최소 단어 이상 선택하여야 합니다.
최대 10 단어까지만 선택 가능합니다.
다음과 같은 기능을 한번의 로그인으로 사용 할 수 있습니다.
NTIS 바로가기한국통신학회논문지. The Journal of Korea Information and Communications Society. 통신이론 및 시스템, v.38C no.10, 2013년, pp.831 - 840
방지호 (홍익대학교 컴퓨터공학과 실시간시스템 연구실) , 하란 (홍익대학교 컴퓨터공학과 실시간시스템 연구실)
Recently, to enhance the security of software, static analysis tools for removing weaknesses, the cause of vulnerability, have been used a lot in the software development stage. Therefore, the tools need to have the rules being able to diagnose various weaknesses. Top 5 weaknesses found in the softw...
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
핵심어 | 질문 | 논문에서 추출한 답변 |
---|---|---|
SW 개발단계에서 보안약점을 제거하는 것의 이점은? | 최근 소프트웨어(이하, SW) 보안성 강화를 위해 SW 개발단계에서 보안취약점(Vulnerability)의 원인인 보안약점(Weakness)을 제거하기 위한 정적분석 기반의 도구를 많이 활용하고 있다[1] . 이는 SW 개발단계에서 보안약점을 제거하는 것이 SW 개발완료 및 배포 이후에 발생할 수 있는 보안취약점의 패치 비용을 효과 적으로 감소[2]시킬 수 있는 방법이기 때문이다. | |
시큐어코딩 가이드의 구성은? | 시큐어코딩 가이드는 SW의 안전한 구현방법에 대한 내용으로 구성되는데, 국외 가이드의 경우 코딩규칙을 중심으로 기술되어 있으며 국내 가이드의 경우 보안약점을 중심으로 기술되어 있는 차이점이 있다. 국외 가이드의 코딩규칙을 기반으로 이에 대한 적용 여부를 분석할 수 있는 일부 진단규칙에 대한 연구도[11] 있었다. | |
주요 정보화사업으로 개발된 SW의 상위 5개의 보안약점은? | 최근 2년간(2011년~2012년), 주요 정보화사업으로 개발된 SW에서 발견된 상위 10개의 보안약점[14]은 그림 2와 같다. 그 중 ‘크로스사이트스크립트(이하, XSS)’, ‘시스템 데이터 정보노출’, ‘SQL 삽입’, ‘오류 메시지를 통한 정보노출’, ‘Public 메소드부터 반환된 Private 배열'은 상위 5개 보안약점으로 전체의 76%에 해당된다. 상위 5개의 보안약점을 중심으로 SW 개발시 해당 보안약점만 조치를 취하여도 SW 보안성이 많이 개선될 수 있다. |
R. K. McLean, "Comparing static security analysis tools using open source software," in Proc. IEEE 6th Int. Conf. SW Security Reliability Companion (SERE-C), pp. 68-74, Gaithersburg, U.S.A., June 2012.
MOPAS, A guide to secure software develop ment, Publication No.11-1311000-000330-10, Retrieved June, 1, 2012, from http://www.mopas.go.kr.
MOPAS, Guidelines on building and operating Information Systems, MOPAS Notification No.2012-25, June 2012.
M. Johns and M. Jodeit, "Scanstud: a methodology for systematic, fine-grained evaluation of static analysis tools," in Proc. IEEE 4th ICSTW, pp. 523-530, Berlin, Germany, Mar. 2011.
CERT, CERT Secure Coding Standards, Retrieved July, , 2013, from https://www.securecoding.cert.org/.
MOPAS, A guide to diagnose software weakn ess, Publication No.11-1311000-000395-14, Retrieved May, 12, 2012, from http://www.mopas.go.kr
MOPAS and NIA, eGovernment Standard Framework, Retrieved June, 10, 2013, from http://www.egovframe.kr.
SourceForge, PMD, Retrieved May, 1, 2013, from http://pmd.sourceforge.net.
SourceForge, FindBugs, Retrieved Dec., 11, 2012, from http://findbugs.sourceforge.net.
S. Kim, J. Joo, G. Lee, and G. Kwon, "Implementation of code vulnerabilities checker for secure software," in Proc. Korean Soc. Internet Inform. (KSII) Conf. 2010, pp. 605-608, Jeju Island, Korea, June, 2010.
NIST, Software Assurance Metrics And Tool Evaluation, Retrieved Feb., 20, 2013, from http://samate.nist.gov.
J. Bang and R. Ha, "Comparing open source static security analysis tools based on software weakness," in Proc. Korean Ist. Inform. Sci. Eng. Korea Computer Congress (KIISE KCC) 2013, pp. 753-755, Jeju Island, Korea, June 2013.
MOPAS and KISA, 2013 SW Weakness Dignosis Consultant Training Course Materials, 2013
*원문 PDF 파일 및 링크정보가 존재하지 않을 경우 KISTI DDS 시스템에서 제공하는 원문복사서비스를 사용할 수 있습니다.
Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문
※ AI-Helper는 부적절한 답변을 할 수 있습니다.