CC(ISO/IEC 15408)는 국제적으로 표준화된 IT 제품에 대한 정보기술보안평가 기준이다. 국가 기관에 도입되는 IT 제품은 일정 수준 이상의 평가보증등급을 획득해야만 납품이 가능하다.
CC 인증을 위한 소프트웨어를 개발할 때, 일반적인 소프트웨어 개발 생명주기는 개발 과정에서 보안약점을 제거하기 위한 지침을 제시하지 않고 있다. 따라서, 보안약점이 제거되지 않고 개발된 소프트웨어는 치명적인 상황을 초래할 수 있다. 한편, CC는 현재 평가대상에 대한 보안인증만을 할 뿐, 개발과정에서 보안약점을 고려할 수 있는 소프트웨어 개발 생명주기에 관련된 가이드라인까지 제시하지는 않고 있다.
평가대상 제품이 CC에 특화된 소프트웨어 개발 생명주기에 의해 개발된다면, 평가자와 개발자 모두 객관적인 시각으로 CC 평가에 임할 수 있다.
따라서, 본 논문은 CWE(Common Weakness Enumeration)에서 제공하는 보안약점을 기반으로 MS-SDL, McGraw’s TouchPoints, ...
CC(ISO/IEC 15408)는 국제적으로 표준화된 IT 제품에 대한 정보기술보안평가 기준이다. 국가 기관에 도입되는 IT 제품은 일정 수준 이상의 평가보증등급을 획득해야만 납품이 가능하다.
CC 인증을 위한 소프트웨어를 개발할 때, 일반적인 소프트웨어 개발 생명주기는 개발 과정에서 보안약점을 제거하기 위한 지침을 제시하지 않고 있다. 따라서, 보안약점이 제거되지 않고 개발된 소프트웨어는 치명적인 상황을 초래할 수 있다. 한편, CC는 현재 평가대상에 대한 보안인증만을 할 뿐, 개발과정에서 보안약점을 고려할 수 있는 소프트웨어 개발 생명주기에 관련된 가이드라인까지 제시하지는 않고 있다.
평가대상 제품이 CC에 특화된 소프트웨어 개발 생명주기에 의해 개발된다면, 평가자와 개발자 모두 객관적인 시각으로 CC 평가에 임할 수 있다.
따라서, 본 논문은 CWE(Common Weakness Enumeration)에서 제공하는 보안약점을 기반으로 MS-SDL, McGraw’s TouchPoints, OWASP CLASP을 참조하여 보안약점을 판별함으로써 CC에 적합한 소프트웨어 보안 개발 생명주기를 제시한다.
이 연구의 결과는 CC 인증을 목표로 하는 개발자가 보안약점이 제거된 소프트웨어 개발 과정의 가이드라인으로 활용이 가능하다.
CC(ISO/IEC 15408)는 국제적으로 표준화된 IT 제품에 대한 정보기술보안평가 기준이다. 국가 기관에 도입되는 IT 제품은 일정 수준 이상의 평가보증등급을 획득해야만 납품이 가능하다.
CC 인증을 위한 소프트웨어를 개발할 때, 일반적인 소프트웨어 개발 생명주기는 개발 과정에서 보안약점을 제거하기 위한 지침을 제시하지 않고 있다. 따라서, 보안약점이 제거되지 않고 개발된 소프트웨어는 치명적인 상황을 초래할 수 있다. 한편, CC는 현재 평가대상에 대한 보안인증만을 할 뿐, 개발과정에서 보안약점을 고려할 수 있는 소프트웨어 개발 생명주기에 관련된 가이드라인까지 제시하지는 않고 있다.
평가대상 제품이 CC에 특화된 소프트웨어 개발 생명주기에 의해 개발된다면, 평가자와 개발자 모두 객관적인 시각으로 CC 평가에 임할 수 있다.
따라서, 본 논문은 CWE(Common Weakness Enumeration)에서 제공하는 보안약점을 기반으로 MS-SDL, McGraw’s TouchPoints, OWASP CLASP을 참조하여 보안약점을 판별함으로써 CC에 적합한 소프트웨어 보안 개발 생명주기를 제시한다.
이 연구의 결과는 CC 인증을 목표로 하는 개발자가 보안약점이 제거된 소프트웨어 개발 과정의 가이드라인으로 활용이 가능하다.
CC(ISO/IEC 15408) is a global standard for the information technology security evaluation of IT products. IT products must obtain at least a certain Evaluation Assurance Level(EAL) to be supplied to governmental institutions. The general software development life cycle(SDLC) does not provide guideli...
CC(ISO/IEC 15408) is a global standard for the information technology security evaluation of IT products. IT products must obtain at least a certain Evaluation Assurance Level(EAL) to be supplied to governmental institutions. The general software development life cycle(SDLC) does not provide guidelines for the removal of the weaknesses in the software development process for CC certification, and software applications developed with security weaknesses that have not been removed can lead to fatal situations. At present, CC provides only security certification for the target of evaluation(TOE) and does not provide guidelines regarding the software development life cycle(SDLC), which considers the weaknesses in the development process. If a TOE that has been specialized for CC is developed by SDLC, both evaluators and developers can undertake CC certification from an objective standpoint. This paper presents an SDLC that is appropriate for CC by discerning weaknesses, by referring to MS-SDL, McGraw’s TouchPoints, and OWASP CLASP based on the weaknesses provided by CWE(Common Weakness Enumeration). The findings of this study can be used as guidelines for the development process of weakness-free software applications by developers aiming for CC certification.
CC(ISO/IEC 15408) is a global standard for the information technology security evaluation of IT products. IT products must obtain at least a certain Evaluation Assurance Level(EAL) to be supplied to governmental institutions. The general software development life cycle(SDLC) does not provide guidelines for the removal of the weaknesses in the software development process for CC certification, and software applications developed with security weaknesses that have not been removed can lead to fatal situations. At present, CC provides only security certification for the target of evaluation(TOE) and does not provide guidelines regarding the software development life cycle(SDLC), which considers the weaknesses in the development process. If a TOE that has been specialized for CC is developed by SDLC, both evaluators and developers can undertake CC certification from an objective standpoint. This paper presents an SDLC that is appropriate for CC by discerning weaknesses, by referring to MS-SDL, McGraw’s TouchPoints, and OWASP CLASP based on the weaknesses provided by CWE(Common Weakness Enumeration). The findings of this study can be used as guidelines for the development process of weakness-free software applications by developers aiming for CC certification.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.