소스 코드 보안 취약점 점검 솔루션

SecurityPrism

소스 코드 보안 취약점 점검

SecurityPrism®은 개발 초기 단계부터 안전한 애플리케이션을 확보하기 위한 시큐어 코딩 점검 솔루션입니다. 소스 코드의 정적 분석을 통해 행정자치부 47개 필수 보안 취약점, CWE 및 OWASP 등의 국제 표준의 보안 취약점들을 검출하여 수정할 수 있도록 도와줍니다. 기업은 애플리케이션 보안 문제를 사전에 대응하여 비즈니스 위험을 줄일 수 있습니다.

개요

SecurityPrism®은 내장된 보안 취약점 룰을 기반으로 소스 코드를 자동으로 점검합니다. 컴파일러 환경을 설정하거나 프로그램을 실행하지 않아도 보안 취약점 룰에 위반되는 소스 코드 라인을 정확하게 찾아줍니다.

QA 팀은 중앙 서버에서 소스 코드 보안 취약점을 일괄적으로 점검할 수 있으며, 개발자들은 자신의 PC에서 중앙 서버와 통신하며 소스 코드의 보안 취약점을 스스로 점검할 수 있습니다.

특장점

시큐리티프리즘 특장점
보안취약점 검출 특허 기술	SecurityPrism®은 소프트웨어 보안취약점 검출 규칙명세언어(Rule Description Language For Software Vulnerability Detection), 클러스터 기반 프로그램 분석 방법 및 장치 특허(Program Analysis Method Based on Cluster and Apparatus) 특허 기술을 사용합니다.
사용의 편의성	SecurityPrism®은 컴파일러 설정과 같은 복잡한 환경 구성을 요구하지 않으며, 오직 소스 파일만 있으면 점검이 가능합니다.
원활한 통합	SecurityPrism®은 지티원의 다른 애플리케이션 거버넌스 솔루션과 동일한 technology platform을 사용합니다. 이는 단일 환경하에서 정적 분석 결과를 다차원적으로 활용(영향 분석, 코드 품질 및 보안 취약성) 할 수 있음을 의미합니다.
CWE 컴플라이언스	SecurityPrism®의 고급 정적 분석 엔진은 CWE에서 정의한 150여 종류 이상의 소스 코드 내 보안 약점을 감지할 수 있습니다. 지티원의 SecurityPrism®은 CWE 호환성 인증을 받은 제품이며 CWE 컴플라이언스를 위해 사용될 수 있는 정적 분석 도구입니다. CWE는 소프트웨어의 보안 약점 국제 표준 목록을 의미합니다. SecurityPrism®이 지원하는 CWE 보안 약점들의 범위와 CWE ID 매핑 관계는 여기를 참고하세요.

주요기능

시큐리티프리즘 주요기능
보안 취약점 패턴	CWE, OWASP와 같은 국제 기준에 따른 보안 취약점 패턴 DB를 제공합니다.
안전한 코딩 가이드	안전한 코딩 예제와 보안 취약점 코딩 예제를 제공하여 개발자는 무엇이 잘못된 코딩이고, 이를 어떻게 수정할 수 있는지에 대한 정보를 얻을 수 있습니다.
소스 코드 보안 취약점 검출	보안 취약점 규칙을 위반한 소스 코드를 검출하고 즉시 해당 소스 코드 라인으로 드릴 다운할 수 있습니다.
자동 룰 업데이트	중앙 서버에서의 룰 관리를 통해 개발자를 위한 룰 자동 업데이트를 지원합니다.
룰 정의 언어	고급 스크립트 언어를 이용하여 새로운 점검 룰을 생성할 수 있습니다.

* SecurityPrism은 Java/JSP(Eclipse plug-in), C 와 같은 다양한 언어를 지원합니다.

기대효과

시큐리티프리즘 기대효과
보안 위험 감소	가트너의 보고서 (The Ratio of Hacking and Security Incident)에 따르면, 해커의 공격 중 75%는 네트워크나 서버 수준이 아닌 애플리케이션에 대한 공격입니다. 미 국방성의 연구 자료에 따르면, 소스 코드 1,000 라인 당 1건의 보안 취약 소스 코드가 존재합니다. 보안 침해 사고로 인해 발생하는 대응 비용은 상상을 초월하며 개발 초기 단계부터 보안 취약점에 대비해야 막대한 비용을 절감할 수 있습니다.
비용 절감	수작업으로 소스 코드를 점검하기 위해서는 경험 있는 보안 전문가가 필요하며 시간도 많이 소모됩니다. SecurityPrism®은 안전한 코딩가이드 예제와 보안 취약점 소스 코드의 자동 검출을 통해 시간과 비용을 절감할 수 있습니다.