소스코드 보안 취약점 진단 컨설팅 서비스는
소프트웨어 개발 과정에서 발생할수 있는 잠재적인 보안 위험요소를 식별하고
제거하는 중요한 프로세스입니다.
응용 및 웹/앱 어플리케이션의 소스코드에 내재하고 있는 설계/구현상의 보안 취약점을 보안 전문 컨설턴트가
자동화된 진단 툴 기반으로 진단할수 있습니다.
진단 방법에는 크게 4가지가 있습니다.
-전문 보안 컨설턴트가 자동화된 진단 툴을 활용해서 소스코드를 분석
-자동화 도구로 발견하기 어려운 복잡한 취약점을 식별하기 위해
전문가의 수동 분석이 병행
-프로그램을 실행하지 않고 소스코드 자체를 분석해서 취약점을 발견
-실행중인 어플리케이션의 동작을 분석해서 런타임 취약점을 식별
진단기준에는
행정안전부 SW 개발 보안 취약점, OWASP TOP 10, CWE/SANS 25,
CVE (Common Vulnerabilities and Exposures), PCI DSS, HIPAA 등이
있습니다.
진단 대상 취약점
입력 데이터 검증 및 표현
-SQL 삽입, 크로스사이트 스크립팅(XSS), 버퍼 오버플로우 등
보안 기능
-부적절한 인증 및 인가, 중요 정보 평문 저장 및 전송, 하드코딩된 비밀번호 등
시간 및 상태
-레이스 컨디션, 무한 루프 등
에러 처리
-오류 메세지를 통한 정보 노출, 부적절한 예외 처리 등
코드 품질
-널 포인터 역참조, 부적절한 자원 해제 등
캡슐화
-잘못된 세션 관리, 디버그 코드 잔존 등
일단적인 소스코드 보안 취약점 진단 절차는 크게 5가지로 진해됩니다.
1.사전 환경 조사 및 점검 기준 선정
2. 1차 취약점 진단 및 결과 리뷰
3. 취약점 수정 가이드 제공
4. 2차 취약점 이행 점검
5. 최종 결과 리뷰 및 잔여 취약점 조치
소스코드 보안 취약점 진단을 진행하면
개발 초기 단계부터 취약점을 식별해서 보안 사고 예방,
보안 취약점의 조기 발견으로 후속 대응 비용 절감,
다양한 보안 표준 및 규제 요구사항 충족 지원,
보안성과 함께 전반적인 코드 품질 개선 등
다양한 효과를 볼수 있습니다.
소스코드 보안 취약점 진단 컨설팅 서비스의 정확도는
지속적으로 개선되고 있으며,
자동화 도구와 전문가의 수동 분석을 결합해서
높은 수준의 정확도를 제공할수 있습니다.
100% 완벽한 정확도를 보장할수는 없기 때문에,
지속적으로 모니터링과 업데이트가 필요합니다.
일반적으로 오픈소스와 상업 소스코드 모두를 지원하며,
C, C++, 자바, 자바스크립트, 파이썬 등 다양한 프로그래밍 언어로 작성된
소스코드를 분석할수 있습니다.
그리고 CVE, CWE 등 알려진 취약점 데이터베이스를 활용해서
최신 보안 위협을 탐지할수 있습니다.
아래 연락처로 연락주시면
다양한 업종의 취약점 진단 컨설팅 서비스 경험이 있는
비즈니스 파트너를 연결시켜 드리겠습니다.
