• 정보처리학회 논문지
• /
• 제13권7호
• /
• pp.299-310
• /
• 2024

소프트웨어는 개발하는 과정에서 많은 비용과 시간이 소모된다. 이를 해결을 위해, 많은 기업들이 공개된 오픈소스를 사용하지만 대부분 오픈소스에 대해 정확히 파악하지 않은 채 사용하고 있다. 특히, 구버전 오픈소스 사용으로 인한 보안 취약점 문제와 라이선스 사항을 간과한 저작권 문제가 발생하고 있다. 따라서, 오픈소스의 버전, 취약점 및 라이선스 정보를 분석하는 도구가 필요하다. 기존의 블랙덕은 오픈소스의 상세한 구성 요소를 제공하지만 환경 구축에 큰 부담을 따르게 된다. 또한, Fossology는 라이선스를 탐지할 수 있지만, 자체 데이터베이스가 존재하지 않아 그 외의 다른 정보들을 제공하지 않는다. 본 논문에서는 소스 코드 유사도 측정을 통해 오픈소스를 파악하여 해당 버전 및 라이선스를 탐지 하는 도구를 제안한다. 본 제안 방식은 TF-IDF 및 코사인 유사도를 기반하여 MOSS라는 기존 소스 코드 유사도 측정 도구인 프로그램보다 정확도를 향상시킨다. 또한, 웹 기반의 경랑 플랫폼 환경에서 구축함에도 오픈소스를 분석하여 라이선스, 버전 및 취약점을 제공할 수 있다. 이를 통해, 앞선 블랙덕의 환경 구축에 요구되는 부담 및 Fossology의 오픈소스의 상세 정보의 미제공 문제를 해결할 수 있다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2012년도 춘계학술발표대회
• /
• pp.792-795
• /
• 2012

최근 오픈 소스 커뮤니티가 활성화되고 수많은 오픈 소스들이 공개되고 있어서 많은 개발자들이 오픈 소스를 활용하고 있다. 그러나 오픈 소스도 정해진 라이선스 기반으로 공개되므로 오픈 소스를 사용할 때는 반드시 라이선스를 확인해야 한다. 본 논문에서는 안드로이드 앱의 라이선스 위반이나 코드 도용을 확인할 수 있는 방법으로서 안드로이드 앱 사이의 API 메소드 호출 유사도를 측정하는 방법을 제안한다. 원본 프로그램과 도용된 프로그램은 유사한 API 메소드를 사용할 것임을 예상할 수 있기 때문에 API 메소드 호출이 유사한 것을 확인하면 간접적으로 코드 도용을 확인할 수 있다. 본 논문에서 개발한 API 유사도 측정 도구는 안드로이드 앱의 소스 코드를 필요로 하지 않고, 안드로이드 달빅(Dalvik) 바이트 코드로부터 직접 API 호출 명령어를 분석하여 유사도를 측정한다는 특징이 있다. 본 논문에서 구현한 도구의 평가를 위해서 API 호출 유사도 비교 실험을 수행하였다. 그 결과, 실제로 API 호출 유사도가 높았던 두 앱이 서로 공통된 모듈을 포함하고 있음을 밝혀내었다. 그리고 선행 연구에서 제안했었던 안드로이드 달빅 코드 전체에 대한 유사도 비교 도구보다 비교 속도가 35% 정도 향상된 것을 확인하였다.

• 정보과학회 논문지
• /
• 제42권6호
• /
• pp.713-722
• /
• 2015

OSS(Open-Source Software)의 사용 증가와 함께 라이선스 위반, 취약한 소스코드 재사용 등에 의한 분쟁 및 피해가 빈번해지고 있다. 이에, 실행파일(바이너리) 수준에서 프로그램에 OSS 모듈이 포함되었는지 여부를 확인하는 기술이 필요해졌다. 본 논문에서는 바이너리에서 함수 수준의 특징정보를 사용하여 OSS 모듈을 탐지하는 기법을 제안한다. 기존 소프트웨어 특징정보(버스마크) 기반 도용 탐지 기법들은 프로그램 전체 간 유사성을 비교하기 때문에 프로그램의 일부로 포함된 OSS 모듈들을 탐지하는데 부적합하다. 본 논문에서는, 함수 수준의 실행명령어, 제어 흐름 그래프(Control Flow Graph)와 개선된 함수 수준 구조적 특징정보를 추출하고 유사성을 비교하여 OSS 모듈의 임의 사용 여부를 탐지한다. 제안기법의 효율성과 각 특징정보들의 OSS 탐지 성능을 평가하기 위해, 특징정보량, OSS 모듈 탐지 시간 및 정확도, 컴파일러 최적화에 대한 강인성을 실험하였다.