HOME > 제품소개 > 웹소스보안 > 방법론 > 소스코드 보안약점 분석

소스코드 보안약점 분석

BigLook 제품군은 개발 단계부터 프로세스 안에 통합되어 프로그램 소스코드의 보안약점을 점검합니다. 애플리케이션 보안 사고로부터 애플리케이션과 데이터를 보호할 수 있도록 보안약점의 근본적인 문제 및 보안성을 향상시킬 수 있는 방법론을 제공합니다.

 

시큐어 코딩을 위한 다양한 컴플라이언스를 지원합니다. 사용자는 내장된 컴플라이언스를 통해 쉽게 조직의 표준 지원 여부를 파악할 수 있고 개발자에게는 적용 가이드를 제공할 수 있습니다. 개발자와 관리자는 코드가 가지고 있는 여러가지 취약점을 쉽게 파약할 수 있고 취약점의 중요도에 따라 적용 순위를 결정할 수도 있습니다.

 

소스코드 보안약점 분석이 필요한 이유

개발단계
개발자가 임의로 소스코드 접근 및 변경 시 통제가 어렵습니다.
성능 및 기능, 일정위주로 프로젝트가 진행되기 때문에 보안에 취약한 상태로 소스코드 생성 가능성이 있습니다.
테스트 단계
개별 소스코드에 대한 보안약점 검사없이 기능 및 성능 위주의 테스트에 집중함으로써 향후 해킹사고에 대한 가능성이 높습니다.
납품 산출물에 대한 적절한 테스트 도구 및 프로세스가 없습니다.
프로그램 소스코드 1,000라인당 평균 10개의 오류 및 보안약점이 포함되며 고도로 숙련된 전문가의 경우 1일 8시간 기준 1,000라인정도 오류검사 가능. (미 국방성 및 소프트웨어 공학연구소)
운영 단계
업무요청에 따른 빈번한 소스코드 변경 및 보안수준의 판단이 어렵습니다.
관리자의 과다한 시스템 운영으로 인해 효율적인 관리가 어렵습니다.
외주 개발사가 서버에 직접 접근하여 변경작업을 수행하는 경우 접근통제 관리가 어렵습니다.
각 기관에서 감리 및 감사 시 파일접근 및 작업이력 감사가 수행됩니다.

소스코드 보안약점 분석

BigLook 제품군은 다양한 언어에 대해 소스코드 보안약점 분석을 수행합니다. 대상언어에 대한 점검 룰 및 패턴은 지속적으로 추가되어 정교해지고 있으며 대상언어는 계속적으로 확대할 예정입니다. 현재 지원 중인 언어는 다음과 같습니다.

- JAVA
- JSP, ASP, PHP
- C/C++
- Android Java
- Object C
- .NET
- HTML
- Java Script
국내외의 다양한 컴플라이언스를 지원합니다. 국내의 소프트웨어 개발보안 가이드 및 전세계적으로 신뢰할 수 있는 단체의 컴플라이언스를 지원하며, BigLook 제품군은 다음과 같은 컴플라이언스를 지원합니다.

- CWE/SANS Top 25
- OWASP(The Open Web Application Security Project) Top 10
- 행정안전부 47개 보안약점
- 모바일 대민서비스 보안취약점
시스템 기대효과
보안 프로세스를 개발과정과 통합하여 보안적으로 안전한 애플리케이션 구현이 가능 전체 개발과정에서 발생 가능한 보안위협을 인지하고 조치함으로써 보안관리 업무부하를 최소화 외주 개발 시 납품 산출물의 보안 완성도를 높여 운영안정성에 기여 개발과정별 취약점 점검 프로세스를 적용하여 시간 경과에 따른 수정비용을 대폭 절감