 있습니다. 그럼 기업은 표준을 준수하기 위해 무엇을 해야 할까요? 다음과 같이 6가지 구성 요소를 갖추면 됩니다.

![](./elements.png)

Expand Down

0 comments on commit d4f30c0

Please sign in to comment.