소스 코드 보안 평가

소프트웨어 코드 설계 및 구현 결함 검색

다음 단계:

Overview

연구 결과 침입 후 패치를 설치하는 전통적인 모델에 비해 개발 주기의 초기에 보안 문제를 해결하는 것이 더 효과적이고 비용 효율적이라는 점이 밝혀졌습니다. Foundstone 응용 프로그램 보안 컨설턴트는 강력하고 효율적인 소스 코드 검사를 사용하여 개발 주기의 시작 단계에서 소프트웨어 보안 문제를 찾아냅니다.

Foundstone에서는 상용 검사 도구를 사용하여 프로세스 자동화를 지원하는 동시에 비효율적인 기술 및 자동 도구의 한계를 극복하기 위해 전문가가 직접 모든 문제를 검증하고 코드를 검사합니다. 당사의 응용 프로그램 보안 컨설턴트는 부적절한 암호화 알고리즘과 취약성으로 연결되는 일반적인 시맨틱 언어 구조 등과 같은 정책 및 모범사례에 대한 위반 사항을 찾아냅니다.

당사는 C, C++, C#, VB.NET Java, CFML, Perl, Classic ASP 및 J2EE나 .NET 프레임워크 등 개발 프레임워크 내에서 작동하는 PHP 및 Win32 및 UNIX 플랫폼 개발 분야의 전문업체입니다.

Foundstone의 소스 코드 보안 평가 역량은 자체 소프트웨어뿐만 아니라 많은 클라이언트 응용 프로그램을 대상으로 소스 코드 감사를 수행해온 SASS(Software and Application Security Service) 컨설턴트의 능력으로 입증됩니다. SASS 컨설턴트들은 상용 엔터프라이즈 소프트웨어 시스템 개발자로 근무했기 때문에 소프트웨어 개발 프로세스는 물론 보안 버그가 생기는 이유와 방식을 잘 이해하고 있습니다. 컨텍스트 분석을 사용하는 첨단 자동화 도구와 당사의 경험이 결합되어 다른 보안 컨설팅 서비스보다 훨씬 많은 코드를 더욱 빠르고 정확하며 효율적으로 검사할 수 있습니다.

주요 장점

상세한 보고서를 통해 라인, 파일 위치, 문제 및 제안 솔루션을 포함한 구체적인 취약성 정보를 제공합니다. 특정 영역의 취약성 밀도(1,000 코드 라인당) 등과 같은 코드 부분에 대한 개요와 통계도 제시합니다. 또한 재사용 가능한 구성요소나 보안 라이브러리와 같은 제안된 전략적 치료도 포함됩니다.

Methodology

응용 프로그램을 검사할 때는 우선적으로 개발 팀과 함께 위협 모델을 구축합니다. 이 위협 모델을 통해 응용 프로그램의 기능, 기술 설계 및 기존 보안 위협과 대책을 이해할 수 있습니다. 위협 모델을 통해 코드의 크기를 더 작은 검사 범위(일반적으로 원래 코드 크기의 40% ~ 60%)로 관리할 수 있습니다.

위협 모델과 응용 프로그램 아키텍처에 대한 완전한 이해를 바탕으로 Secure Software의 자동 도구를 사용하여 코드의 시맨틱 및 언어 보안 버그를 평가합니다. 일반적으로, 설계 결함과 구현 버그의 두 가지 문제 유형을 찾아냅니다. 설계 결함에는 암호화 키 생성에 부적절한 임의적 소스 선택과 같이 잘못된 설계 아이디어가 포함됩니다. 구현 버그는 일반적으로 보안 취약성으로 연결되는 구문적 또는 시맨틱 언어 구조입니다. Software Magazine은 당사의 코드 평가 작업 및 방법론을 여러 기사에서 다루었습니다.