Mend

주요 특징

1

오픈소스 & 자체 코드까지 아우르는 All-in-One 보안 솔루션

• 오픈소스 컴포넌트의 보안·라이선스 이슈와 자체 코드의 보안 취약점까지 통합 분석

• SCA와 SAST를 하나의 플랫폼에서 제공하여 AppSec을 효율적으로 관리

• CycloneDX 1.4/1.5, SPDX 2.2/2.3 국제 표준을 모두 지원하는 SBOM 자동 생성

2

실시간 취약점 탐지와 개선 방안 제공

• 최신 보안 위협 데이터 기반으로 오픈소스 및 커스텀 코드의 위험 요소 탐지

• 자동화된 패치 경로, 대체 컴포넌트, 코드 수정 가이드까지 함께 제시

3

개발 생애주기에 최적화된 보안 자동화

• IDE, CI/CD 파이프라인과 연동하여 개발 흐름을 방해하지 않는 보안

• 정책 기반 승인/차단/알림 설정으로 조직 보안 기준을 자동 적용

4

직관적인 리포트와 대시보드 제공

• 보안, 품질, 라이선스 리스크를 한눈에 파악할 수 있는 시각화 도구 제공

• 개발팀·보안팀·법무팀 각각의 관점에 맞춘 커스터마이징 리포트

5

다양한 프로그래밍 언어 및 프레임워크 지원

• 200여개 이상의 SCA 분석 소스 언어 지원

• 30여개의 SAST 분석 프로그래밍 언어 지원

6

AI/ML 기반 소프트웨어의 보안 리스크 탐지

• AI 모델에 포함된 오픈소스 라이브러리와 프레임워크의 보안 취약점 분석

• AI 특화 컴포넌트에 대한 식별 및 정책 기반 위험 평가 가능

7

컨테이너 이미지 보안 및 클러스터 스캔 지원

• Docker, Kubernetes 기반의 이미지 내 취약점과 라이선스 리스크 탐지

• 클러스터 내 실행 중인 이미지 스캔 및 위험 컨테이너 자동 분류

주요 기능

1

어플리케이션에 탑재된 AI 모델에 대한 식별

Mend AI

• Hugging face kaggle에 등록된 50만 개 이상의 AI 모델에 대한 완벽한 커버리지 보장

• AI 모델에 대한 종속성을 식별하여 AI 모델 업데이트 정보 제공

• AI 모델에 대한 라이선스 식별 및 AI-BOM 제공

2

압도적 오픈소스 솔루션(SCA) 정밀도

Mend SCA

• NVD 취약점 리스트 외 Mend 자체 취약점 Lab 을 통해 신규 취약점 가장 빠르게 탐지

• 오픈소스 소프트웨어의 라이선스 식별을 통한 법적 분쟁 방지

• CycloneDX, SPDX 형식의 SBOM 제공 및 다양한 포맷의 레포트 제공

3

강력하고 빠른 소스코드 내 보안 약점(CWE) 검출

Mend SAST

• C/C++, Java, C#, Python 등 27개의 다양한 언어와 다양한 프레임워크 지원

• 개발자 고유 리포지토리와 연동되어 실시간 분석 및 레포트 제공

• Hybrid cloud 기능의 On-premise 환경 분석으로 소스코드의 외부 유출 절대 방지

4

컨테이너화된 애플리케이션 내 보안 취약점 검출

Mend Container

• 정적 분석과 런타임 환경 분석을 결합한 완전한 클라우드 보안 제공

5

종속성 업데이트를 통한 보안 위협 최소화

Mend Renovate

• 자동화된 PR을 통해 오픈소스 소프트웨어에 대한 최신 정보 제공

• 모든 리포지토리 내의 종속성이 최신 상태로 유지되도록 보장

기술 노트

시스템 소프트웨어 개발

[Mend] 주요 오픈소스 라이선스를 알아보자

소프트웨어를 사용할 수 있는 특정 조건을 선언하는 작성자와 사용자 간의 구속력이 있는 법적 계약이며, 특히 상업용 애플리케이션과 관련이 깊습니다. 개발자가 라이선스에 명시된 특정 이용 약관을 유지하는 한은, 해당 소프트웨어를 사용할 수 있다는 특징을 가지고 있습니다. 소프트웨어 라이선스 유형과 오픈소스의 일반적인 상황에 따라 Copyleft 와 Permis

