x

Clarity 소개

Clarity 소개

 

 

‘클래리티(Clarity)’는 바이너리 코드 분석을 통한 오픈소스 관리 솔루션으로, 바이너리 코드를 스캐닝하여
소프트웨어 내에 존재하는 오픈소스 컴포넌트를 식별하고 해당 오픈소스의 라이선스 및 보안취약점 정보를 제공합니다.

기업은 클래리티의 바이너리 코드 점검을 통해 라이선스 위반에 대한 법적이슈와 오픈소스 보안취약점을 사전에 방지하여
외부에서 공급되는 소프트웨어를 안전하게 활용할 수 있습니다.

 

 

코드스캔

 

 

바이너리 코드

 

 

보안취약점 DB연동

 

 

150,000+ 보안취약점 데이터베이스

 

 

 

 

  • 오픈소스 검증목록 구축
     
  • 알려진 보안취약점 맵핑
     
  • 새로운 보안 취약점 모니터링

Clarity 주요 특징

 

 

 

바이너리 분석

 

 

소스코드 없이

바이너리 파일 내

오픈소스 식별

 

낮은 오탐율

 

 

리버스엔지니어링이 아닌

String Fingerprint 기반의

정확한 분석

오픈소스 코드
조각 식별

 

Snippet(부분적으로

사용된 코드)의

오픈소스 탐지

 

직관적인 UI

 

 

직관적인 UI를 통한

분석결과 가시화

범용적 지원

 

 

다양한 임베디드 환경

(ARM, Intel 등)을

범용적으로 지원

기업 맞춤형
디플로이먼트

 

클라우드 및

온프레미스 설치 지원

'클래리티(Clarity)'는 바이너리 파일 분석을 통한 오픈소스 가시화 및 보안관리 솔루션입니다.

String Fingerprinting 알고리즘으로 한정된 정보의 바이너리 데이터를 분석하고 오픈소스 식별의 높은 정확성을 자랑합니다.

CLARITY 분석 프로세스

 

 

STEP 01

 

오픈소스 구성요소 내

Fingerprints의

데이터베이스 구축

 

STEP 02

 

바이너리 파일 및 펌웨어에서

fingerprint 정보 추출

(strings, functions 등)

STEP 03

 

추출한 fingerprint 정보와

오픈소스 DB 내 정보를 매칭

 

STEP 04

 

확인된 오픈소스 라이선스

위반사항 및 위협에 대한

BoM 생성

Clarity 기능 상세

 

 

 

 

Open Source 검증 Binary

 

  • Component 자동 분석
  • 지식재산권 검증(McHardy, SFC)
  • 컴플라이언스 분석
    (License 규정 및 위반 사항)

 

 

보안 Security

 

  • 보안취약점 자동검증(CVE)
  • NVD
  • 개선(신규, 패치 필요 등)
     

 

 

GUI 대시보드 및 보고서

 

  • 검증업무에 대한 통계 및 현황
  • 보안 및 컴플라이언스 검증 보고서
  • 다양한 포맷의 결과보고서
    (Excel, CSV, JSON 등)

애플리케이션
 
검증 바이너리 소스 자동검증(Auto Identification)
지식재산권 검증(McHardy, SFC)
 
분석 보안취약점 분석(CVE)
컴플라이언스 분석
 
스캔 CLI 지원
GIT/빌드툴 연동
온사이트 및 클라우드 지원

DB
 
컴플라이언스 OSS Fingerprint DB
Pre-filter 소스코드 스캔
 
보안 NVD
데비안/페도라 보안 리포트 플러그인
 
Auto ID 커스텀 매칭 DB

주요 기능 및 특징 - 바이너리 분석

 

String fingerprinting 알고리즘을 통해 한정된 정보를 가진 바이너리의 데이터를 분석하여 높은 검증 정확성 제공

 

 

 

 

기존 오픈소스 탐지의 한계점

 

  • 한 개의 비트(bit)만 다르더라도 값이 바뀌는 체크섬 검사를 활용하는 방식의 한계 극복
  • 리버스엔지니어링을 통한 바이너리 분석은 모든 실행 환경에 대한 완전한 분석이 어렵기 때문에 정확한 오픈소스 라이선스 및 보안취약점 검증은 현실적으로 어려움
  • 소스코드 체크 방식의 경우 빌드시. 외부 라이브러리 참조 배포되는 오픈소스의 검증이 어려움

 

Fingerprinting의 높은 정확성

 

  • 최종 단위의 개별 파일로 Unpack 후 변하지 않는 식별자(스트링 값, 함수명, 변수명 등)를 추출
  • Clarity의 오픈소스 DB와 교차 검색하여, 빈도, 값의 길이 등에 따른 점수화를 통한 분석결과에 대한 신뢰성 확보

주요 기능 및 특징 - 라이선스 검증

 

오픈소스의 파일 단위의 세부 라이선스 정보를 모두 제공하여

대표 라이선스 확인만으로는 놓칠 수 있는 라이선스 리스크 최소화

 

 

파일 단위 라이선스 검증의 특장점

 

  • 오픈소스에 선언된 대표 라이선스 정보가 아닌, 해당 오픈소스의 구성 요소별 라이선스 정보를 모두 제공
  • 사용자는 각 구성 요소별 라이선스 정보를 확인하여 준법성 여부를 보다 면밀하게 확인 및 보완할 수 있음

 

  Clarity는 대표 라이선스와 개별 파일별 라이선스 확인이 가능

라이선스 저작권에 대해 강력한 컴플라이언스를 강제하고 소송을 제기하는 오픈소스 코드인 Litigator Code에 대한 별도의 관리 포인트 제공

 

 

 

  • 개인 오픈소스 개발자가 직접 법적 권리를 제기하거나, 오픈소스 관련 비영리 단체가 저작권자를 대신하여 소송을 제기
  • 소송을 당한 기업은 제품 판매 정지, 손해배상 및 이익 배분 등의 피해를 받음

:Clarity는 상기와 같이 저작권 이슈가 되는 오픈소스를 『Litigator Code』로 별도 관리하며, 이에 대한 정보를 사용자에게 알림