시큐어 코딩 관련 용어정의

   

동적 SQL(Dynamic SQL)

프로그램의 조건에 따라 SQL문이 달라지며 프로그램 실행 시점에 전체 쿼리문이 만들어져서 데이터베이스에 요청하는 SQL 쿼리문 형태

   

   

샌드박스(Sandbox) 기법

• 어린이가 다치는 것을 방지하기 위해 만든 모래박스(Sandbox)에서 유래
• JAVA가 지원하는 기본 보안 모델로
• 외부에서 받은 프로그램을 JVM(Java Virtual Machine)이라는 보호된 영역 안에 격리시킨 뒤 동작시키는 방법으로 프로그램이 폭주하거나 악성 바이러스의 침투를 막을 수 있습니다.

   

   

서블릿(Servlet)

자바 서블릿은 자바를 사용하여 웹페이지를 동적으로 생성하는 서버 측 프로그램 혹은 그 사양

   

   

소프트웨어 개발보안

• 소프트웨어 개발과정에서 개발자 실수, 논리적 오류 등으로 인한 소프트웨어에 내재된 보안취약점을 최소화하는 한편 해킹 등 보안위협에 대응할 수 있는 안전한 소프트웨어를 개발하기 위한 일련의 과정을 의미
• 넓은 의미에서 소프트웨어 생명주기의 각 단계별로 요구되는 보안활동을 모두 포함하며,
• 좁은 의미로는 SW 개발과정에서 소스코드를 작성하는 구현단계에서 보안취약점을 배제하기 위한 '시큐어코딩(Secure Coding)'을 의미

   

소프트웨어 보안약점/소프트웨어 보안취약점

• 소프트웨어 결함, 오류 등으로 해킹 등 사이버공격을 유발할 가능성이 있는 잠재적인 보안 취약점

   

   

소프트웨어 보안약점 진단도구

개발과정에서 소스코드상의 소프트웨어 보안약점을 찾기 위하여 사용하는 도구

   

   

소프트웨어 보안약점 진단원

소프트웨어 보안약점이 남아있는지 진단하여 조치방안을 수립하고 조치결과 확인 등의 활동을 수행하는 자

   

   

스트러츠(Struts)

웹 개발을 단순화하는데 효과적인 오픈소스 프레임워크로

아파치 그룹에서 개발하여 제공하고 있습니다.

   

   

임계구역(Critical Section)

병렬컴퓨팅에서 둘 이상의 스레드가 동시에 접근해서는 안 되는 공유 자원(자료 구조 또는 장치)을 접근하는 코드

   

   

정적 SQL(Static SQL)

동적 SQL과 달리 프로그램 소스에 이미 쿼리문이 완성되어 고정되어 있는 쿼리문 형태.

   

   

해쉬함수(hash)

• 주어진 원문에서 고정된 길이의 의사난수를 생성하는 연산기법
• 해쉬함수를 통해 생성된 값을 '해쉬 값'이라고 합니다.
• MD5, SHA, SHA-1, SHA-256 등의 알고리즘이 있습니다.

   

   

AES(Advanced Encryption Standard)

• 미국 정부 표준으로 지정된 블록 암호 형식
• 이전의 DES를 대체
• 미국 표준 기술 연구소(NIST)가 5년의 표준화 과정을 거쳐 2001년 11월 26일에 연방 정보처리표준(FIPS 197)으로 발표

   

   

DES 알고리즘

• DES(Data Encryption Standard)암호 알고리즘은 암호화 키와 복호화 키가 같은 대칭키 암호 알고리즘으로 64비트의 암호화 키를 사용
• DES는 전수공격(Brute Force Attack)에 취약

   

   

HTTPS

• Hypertext Transfer Protocol over Secure Socket Layer
• 월드 와이드 웹(WWW) 통신 프로토콜인 HTTP의 보안이 강화된 버전

   

   

LDAP(Lightweight Directory Access Protocol)

TCP/IP 위에서 디렉터리 서비스를 조회하고 수정하는 응용 프로토콜

   

   

LOC

Line Of Code

   

   

개인키(Private Key)

• 공개키는 공인된 인증기관에 의해 제공되는 키값으로서 이 공개키로부터 생성된 개인키와 함께 결합되어, 메시지 및 전자서명의 암복호화에 사용
• 공개키를 사용하는 시스템을 공개키 기반구조(Public Key Infrastructure, PKI)라고 합니다

   

   

SHA(Secure Hash Algorithm)

• 해쉬알고리즘의 일종으로 MD5의 취약성을 대체하여 사용
• SHA, SHA-1, SHA-2(SHA-224, SHA-256, SHA-384, SHA-512)등의 다양한 버전이 있으며,
• 암호 프로토콜인 TLS, SSL, PGP, SSH, IPSec 등에 사용됩니다.

   

   

RC5(Rivest Cipher or Ron's Code)

1994년 RSA Security사의 Ronald Rivest에 의해 고안된 블록 암호화알고리즘

 

   

Spring 프레임워크

• 개발 효율성과 생산성을 최대로 높일 수 있도록 지원하기 위해 개발된 J2EE 기반의 오픈 소스 개발 프레임워크
• http://spring.io/

   

   

Synchronized

JAVA에서 임계코드를 동기화하기 위해서 제공하는 예약어

   

   

Umask

파일 또는 디렉터리의 권한을 설정하기 위한 유닉스 명령어

   

   

화이트 리스트(White list)

블랙 리스트(Black List)의 반대개념으로 신뢰할 수 있는 사이트나 IP주소 목록을 말하며, 즉 신뢰할 수 있는 글이나 문자열의 목록을 의미합니다.