mend@mdsit.co.kr 2026년 03월 20일

시스템 소프트웨어 개발

[Mend] SBOM이 애플리케이션 보안 및 규정 준수에 중요한 이유

소프트웨어 공급망을 표적으로 삼는 공격이 증가하고 있습니다. 실제로 Mend 오픈 소스 위험 보고서의 데이터에 따르면, 2022년 게시된 악성 패키지 수가 분기별로 꾸준히 증가했으며, 3분기에는 2분기보다 79%나 급증했습니다. 이처럼, 오픈 소스 코드 생성 증가와 공격자가 새로운 허점을 찾으려는 동기가 결합되었기 때문에 오픈 소스 취약점은 곧 줄어들지 않

mend@mdsit.co.kr 2026년 03월 20일

시스템 소프트웨어 개발

[Mend] 소프트웨어 공급망 공격 작동 방식 및 보안 평가 방법

최근 응용 프로그램(Application)은 더 복잡해짐에 따라 이전보다 더 많은 취약점이 포함된 오픈 소스 코드가 사용되고 있습니다. 해커들이 다양한 공격 방법과 기술을 만들어 이런 오픈 소스 소프트웨어를 공격하는 사례가 빈번해지고 있습니다. 소프트웨어 공급망 Malware에 대한 Mend.io의 최근 보고서에 따르면 2021년부터 2022년까지 npm

mend@mdsit.co.kr 2026년 03월 20일

산업 분야

Automotive Software & IT Services Semiconductor Aerospace & Defense Government & Public Sector Healthcare Financial Services

적용 사례

1

Automotive

OEM의 공급망 보안 요구에 따라 Release별 SBOM 제출과 라이선스 준수 여부 확인을 표준화합니다. 정책을 통해 금지/고위험 라이선스를 사전에 차단하고, 취약점 관리와 조치 이력을 명확히 남깁니다.

2

Aerospace & Defense

무기체계SW 개발 및 관리 매뉴얼에서 요구하는 공개SW 식별, 라이선스 의무 준수 확인, 취약점 관리, SBOM 제공을 단일 플랫폼에서 제공합니다. 파이프라인 정책과 승인 절차를 통해 배포 전 단계에서 라이선스 충돌과 고위험 취약점을 차단합니다.

3

Financial Services

내부 프레임워크와 외부 라이브러리의 라이선스·취약점을 SCA·SAST로 표준화해 관리합니다. CI 파이프라인에서 정책 위반과 고위험 취약점을 자동 차단하고 릴리스별 SBOM을 보관합니다. 조치 이력과 재검사 결과를 리포트로 축적해 내부통제와 규제 감사에 신속히 대응합니다.

4

Semiconductor

장비 제어·현장 단말·포털 소프트웨어의 구성요소를 릴리스마다 SBOM으로 관리합니다. 공급사 모듈 포함 여부와 라이선스 의무를 점검해 충돌 요소를 조기에 교체합니다. 배포 전 품질 게이트로 치명적 취약점과 금지 라이선스를 차단해 생산 중단 위험을 줄입니다.

5

Healthcare

의료 소프트웨어의 구성요소를 SBOM으로 문서화하고 취약점·라이선스 상태를 추적합니다. 고위험 항목은 정책으로 차단하고 수정 내역과 일정 관리를 리포트로 남깁니다. 이 결과물을 활용해 FDA 510(k) 보안 요구사항 준수 증빙과 사후 질의 대응을 체계화합니다.

6

Software & IT Services

EU Cyber Resilience Act(CRA) 요구사항에 맞춰 소프트웨어 구성요소와 취약점 관리를 체계화합니다. Release 단위 SBOM 생성, 취약점 식별·우선순위화, 정책 기반 사용 차단으로 설계·개발·유지보수 전 과정의 보안 증빙을 준비합니다.