docs(guide): 2026 기업 오픈소스 관리 가이드 개선 (2차)

[haksungjang]

변경 배경

본 PR은 1차 개선 작업(#253)의 후속 작업입니다.

1차에서 ISO/IEC 5230 / 18974 기준으로 즉시 수정이 필요한 오류·누락을 해소했다면, 2차에서는 다음 두 가지 목표에 집중했습니다.

• 정책-프로세스 정합성 공백 해소: 1-policy에 선언된 정책 항목 중 2-process-template에 대응 절차가 없는 공백을 채웁니다.
• 가이드 본문 도구 연계 강화: 4-tool 섹션에 1차에서 신규 작성한 tools/ 페이지(cdxgen, Syft, Dependency-Track, OSV-SCALIBR)의 소개와 링크를 추가합니다.

---

주요 변경 내용

1-policy 보완

#	항목	위치
#4	기여 정책 인식 절차 선언 추가	§6.1 교육 내용 항목 추가, §7.5 신규
#11	라이선스 사용 사례별 처리 방침 선언	§4.2.1 신규 (내부사용 / 외부배포-바이너리 / SaaS / 기여 4가지 케이스)
#12	인식 평가 증거 보관 절차 명시	§6.4 항목 추가 (증거 형태, 보관 위치, 파기 절차, ISO §3.1.3 참조)

2-process-template 보완

#	항목	위치
#13	외부 문의 기록 보관 기간 추가	§3 외부 문의 대응 프로세스 — (8) 기록 보관 신규 (3년, ISO/IEC 18974 §3.2.1.2)
#14	CVD 공개 타이밍 절차 추가	§2 보안 취약점 관리 프로세스 — (9) 취약점 공개 타이밍 절차(CVD) 신규 (90일 원칙, 즉시 공개 예외, CVE ID 발급)

2-process-template 신규 프로세스 추가

#	항목	위치
#15	오픈소스 기여 프로세스 신규 작성	§4 신규 (사전 검토 요청 → OSPO 검토·승인 → 기여 수행 → 이력 기록·보관 4단계)
#16	사내 오픈소스 공개 프로세스 신규 작성	§5 신규 (공개 검토 요청 → OSPO 검토·승인 → 공개 준비 → 공개 후 관리 → 기록 보관 5단계)
#17	교육·평가 실행 프로세스 신규 작성	§6 신규 (교육 대상·주기 → 교육 실시 → 역량 평가 → 기록 보관(3년, ISO §3.1.3) → 내용 검토·개선 5단계)

4-tool 섹션 신규 도구 연계

#	도구	추가 위치
#23	cdxgen	§2 Dependency 분석 도구 — (3) 신규
#24	Syft	§2 Dependency 분석 도구 — (4) 신규
#22	Dependency-Track	§3 SBOM 관리 도구 — (3) 신규
#21	OSV-SCALIBR	§4 보안취약점 관리 도구 — (4) 신규

---

테스트

• hugo --minify 빌드 이상 없음 ✓

---

후속 작업

• content/en/guide/ 동기화 필요 — 이슈 등록 예정