¼Ò½º ÄÚµå º¸¾È Ãë¾àÁ¡ Á¡°Ë ¼Ö·ç¼Ç
SecurityPrism¢çÀº °³¹ß Ãʱ⠴ܰèºÎÅÍ ¾ÈÀüÇÑ ¾ÖÇø®ÄÉÀ̼ÇÀ» È®º¸Çϱâ À§ÇÑ ½ÃÅ¥¾î ÄÚµù Á¡°Ë ¼Ö·ç¼ÇÀÔ´Ï´Ù. ¼Ò½º ÄÚµåÀÇ Á¤Àû ºÐ¼®À» ÅëÇØ ÇàÁ¤ÀÚÄ¡ºÎ 47°³ Çʼö º¸¾È Ãë¾àÁ¡, CWE ¹× OWASP µîÀÇ ±¹Á¦ Ç¥ÁØÀÇ º¸¾È Ãë¾àÁ¡µéÀ» °ËÃâÇÏ¿© ¼öÁ¤ÇÒ ¼ö ÀÖµµ·Ï µµ¿ÍÁÝ´Ï´Ù. ±â¾÷Àº ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È ¹®Á¦¸¦ »çÀü¿¡ ´ëÀÀÇÏ¿© ºñÁî´Ï½º À§ÇèÀ» ÁÙÀÏ ¼ö ÀÖ½À´Ï´Ù.
°³¿ä
SecurityPrism¢çÀº ³»ÀåµÈ º¸¾È Ãë¾àÁ¡ ·êÀ» ±â¹ÝÀ¸·Î ¼Ò½º Äڵ带 ÀÚµ¿À¸·Î Á¡°ËÇÕ´Ï´Ù. ÄÄÆÄÀÏ·¯ ȯ°æÀ» ¼³Á¤Çϰųª ÇÁ·Î±×·¥À» ½ÇÇàÇÏÁö ¾Ê¾Æµµ º¸¾È Ãë¾àÁ¡ ·ê¿¡ À§¹ÝµÇ´Â ¼Ò½º ÄÚµå ¶óÀÎÀ» Á¤È®ÇÏ°Ô Ã£¾ÆÁÝ´Ï´Ù.
QA ÆÀÀº Áß¾Ó ¼¹ö¿¡¼ ¼Ò½º ÄÚµå º¸¾È Ãë¾àÁ¡À» ÀÏ°ýÀûÀ¸·Î Á¡°ËÇÒ ¼ö ÀÖÀ¸¸ç, °³¹ßÀÚµéÀº ÀÚ½ÅÀÇ PC¿¡¼ Áß¾Ó ¼¹ö¿Í Åë½ÅÇÏ¸ç ¼Ò½º ÄÚµåÀÇ º¸¾È Ãë¾àÁ¡À» ½º½º·Î Á¡°ËÇÒ ¼ö ÀÖ½À´Ï´Ù.
ƯÀåÁ¡
º¸¾ÈÃë¾àÁ¡ °ËÃâ ƯÇã ±â¼ú | SecurityPrism¢çÀº ¼ÒÇÁÆ®¿þ¾î º¸¾ÈÃë¾àÁ¡ °ËÃâ ±ÔÄ¢¸í¼¼¾ð¾î(Rule Description Language For Software Vulnerability Detection), Ŭ·¯½ºÅÍ ±â¹Ý ÇÁ·Î±×·¥ ºÐ¼® ¹æ¹ý ¹× ÀåÄ¡ ƯÇã(Program Analysis Method Based on Cluster and Apparatus) ƯÇã ±â¼úÀ» »ç¿ëÇÕ´Ï´Ù. |
»ç¿ëÀÇ ÆíÀǼº | SecurityPrism¢çÀº ÄÄÆÄÀÏ·¯ ¼³Á¤°ú °°Àº º¹ÀâÇÑ È¯°æ ±¸¼ºÀ» ¿ä±¸ÇÏÁö ¾ÊÀ¸¸ç, ¿ÀÁ÷ ¼Ò½º ÆÄÀϸ¸ ÀÖÀ¸¸é Á¡°ËÀÌ °¡´ÉÇÕ´Ï´Ù. |
¿øÈ°ÇÑ ÅëÇÕ | SecurityPrism¢çÀº ÁöƼ¿øÀÇ ´Ù¸¥ ¾ÖÇø®ÄÉÀÌ¼Ç °Å¹ö³Í½º ¼Ö·ç¼Ç°ú µ¿ÀÏÇÑ technology platformÀ» »ç¿ëÇÕ´Ï´Ù. ÀÌ´Â ´ÜÀÏ È¯°æÇÏ¿¡¼ Á¤Àû ºÐ¼® °á°ú¸¦ ´ÙÂ÷¿øÀûÀ¸·Î È°¿ë(¿µÇ⠺м®, ÄÚµå Ç°Áú ¹× º¸¾È Ãë¾à¼º) ÇÒ ¼ö ÀÖÀ½À» ÀǹÌÇÕ´Ï´Ù. |
