v0.10.0 — 첫 공개 릴리스

TrustedOSS Portal의 첫 공개 릴리스입니다. 취약점 추적, 라이선스 컴플라이언스, SBOM 생성, CI/CD 통합을 하나의 UI에서 제공하는 자체 호스팅 Apache-2.0 SCA 포털입니다.

전체 머신 리더블 체인지로그는 CHANGELOG.md에 있습니다. 본 페이지는 사람이 읽는 요약입니다.

주요 변경 사항

스캐닝

• 소스 스캔 — cdxgen이 30개 이상의 언어 생태계에서 CycloneDX SBOM을 생성하고, Trivy가 통합 DB(NVD + OSV + GitHub Advisory + EPSS + KEV)와 컴포넌트를 매칭합니다.
• 컨테이너 스캔 — Trivy가 지정한 컨테이너 이미지의 OS 패키지를 스캔합니다.
• 자동 CVE 재탐지 — 주간 Trivy DB 갱신 + Celery beat 재매칭이 모든 프로젝트의 최신 SBOM에 새로운 CVE를 자동으로 반영합니다(수동 재스캔 불필요).
• 에어갭 환경 지원 — TRIVY_DB_REPOSITORY로 내부 OCI 미러를 지정할 수 있습니다.

컴플라이언스

• 라이선스 분류 — 허용 / 조건부 / 금지 3단계, 고정 분류 카탈로그 기반.
• 의무사항 + 자동 NOTICE — 텍스트, 마크다운, HTML 포맷 출력.
• 컴포넌트 승인 워크플로 — Pending → Under Review → Approved / Rejected.
• VEX — 내보내기와 가져오기(OpenVEX + CycloneDX VEX) 모두 지원, 7단계 트리아지.
• SBOM 내보내기 — CycloneDX(JSON / XML)와 SPDX(JSON / Tag-Value), byte-stable.

CI/CD

• GitHub Actions composite action + GitLab CI 템플릿 + Jenkinsfile 예제.
• 빌드 게이트 — Critical CVE 또는 금지 라이선스 발견 시 빌드 실패(exit 1).
• Webhook — GitHub / GitLab의 push / PR 이벤트가 자동으로 스캔을 트리거하고 PR / MR 코멘트를 게시합니다.
• EPSS 우선순위 — 컬럼·정렬·필터, 정책 게이트 임계치(GATE_EPSS_THRESHOLD).

운영

• 멀티 테넌트 팀 + RBAC — super_admin / team_admin / developer.
• 추가 전용 감사 로그 — 모든 쓰기를 diff + 행위자와 함께 기록, plpgsql 트리거 기반 SQL 수준 불변성.
• 알림 — 이메일(SMTP), Slack, Microsoft Teams Webhook.
• 관리자 UI — 사용자·팀 관리, Trivy DB 모니터링·갱신, 스캔 큐, 디스크 대시보드, 감사 로그 검색·CSV 내보내기.
• 백업 — Celery beat 일일 자동 백업(7일 자동 보존) + 관리자 UI의 수동 백업·복원.
• 읽기 전용 데모 모드 — DEMO_READ_ONLY=true로 공개 데모를 안전하게 제공합니다.

사용자 경험

• EN + KO 다국어 — 첫 릴리스부터 모든 UI 문자열과 문서가 이중언어로 제공됩니다.
• 모던 엔터프라이즈 디자인 시스템 — 라이트 테마, WCAG AA, 40 px 컴팩트 테이블, 드로어 + 페이지 네비게이션 듀얼 서피스.
• 포트폴리오 대시보드 — /에 KPI 카드, 심각도·라이선스 분포, 최근 스캔.
• ⌘K 커맨드 팔레트 — 프로젝트·취약점·컴포넌트·관리 영역을 키보드만으로 탐색.
• URL 영속 필터 — 모든 facet(심각도·라이선스 카테고리·검색·상태·페이지)이 URL에 남아 리로드·공유·뒤로가기 시 동일 뷰가 복원됩니다.

배포

• Docker Compose — dev / prod 오버레이. prod에는 Traefik + Let's Encrypt 포함.
• Helm 차트(charts/trustedoss) — PostgreSQL·Redis 번들 또는 외부 연결, Ingress + cert-manager TLS, 스키마 마이그레이션 Job.
• OpenAPI 레퍼런스 — 본 문서 사이트의 /reference/api에서 렌더링.
• 스키마 게이트 readiness probe — Alembic 스키마가 HEAD에 도달할 때까지 /health/ready가 503을 반환합니다.

이 릴리스에 포함되지 않은 것

문서화된 모든 갭은 comparison 페이지에 정리되어 있습니다. 도입 판단에 영향이 큰 두 가지는 다음과 같습니다.

• 자동 리메디에이션 PR. finding별 fixed_version과 의존성 그래프 깊이는 제공하지만, 업그레이드 PR을 자동으로 열어주지는 않습니다. 제안 업그레이드와 PR 열기는 향후 릴리스에 도착합니다.
• Reachability 분석. 결과는 reachability로 순위가 매겨지지 않고 전체 나열됩니다. best-effort 형태로 계획되어 있습니다.

전체 후속 계획은 로드맵을 참고하십시오.

설치

• Quickstart (5분) — dev compose 스택으로 로컬 평가.
• Docker Compose 설치 — Linux 호스트에 프로덕션 설치.
• Helm으로 Kubernetes에 설치 — Helm 차트 기반 프로덕션 설치.

함께 보기

• CHANGELOG.md — 머신 리더블 체인지로그.
• ROADMAP.md — 다음 계획.
• 비교 — 상용 SCA·Dependency-Track·SW360 대비.