핵심기능

1 FEATURE

체계적인 표준화 프로세스

개발자의 Public Repository 직접 연결을 차단하고 개발자 파일을 그대로 활용하여 반입 신청, 자동 다운로드, 검사, 승인 등 WEB UI 기반의 편리한 표준화 프로세스를 제공합니다.

신청-검사-승인의 체계적 프로세스
책임 소재가 명확한 거버넌스(Governance)를 제공합니다.

단계	수행자	행위
1. 신청	신청자(개발자)	pom.xml 등 "의존성 선언 파일" 업로드
2. 검사	검사자	검사 실행 → 자동 분석/다운로드/CVE 스캔
3. 승인요청	검사자	검사 결과 검토 후 승인자에게 승인 요청
4. 승인/반려	승인자	검사 결과 기반 최종 판단

2 FEATURE

간편한 신청

개발자가 프로젝트에서 사용 중인 "의존성 선언 파일"을 그대로 업로드합니다. 별도의 파일 변환, 가공이나 로컬 CLI 도구 설치가 불필요합니다.

새로운 도구를 배울 필요가 없습니다.
이미 사용 중인 "의존성 선언 파일" 하나면 충분합니다.

XML

pom.xml

Maven 프로젝트

G

build.gradle

Gradle 프로젝트

{ }

package.json

npm 프로젝트

Py

requirements.txt

pip (Python) 프로젝트

3 FEATURE

자동 의존성 분석, 자동 다운로드

Direct(직접), Transitive(전이) 의존성까지 자동으로 분석 및 해석합니다. 1개의 오픈소스 라이브러리 신청 시 전이(간접) 의존성 분석을 통해 수십 개의 의존성 라이브러리를 확인하고 자동으로 다운로드합니다.

필요한 모든 패키지 자동 수집
버전 정보 정확히 매칭
휴먼 에러 방지 (의존성 누락/검사 누락 원천 방지)

개발자가 보지 못하는 숨겨진 의존성까지
IngressX가 자동으로 찾아내고 검사합니다.

spring-boot-starter-web (Direct)
  ├── spring-boot-starter
  │   ├── spring-boot
  │   ├── spring-boot-autoconfigure
  │   └── spring-core
  ├── spring-boot-starter-json
  │   ├── jackson-databind
  │   ├── jackson-datatype-jdk8
  │   └── jackson-module-parameter-names
  ├── spring-boot-starter-tomcat
  │   ├── tomcat-embed-core
  │   └── tomcat-embed-websocket
  ├── spring-web
  └── spring-webmvc
1개 신청 → 13개 의존성 자동 분석

4 FEATURE

다중 검사 도구를 활용한
취약점 검사

단일 검사 도구로는 놓치는 취약점이 존재합니다. 다중 검사 도구로 상호 보완하여 탐지 범위를 확대합니다.

각각 DB를 가진 검사도구들이 상호 보완하여
검사 사각지대를 최소화합니다.

Trivy

Aqua Security · 범용 보안 스캔

GHSA, NVD 등 소스 활용

Apache 2.0 라이선스

+

Grype

Anchore · 취약점 전문 스캔

GHSA, NVD 등 소스 활용

Apache 2.0 라이선스

+

상용 SW 검사 도구

추가 연동 가능 (별도 협의)

5 FEATURE

명확한 검사 결과 제공

취약점 정보, 어려워하지 마세요. 한눈에 파악할 수 있습니다.

CVE ID — 국제 표준 취약점 식별자
위험도 점수 — CVSS 기반 심각도 점수 (0.0 ~ 10.0)
심각도 등급 — Critical / High / Medium / Low / None
영향 오픈소스 — 취약점이 존재하는 오픈소스명 및 버전
조치 권장 버전 — 최소한으로 업그레이드해야 하는 안전 버전

CVE ID	심각도	CVSS	영향 패키지	권장 버전
CVE-2021-44228	Critical	10.0	log4j-core 2.14.1	2.17.1
CVE-2022-22965	Critical	9.8	spring-beans 5.3.17	5.3.18
CVE-2023-34035	High	7.5	spring-security 6.1.0	6.1.2
CVE-2023-20883	Medium	5.3	spring-boot 3.0.6	3.0.7

6 FEATURE

주기적 재검사로
지속적인 취약점 대응

이미 내부로 유입된 오픈소스에 대해서도 지속적인 보안 관리를 유지합니다. 신규 CVE 공개 시 영향을 받는 오픈소스를 즉시 탐지합니다.

관리자 수동 재검사 실행
시스템 스케줄 재검사 실행

이미 내부로 유입된 오픈소스에 대해서도
지속적인 보안 관리를 유지합니다.

CVE 공개

신규 취약점 정보 발표

↓

재검사 실행

내부 Nexus 전수 검사

↓

영향 목록

사용 중인 취약 패키지 식별

↓

조치

사용 중지 / 업데이트 / 예외 처리

사용자 인터페이스

</> 개발자 UI

🔍 검사자 UI

✅ 승인자 UI

↓

IngressX Engine

워크플로우 엔진

분석 엔진

수집 엔진

검사 엔진

↓

Internal Repository

Repository 1

Repository 2

•••

Repository N

↓

개발 환경

Maven

Gradle

npm

pip

지원 오픈소스 생태계

pom.xml (Maven) build.gradle (Gradle) package.json (npm) requirements.txt (pip)

지원 검사 도구

Trivy Grype

검사 및 승인되지 않은 오픈소스는
들어오지 못합니다

IngressX 도입으로 안전한 오픈소스 관리 체계를 구축하세요.