최근 몇 년 동안 오픈소스 소프트웨어(OSS)의 사용과 관련된 위험이 급증하고 있다. 이는 개발자들이 스택 오버플로우(Stack Overflow)에서 소스코드를 복사해 붙여 넣어 사용하는 스니펫 사용 및 깃허브 코파일럿(GitHub Copilot)과 같은 생성AI 코딩 도구의 사용이 증가하고 있기 때문이다.

오픈소스 소프트웨어 위험 관리 기술 및 서비스 분야의 선두업체 포스ID(FossID)가  AI 기반 기술 ‘ID 어시스트(ID Assist)’가 적용된 ‘포스ID 워크벤치(Workbench) 24.2’를 출시했다고 밝혔다.‘ID 어시스트’는 AI 기반으로 포괄적이고 정확한 소프트웨어 구성요소목록(SBOM) 생성을 포함해 소프트웨어 구성 분석(SCA) 도구 운영에 필요한 시간과 전문 지식을 크게 줄여준다.

ID 어시스트는 포스ID 워크벤치 뿐만 아니라 API 및 CLI를 통해 사용할 수 있다. ID 어시스트의 핵심은 소프트웨어 감사(Audit) 및 오픈소스 라이선스 준수와 관련된 포스D의 축적된 전문 지식이다.

포스ID는 이 지식을 규칙과 알고리즘의 세트로 구현해 숙련된 소프트웨어 감사자(Auditor)가 실행하는 것처럼 스캔 결과를 필터링하고, 순위를 매기며 정렬해 감사자가 수행하는 식별 작업을 줄여 워크플로를 자동화할 수 있도록 도와준다. 스니펫 분석을 실행해 감사자에게 많은 양의 식별 작업이 요구될 수 있다.

ID 어시스트는 ▲오픈소스 코드 스니펫에 대한 정확한 식별 ▲지능적인 필터링으로 불필요한 매치 제거 ▲원본 컴포넌트를 제공하기 위한 향상된 점수 할당 방법 ▲자동화된 스캐닝 및 검증 워크플로를 활용해 식별 작업을 도와준다.

단순한 업데이트를 넘어 스캐닝 및 감사 프로세스에서 사용자의 노력과 전문 지식의 필요성을 줄이기 위해 추가된 기능이다.

ID 어시스트에는 분류 및 필터링 알고리듬, 매치 항목의 우선순위를 지정하는 알고리듬, 결과를 표시하는 UI 도구가 포함돼 있다. ID 어시스트는 소스 코드를 분석해 발견된 항목들을 자동으로 식별하고 우선순위를 할당해 더 빠르고 쉬운 감사를 가능한 AI 도우미다.

포스ID는 파일 및 스니펫 수준뿐만 아니라 폴더 수준에서의 스캐닝 분석과 지식 기반(Knowledge Base) 수준에서의 새로운 데이터 큐레이션 기능을 포함한 더 많은 향상을 위해 ID 어시스트를 확장해 소프트웨어 코드베이스의 스캔 결과를 분석하고 정제하는 완전히 자동화된 시스템을 제공할 예정이다.

워크벤치 24.2부터 ID 어시스트는 스캔 실행 시 선택할 수 있는 옵션으로 제공되며, 기본적으로 활성화돼 있지만 개별 스캔에 맞게 사용자가 설정할 수 있다. ID 어시스트 활성화 후 분석을 실행하면 사용자는 정확성이 향상된 매치 결과를 확인할 수 있다.

포스ID의 ID 어시스트는  한국 독점 유통사 오에스비씨(OSBC)에서 공급하고 있다.

포스ID 관계자는 "ID 어시스트는 포스ID의 광범위한 감사 전문 지식을 활용해 이를 직접 SCA 도구에 통합해 스 코드 스캔에서 일반적으로 요구되는 강도 높은 수작업과 라이선스 지식의 필요성을 덜어주고 SCA의 자동화, 정밀성 및 사용 편의성을 제공한다."라며, "스니펫 수준 기능을 갖춘 모든 SCA 도구는 결과를 효율적으로 해석하려면 ID 어시스트와 같은 분석 기능이 필요하다."고 강조했다.