Overview
Foundstone의 소스 코드 보안 평가 역량은 자체 소프트웨어뿐만 아니라 많은 클라이언트 응용 프로그램을 대상으로 소스 코드 감사를 수행해온 SASS(Software and Application Security Service) 컨설턴트의 능력으로 입증됩니다. SASS 컨설턴트들은 상용 엔터프라이즈 소프트웨어 시스템 개발자로 근무했기 때문에 소프트웨어 개발 프로세스는 물론 보안 버그가 생기는 이유와 방식을 잘 이해하고 있습니다. 컨텍스트 분석을 사용하는 첨단 자동 도구와 당사의 경험이 결합되어 다른 보안 컨설팅 서비스보다 훨씬 많은 코드를 더욱 빠르고 정확하며 효율적으로 검사할 수 있습니다.
JumpStart 코드 검토를 통해 Foundstone은 자동 코드 분석을 수동 분석으로 보완하는 목표 설정 평가를 수행합니다. 자동 도구 자체는 아키텍처의 결함을 찾아내는 데 효율적이지 않으며 오탐률이 높습니다. 경험이 풍부한 Foundstone의 SASS 컨설턴트는 이러한 단점을 극복하여 고객이 응용 프로그램의 보안 향상에 곧바로 적용할 수 있는 정확하고 상세한 결과를 고객 팀에 제공합니다.
주요 장점
Foundstone의 소프트웨어 및 응용 프로그램 보안 서비스 팀은 엔터프라이즈 소프트웨어 개발 기업에서의 경험을 바탕으로 하는 소프트웨어 보안 전문 기술을 제공합니다. 이들은 자체 소프트웨어 뿐만 아니라 많은 클라이언트 응용 프로그램을 대상으로 소스 코드 감사를 수행한 경험을 갖춘 컨설턴트들입니다. 즉, 상용 엔터프라이즈 소프트웨어 시스템 개발자로 근무했기 때문에 소프트웨어 개발 프로세스는 물론 보안 버그가 생기는 이유와 방식을 잘 이해하고 있습니다. 이들 컨설턴트가 제시하는 권장사항은 문제가 파악된 특정 코드 부분 및 해당 코드 부분과 상호 작용해야 하는 대규모 코드 모두에 적합한 솔루션을 제공합니다.
더 중요한 것은 상용 소프트웨어 개발이 기업의 팀에게 주는 부담감을 고려하여 당사의 컨설턴트들은 이론적인 면에만 국한되는 것이 아니라 실질적으로 구현 가능한 권장사항을 제시한다는 점입니다. 당사의 전문가들은 수동 코드 검토 기술과 컨텍스트 분석을 첨단 자동 도구와 함께 사용하여 더 많은 코드를 더욱 정확하고 효율적이며 효과적으로 분석할 수 있습니다.
또한 Foundstone의 코드 검토는 PCI DSS 요구사항 6.6을 충족하도록 지원합니다. 경험이 풍부한 Foundstone의 소프트웨어 컨설턴트들이 기업의 응용 프로그램 보안을 즉시 향상시키고 PCI 요구사항을 충족시키는 데 사용할 수 있는 정확하고 상세한 결과를 기업 팀에 제공할 것입니다.
Methodology
Foundstone은 이 평가를 다음과 같은 입증된 방법론을 사용하여 수행합니다.
- 기본 아키텍처 분석 및 코드 검토 개발팀의 핵심 관계자와 함께 현장에서 수행하는 Foundstone은 이 세션을 사용하여 아키텍처 결함을 찾아낼 뿐만 아니라 소스 코드에 접속하고 이를 검토하여 다음 단계로의 진행을 준비합니다.
- 그런 다음 코드의 크기와 복잡성에 따라 목표 및 시간을 정하여 코드 검토를 수행합니다. Foundstone에서 자체 개발한 상용, 오픈 소스 코드 스캐너를 사용하여 정적 분석을 수행합니다. 이 결과에 대한 감사를 실시하여 오탐지를 제거합니다. 마지막으로 응용 프로그램에 중요한 위험 영역을 파악하기 위한 분석을 수행합니다.
- Foundstone은 자동 도구로 생성된 보고서와 핵심 요약을 제출하며, 고객은 이를 통해 테스트 중인 응용 프로그램과 관련된 위험 의사 결정에 필요한 정보를 확보할 수 있습니다.
JumpStart 보안 코드 검토에는 다음이 포함됩니다.
- 위에서 설명한 도구를 사용한 자동 검색을 통해 확보한 결과를 기반으로 하는 기술 보고서
- 보고서의 결과 아키텍처 결함, 시스템 문제, Foundstone 컨설턴트가 파악한 응용 프로그램의 주요 위험 출처를 기술하는 핵심 요약. 위험 출처에는 인력, 프로세스 및 기술적 문제가 포함될 수 있습니다.
- 위험 완화를 위한 권장사항과 권장되는 다음 단계가 포함된 프레젠테이션. Foundstone은 고객과 함께 특정 대상에 적합한 수준에서 이 프레젠테이션을 제작할 수 있습니다.