저자 : 방지호
현재 국가 정보화사업으로 개발되는 정보시스템 소프트웨어는 개발단계부터 보안약점(보안 취약점의 원인)이 배제되도록 개발하는 ‘소프트웨어 개발보안’ 적용이 의무화 되었다.
소프트웨어 개발보안을 적용하여 안전한 소프트웨어를 개발 및 구현하기 위해 정적분석 도구 등 다양한 자동화 도구가 개발 및 활용되고 있다. 국가 정보화사업에 대한 감리 시 감리법인이 보안약점을 진단하기 위해 정적분석 기반의 자동화 도구인 소스코드 보안약점 분석도구를 사용하는 경우 ‘정보보호시스템 평가·인증 지침’에 따라 평가·인증 받은 제품을 사용하는 것이 의무화 되어, 현재(2014년 5월 기준) 관련 유형의 제품에 대한 평가가 진행 중이며, 인증된 제품도 최근 2종이 출시되었다.
본 기고에서는 상용제품 이외에 손쉽게 접할 수 있는 오픈소스로 공개된 정적분석 기반의 보안약점 분석도구를 대상으로 보안약점 분석 성능을 분석하고자 한다. 보안약점 성능 분석 결과는 중소기업 등 영세한 민간기업에서 소프트웨어 개발 시 참고하여 활용할 수 있는 공개용 분석도구에 대한 정보를 제공하여 소프트웨어 개발 안전성 향상에 기여 할 수 있을 것으로 기대한다.
| [순서] Ⅰ. 서론 Ⅱ. 본론 1. 국내·외 개발보안 동향 2. 공개용 소스코드 보안약점 분석도구 유형 및 시험기준 3. 공개용 소스코드 보안약점 분석도구 성능 분석 Ⅲ. 결론 |
※ 본 문서 내용은 한국인터넷진흥원 INTERNET & SECURITY FOCUS 2014년 5월호에 수록된 내용으로 원 저작자의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒ 한국인터넷진흥원 보안평가팀. 무단전재 및 재배포 금지
| 번호 | 제목 | 작성자 | 조회수 | 작성 |
|---|---|---|---|---|
| 공지 | [2024년] 오픈소스SW 라이선스 가이드 개정판 발간 file | support | 4695 | 2024-01-03 |
| 공지 | [2024년] 기업 오픈소스SW 거버넌스 가이드 개정판 발간 file | support | 3809 | 2024-01-03 |
| 공지 | [2024년] 공공 오픈소스SW 거버넌스 가이드 개정판 발간 file | support | 3799 | 2024-01-03 |
| 공지 | 공개 소프트웨어 연구개발(R&D) 실무 가이드라인 배포 file | support | 16252 | 2022-07-28 |
| 공지 | 공개소프트웨어 연구개발 수행 가이드라인 file | OSS | 16055 | 2018-04-26 |
| 191 | [2014년 6월 기준] 클라우드, 빅데이터 분야 공개SW 솔루션 리스트 file | OSS | 1140 | 2014-07-21 |
| 190 | [2014년 6월 기준] 임베디드분야 공개SW 솔루션 리스트 file | OSS | 1329 | 2014-07-21 |
| 189 | [2014년 6월 기준] 서버용 공개SW 솔루션 리스트 file | OSS | 1313 | 2014-07-21 |
| 188 | [2014년 6월 기준] 비즈니스용 공개SW 솔루션 리스트 file | OSS | 1415 | 2014-07-21 |
| 187 | [2014년 6월 기준] 데스크탑용 공개SW 솔루션 리스트 file | OSS | 1385 | 2014-07-21 |
| 186 | 공개용 소스코드 보안약점 분석도구 개발 동향 file | OSS | 1785 | 2014-07-08 |
| 185 | [2014년 3월 기준] SW 품질검증분야 공개SW 솔루션 리스트 file | OSS | 1259 | 2014-05-13 |
| 184 | [2014년 3월 기준] 클라우드, 빅데이터 분야 공개SW 솔루션 리스트 file | OSS | 1272 | 2014-05-13 |
| 183 | [2014년 3월 기준] 임베디드분야 공개SW 솔루션 리스트 file | OSS | 1270 | 2014-05-13 |
| 182 | [2014년 3월 기준] 서버용 공개SW 솔루션 리스트 file | OSS | 1361 | 2014-05-09 |
0개 댓글