오픈소스 관리에 처음이라면 낯선 약어가 많습니다. 이 페이지는 가이드 전체에서 쓰는 전문용어를 쉬운 말로 풀어 모았습니다. 문서에서 약어가 처음 나올 때의 괄호 풀이도 이 표를 기준으로 합니다.
라이선스
| 용어 | 쉬운 설명 |
|---|
| Permissive | 허용적 라이선스 — 재배포 조건이 느슨함(MIT·Apache·BSD). 고지만 하면 됨 |
| Copyleft | 카피레프트 — 파생물도 같은 라이선스로 공개하도록 요구(GPL 등) |
| Weak Copyleft | 약한 카피레프트 — 수정한 파일만 공개하면 됨(LGPL·MPL) |
| Strong Copyleft | 강한 카피레프트 — 결합한 결과물을 배포하면 전체 공개 의무(GPL) |
| Network Copyleft | 네트워크 카피레프트 — SaaS로 서비스만 해도 공개 의무(AGPL) |
| 고지문(NOTICE) | 배포 시 포함하는 오픈소스 저작권과 라이선스 고지 파일 |
SBOM · 표준
| 용어 | 쉬운 설명 |
|---|
| SBOM | 소프트웨어 부품 명세서 — 소프트웨어에 들어간 모든 구성요소 목록 |
| CycloneDX | SBOM 표준 포맷의 하나(OWASP) |
| SPDX | SBOM·라이선스 표준 포맷(Linux Foundation) |
| PURL | 패키지 URL — 패키지를 고유하게 식별하는 표준 표기 |
| NTIA | 미국 통신정보관리청 — SBOM 최소 요소 기준을 정한 기관 |
| OpenChain | 오픈소스 컴플라이언스 국제표준 프로젝트(ISO/IEC 5230·18974) |
| KWG | OpenChain 한국 워킹그룹 |
| ISO/IEC 5230 | OpenChain 라이선스 컴플라이언스 국제표준 |
| ISO/IEC 18974 | OpenChain 보안 보증(취약점 관리) 국제표준 |
| 자체 인증 | 외부 심사 없이 OpenChain 요구사항 충족을 스스로 선언하는 방식 |
보안 · 취약점
| 용어 | 쉬운 설명 |
|---|
| SCA | 소프트웨어 구성 분석 — 오픈소스 구성요소의 취약점·라이선스 점검 |
| SAST | 정적 보안 분석 — 소스코드를 실행하지 않고 분석 |
| DAST | 동적 보안 분석 — 실행 중인 앱을 분석 |
| CVE | 공개 취약점 식별번호 — 알려진 취약점에 부여되는 고유 번호 |
| CVSS | 취약점 심각도 점수 — 0~10으로 위험도를 표시 |
| EPSS | 악용 가능성 예측 점수 — 실제 공격에 쓰일 확률 추정 |
| KEV | 알려진 악용 취약점 목록 — 실제 공격이 확인된 취약점 모음 |
| VEX | 취약점 영향 알림 — 해당 취약점이 우리 제품에 실제 영향을 주는지 표기 |
| CVD | 취약점 공개 절차 — 취약점을 책임 있게 접수·공개하는 프로세스 |
조직 · 역할
| 용어 | 쉬운 설명 |
|---|
| RACI | 역할·책임 분담표 — 실무(R)·책임(A)·자문(C)·통보(I)로 구분 |
| OSPO / OSPM | 오픈소스 프로그램 관리 조직 / 관리자 |
도구
| 도구 | 쉬운 설명 |
|---|
| Syft | SBOM 생성 도구 |
| cdxgen | CycloneDX SBOM 생성 도구(언어별 정밀 분석) |
| Grype | 취약점 스캔 도구 |
| OSV | 오픈소스 취약점 조회 API와 데이터베이스 |
| Trivy | 취약점·SBOM 통합 스캔 도구 |
| Gitleaks | 시크릿(비밀키·토큰) 탐지 도구 |
| Checkov | IaC(코드형 인프라) 보안 점검 도구 |
| onot | SPDX 문서로 OSS 고지문을 자동 생성(Kakao와 SK텔레콤) |
| SK텔레콤 sbom-tools | 소스, Docker, 바이너리를 한 번에 분석하는 국내 통합 SBOM 도구 |
이 표에 없는 새 용어가 필요하면 STYLEGUIDE.md의 약어 표에 먼저 추가하고 이 페이지와 동기화합니다.