CWE ÄÄÇöóÀ̾𽺠| SecurityPrism¢çÀÇ °í±Þ Á¤Àû ºÐ¼® ¿£ÁøÀº CWE¿¡¼ Á¤ÀÇÇÑ 150¿© Á¾·ù ÀÌ»óÀÇ ¼Ò½º ÄÚµå ³» º¸¾È ¾àÁ¡À» °¨ÁöÇÒ ¼ö ÀÖ½À´Ï´Ù. ÁöƼ¿øÀÇ SecurityPrism¢çÀº CWE ȣȯ¼º ÀÎÁõÀ» ¹ÞÀº Á¦Ç°À̸ç CWE ÄÄÇöóÀ̾𽺸¦ À§ÇØ »ç¿ëµÉ ¼ö ÀÖ´Â Á¤Àû ºÐ¼® µµ±¸ÀÔ´Ï´Ù. CWE´Â ¼ÒÇÁÆ®¿þ¾îÀÇ º¸¾È ¾àÁ¡ ±¹Á¦ Ç¥ÁØ ¸ñ·ÏÀ» ÀǹÌÇÕ´Ï´Ù. SecurityPrism¢çÀÌ Áö¿øÇÏ´Â CWE º¸¾È ¾àÁ¡µéÀÇ ¹üÀ§¿Í CWE ID ¸ÅÇÎ °ü°è´Â ¿©±â¸¦ Âü°íÇϼ¼¿ä. |
ÁÖ¿ä±â´É
º¸¾È Ãë¾àÁ¡ ÆÐÅÏ | CWE, OWASP¿Í °°Àº ±¹Á¦ ±âÁØ¿¡ µû¸¥ º¸¾È Ãë¾àÁ¡ ÆÐÅÏ DB¸¦ Á¦°øÇÕ´Ï´Ù. |
¾ÈÀüÇÑ ÄÚµù °¡À̵å | ¾ÈÀüÇÑ ÄÚµù ¿¹Á¦¿Í º¸¾È Ãë¾àÁ¡ ÄÚµù ¿¹Á¦¸¦ Á¦°øÇÏ¿© °³¹ßÀÚ´Â ¹«¾ùÀÌ À߸øµÈ ÄÚµùÀÌ°í, À̸¦ ¾î¶»°Ô ¼öÁ¤ÇÒ ¼ö ÀÖ´ÂÁö¿¡ ´ëÇÑ Á¤º¸¸¦ ¾òÀ» ¼ö ÀÖ½À´Ï´Ù. |
¼Ò½º ÄÚµå º¸¾È Ãë¾àÁ¡ °ËÃâ | º¸¾È Ãë¾àÁ¡ ±ÔÄ¢À» À§¹ÝÇÑ ¼Ò½º Äڵ带 °ËÃâÇÏ°í Áï½Ã ÇØ´ç ¼Ò½º ÄÚµå ¶óÀÎÀ¸·Î µå¸± ´Ù¿îÇÒ ¼ö ÀÖ½À´Ï´Ù. |
ÀÚµ¿ ·ê ¾÷µ¥ÀÌÆ® | Áß¾Ó ¼¹ö¿¡¼ÀÇ ·ê °ü¸®¸¦ ÅëÇØ °³¹ßÀÚ¸¦ À§ÇÑ ·ê ÀÚµ¿ ¾÷µ¥ÀÌÆ®¸¦ Áö¿øÇÕ´Ï´Ù. |
·ê Á¤ÀÇ ¾ð¾î | °í±Þ ½ºÅ©¸³Æ® ¾ð¾î¸¦ ÀÌ¿ëÇÏ¿© »õ·Î¿î Á¡°Ë ·êÀ» »ý¼ºÇÒ ¼ö ÀÖ½À´Ï´Ù. |
* SecurityPrismÀº Java/JSP(Eclipse plug-in), C ¿Í °°Àº ´Ù¾çÇÑ ¾ð¾î¸¦ Áö¿øÇÕ´Ï´Ù.
±â´ëÈ¿°ú
º¸¾È À§Çè °¨¼Ò | °¡Æ®³ÊÀÇ º¸°í¼ (The Ratio of Hacking and Security Incident)¿¡ µû¸£¸é, ÇØÄ¿ÀÇ °ø°Ý Áß 75%´Â ³×Æ®¿öÅ©³ª ¼¹ö ¼öÁØÀÌ ¾Æ´Ñ ¾ÖÇø®ÄÉÀ̼ǿ¡ ´ëÇÑ °ø°ÝÀÔ´Ï´Ù. ¹Ì ±¹¹æ¼ºÀÇ ¿¬±¸ ÀÚ·á¿¡ µû¸£¸é, ¼Ò½º ÄÚµå 1,000 ¶óÀÎ ´ç 1°ÇÀÇ º¸¾È Ãë¾à ¼Ò½º Äڵ尡 Á¸ÀçÇÕ´Ï´Ù. º¸¾È ħÇØ »ç°í·Î ÀÎÇØ ¹ß»ýÇÏ´Â ´ëÀÀ ºñ¿ëÀº »ó»óÀ» ÃÊ¿ùÇÏ¸ç °³¹ß Ãʱ⠴ܰèºÎÅÍ º¸¾È Ãë¾àÁ¡¿¡ ´ëºñÇØ¾ß ¸·´ëÇÑ ºñ¿ëÀ» Àý°¨ÇÒ ¼ö ÀÖ½À´Ï´Ù. |
ºñ¿ë Àý°¨ | ¼öÀÛ¾÷À¸·Î ¼Ò½º Äڵ带 Á¡°ËÇϱâ À§Çؼ´Â °æÇè ÀÖ´Â º¸¾È Àü¹®°¡°¡ ÇÊ¿äÇÏ¸ç ½Ã°£µµ ¸¹ÀÌ ¼Ò¸ðµË´Ï´Ù. SecurityPrism¢çÀº ¾ÈÀüÇÑ ÄÚµù°¡ÀÌµå ¿¹Á¦¿Í º¸¾È Ãë¾àÁ¡ ¼Ò½º ÄÚµåÀÇ ÀÚµ¿ °ËÃâÀ» ÅëÇØ ½Ã°£°ú ºñ¿ëÀ» Àý°¨ÇÒ ¼ö ÀÖ½À´Ï´Ù. |
°í°´»ç
- more...