최소 단어 이상 선택하여야 합니다.
최대 10 단어까지만 선택 가능합니다.
다음과 같은 기능을 한번의 로그인으로 사용 할 수 있습니다.
NTIS 바로가기정보처리학회논문지. KIPS transactions on software and data engineering. 소프트웨어 및 데이터 공학, v.5 no.3, 2016년, pp.139 - 144
이기현 (단국대학교 컴퓨터학과 소프트웨어보안) , 김석모 (단국대학교 컴퓨터학과 소프트웨어보안) , 박용범 (단국대학교 전자계산학과) , 박제호 (단국대학교 전자계산학과)
When, Software is developed, Applying development methods considering security, it is generated the problem of additional cost. These additional costs are caused not consider security in many developing organization. Even though, proceeding the developments, considering security, lack of ways to get...
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
핵심어 | 질문 | 논문에서 추출한 답변 |
---|---|---|
많은 개발 조직에서 보안을 고려하지 못하는 원인은? | 소프트웨어 개발 시 보안을 고려한 개발방법의 적용은 추가비용을 발생시키고, 이러한 추가 비용은 많은 개발조직에서 보안을 고려하지 못하는 원인이 된다. 보안을 고려한 개발을 진행 하더라도, 주어진 비용 내에서 처리할 수 있는 취약점 처리량을 산출하는 방법이 부족한 실정이다. | |
유지보수단계에서 취약점을 처리하면 얼만큼의 비용이 필요한가? | 하지만 보통의 경우 소프트웨어 개발 시에 보안을 고려하지 않고 개발하고 있으며, 소프트웨어 개발 시에 보안을 고려하지 않고 개발을 할 경우에는, 소프트웨어에서 발생하는 취약점의 처리를 유지보수 단계에서 패치나 업데이트를 통해서 해결하고 있다. 유지보수단계에서 취약점을 처리 하는 것은 개발 단계에서 취약점을 처리하는 것보다 보다 많은 비용을 필요로 하게 된다[2, 3]. 이에 따라서 개발 단계에서부터 보안을 고려한 개발 방법에 대한 움직임이 활성화 되었으며[4, 5], 실제로 보안성을 고려한 개발 방법은 소프트웨어가 가진 취약점을 감소시키는 성과를 내고 있다[5]. | |
본 논문에서 제안한, 보안 취약점 처리 비용을 효율적으로 사용하여 취약점 처리량을 산출하는 방법은 어떻게 작동하는가? | 본 논문에서는 보안 취약점 처리 비용을 효율적으로 사용하여 취약점 처리량을 산출하는 방법을 제안한다. 제안한 방법에서는 소프트웨어 개발단계 중 구현 단계에 중점을 두고, 정적 분석 툴을 활용하여 CWE TOP25에 대한 보안 취약점을 찾아낸다. 찾아진 취약점은 CWE의 정보를 활용하여, 각 취약점의 위험도, 처리 비용, 비용 당 위험도를 정의하고, 처리 우선순위를 정의한다. 정의된 우선순위를 통하여 탐지된 취약점 처리에 소모되는 비용을 산출하고, 투입 비용 내에서 취약점 처리량을 제어한다. 본 방법을 적용하면, 투입 비용 내에서 최대의 취약점의 위험도를 처리할 수 있을 것으로 기대된다. |
Gartner, Now is the time for security at Application Level [Internet], https://www.sela.co.il/_Uploads/dbsAttachedFiles/GartnerNowIsTheTimeForSecurity.pdf.
Department of Homeland Security, Practical Measurement Framework for Software Assurance and Information Security [Internet], http://buildsecurityin.us-cert.gov/.
NIST, The Economic Impacts of Inadequate Infrastructure for Software Testing, 2002.
M. G. Choi and M. J. Jeon, "Analysis of Methodologies for Security Development Lifecycle for Security Enhancement System," KIMS Spring Symposium, 2010, pp.418-425. 2010.
Microsoft, Introduction to the Microsoft Security Development Life cycle [Internet], http://www.microsoft.com/security/sdl.
NIPA Software Engineering Center, Software Engineering Withe Book, ch.3, pp.176-183, 2013.
Jovanovic, Nenad, Christopher Kruegel, and Engin Kirda, "Pixy: A static analysis tool for detecting web application vulnerabilities," in Security and Privacy, 2006 IEEE Symposium on, pp.258-263. IEEE, 2006.
Sung min Ahn, Min Sik Jin, and Kyu Jin Cho, "Detecting Software security vulnerability with of Software Security Vulnerabilities," Communication of the Korean Institute of Information Scientists and Engineer, Vol.28, No.2, pp.32-36, 2010.
Mitre, CWE./SANS Top 25 [Internet], http://cwe.mitre.org/top25/.
Mitre, CWSS [Internet], http://cwe.mitre.org/cwss/cwss_v1.0.1.html.
Leung, Hareton and Zhang Fan, "Software cost estimation," Handbook of Software Engineering, Hong Kong Polytechnic University, 2002.
S. K. Choi and E. H. Choi, "Study on validating proper System Requirements by using Cost Estimations Methodology," KCSA Transactions on Convergence Security, Vol.13, No.5, pp.97-105, 2013.
HP fortify [Internet], http://www8.hp.com/h20195/v2/GetPDF.aspx/4AA5-7039ENW.pdf.
Sung hae Kim, Jin ho Joo, Gunsoo Lee, and Gi hwon Kown, "Implementation of Code Vulnerabilities Checker for Secure Software," in Proceedings of the Korean Society For Internet Information, Vol.2010, No.6, pp,605-608, 2010.
*원문 PDF 파일 및 링크정보가 존재하지 않을 경우 KISTI DDS 시스템에서 제공하는 원문복사서비스를 사용할 수 있습니다.
출판사/학술단체 등이 한시적으로 특별한 프로모션 또는 일정기간 경과 후 접근을 허용하여, 출판사/학술단체 등의 사이트에서 이용 가능한 논문
※ AI-Helper는 부적절한 답변을 할 수 있습니다.