시큐어코딩 진단

소스코드 보안 점검

기업 업무 및 공공 서비스 등이 웹 애플리케이션 서비스로 확대됨에 따라 웹 애플리케이션의 보안 취약성을 이용한사고 사례가 빈번히 발생되고 있습니다.

특히 2014년~2018년까지 4대 금융 공공기관에 대한 해킹 시도가 363만건에 달하고 정부출연기관이 받은 사이버 침해 공격은 약 3천 건에 달한다고 합니다.

동적 분석을 기반으로 한 기존 웹 애플리케이션 취약성 점검 툴(웹 스캐너)은 점검 기법의 특성상 전체 소스 코드를 기준으로 봤을 때 범위가 제한적이라는 단점을 갖고 있으며,

소스 코드 레벨에서의 취약성 점검 툴은 제공된 모든 소스 코드와 라이브러리 등에 대한 전수 점검이 가능해 최근 개발 프로세스에서 보안 점검 단계로 주목받고 있습니다.

소스코드 보안 점검의 기대효과

보안 취약성 제거

행정안전부 시큐어 코딩을 지원하는 솔루션을 도입하면 빠르고 정확하게 소스코드를 검사할 수 있습니다.

본 컨설팅으로 시큐어 코딩은 물론 소스 코드에 잠재되어 있는 오류도 탐지하기 때문에 프로그램 안정성도 크게 높일 수 있습니다.

결과적으로 소프트웨어의 보안성과 안정성이 강화되어 신뢰성있는 소프트웨어를 개발할 수 있으며, 이는 곧 고객 신뢰도 향상, 매출 증대로 이어질 수 있는 초석이 됩니다.

대상 및 범위

대상: 개발 진행 중이거나 개발이 완료된 소스코드(C / C# / C++ / JAVA, JSP)

방법: 인증된 상용 전문 검증 솔루션을 이용한 진단,

소스코드 취약점 검증 솔루션 (CC 인증, ITSCC 인증, CWE호환성 인증),

행자부 시큐어 코딩 가이드, 금감원 전자금융 감독 규정, CWE/SANS TOP 25,OWASP TOP 10  점검가능

범위: 대상 애플리케이션 보안 취약점 진단 결과에 대한 판정(정탐, 오탐, 과탐 및 사유) 지원,

컨설팅 시 전문가가 취약점 결과 설명 및 이슈 해결 방안 가이드 설명 지원,

보안 취약점 진단 결과에 대한 요약, 상세 보고서 산출물 제공,

진단 결과에 대해 질의응답 지원