달력

8

« 2020/8 »

  •  
  •  
  •  
  •  
  •  
  •  
  • 1
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  •  
  •  
  •  
  •  
  •  

Software 보안 약점 목록 (47항목)

보안약점 목록

항목

입력 데이터 검증 및 표현

15

보안기능

16

시간 및 상태

2

에러처리

3

코드오류

4

캡슐화

5

API오용

2

   

   

입력 데이터 검증 및 표현

보안약점

설명

SQL삽입

검증되지 않은 외부 입력값이 SQL 쿼리문 생성에 사용되어 악의적인 쿼리문이 실행될 수 있는 보안약점

경로조작 및 자원 삽입

검증되지 않은 외부 입력값이 시스템 자원 접근경로 또는 자원제어에 사용되어 공격자가 입력값을 조직해 공격할 수 있는 보안약점

크로스사이트스크립트

검증되지 않은 외부 입력값에 의해 사용자 브라우저에서 악의적인 스크립트가 실행될 수 있는 보안약점

운영체제 명령어 삽입

검증되지 않은 외부 입력값이 운영체제 명령문 생성에 사용되어 악의적인 명령어가 실행될 수 있는 보안약점

위험한 형식 파일 웹로드

파일의 확장자등 파일형식에 대한 검증 없이 업로드를 허용할 때 발생할 수 있는 보안약점

신뢰되지 않는 URL 주소로 자동 접속연결

검증되지 않은 외부 입력값이 URL링크 생성에 사용되어 악의적인 사이트로 자동 접속될 수 있는 보안약점

XQuery 삽입

검증되지 않은 외부 입력값이 XQuery 쿼리문 생성에 사용되어 악의적인 쿼리가 실행될 수 있는 보안약점

XPath 삽입

검증되지 않은 외부 입력값이 XPath 쿼리문 생성에 사용 되어 악의적인 쿼리가 실행될 수 있는 보안약점

크로스사이트 요청 위조

검증되지 않은 외부 입력값에 의해 브라우저에서 악의적인 스크립트가 실행되어 공격자가 원하는 요청(Request)이 다른 사용자(관리자 등)의 권한으로 서버로 전송되는 보안약점

HTTP 응답분할

검증되지 않은 외부 입력값이 HTTP 응답헤더에 삽입되어 악의적인 코드가 실행될 수 있는 보안약점

정수형 오버플로우

정수를 사용한 연산의 결과가 정수값의 범위를 넘어서는 경우 프로그램이 예기치 앉게 동작될 수 있는 보안약점

보안기능 결정에 사용되는 부적절한 입력값

검증되지 않은 입력값이 보안결정(인증, 인가, 권한부여 등)에 사용되어 보안 메커니즘 우회 등을 야기할 수 있는 보안약점

메모리 버퍼 오버플로우

메모리 버퍼의 경계값을 넘는 메모리값을 읽거나 저장 하여 예기치 않은 결과를 발생시킬 수 있는 보안약점

포멧 스트링 삽입

printf() 등 외부 입력값으로 포멧스트링을 제어할 수 있는 함수를 사용할 때 발생할 수 있는 보안약점

   

   

보안기능

중요정보는 금융정보, 개인정보, 인증정보 등의 정보를 포함합니다.

보안약점

설명

적절한 인증없는 중요 기능 허용

적절한 인증 없이 중요정보(금융정보, 개인정보, 인증정보 등)를 열람(or 변경)할 수 있게 하는 보안약점

부적절한 인가

적절한 접근제어 없이 외부 입력값을 포함한 문자열로 중요자원에 접근할 수 있는 보안약점

중요한 자원에 대한 잘못된 권한 설정

중요자원(프로그램 설정, 개인정보, 민감한 사용자 데이터 등)에 대한 적절한 접근권한을 부여하지 않아 인가되지 않은 사용자에 의해 중요정보가 노출•수정될 수 있는 보안약점

취약한 암호화 알고리즘 사용

중요정보가 기밀성을 보장할 수 없는 취약한 암호화알고리즘을 사용할 경우 중요정보가 노출될 수 있는 보안약점

중요정보 평문저장

중요정보를 암호화하여 저장하지 않아 정보가 노출될 수 있는 보안약점

중요정보 평문전송

중요정보 전송 시 암호화하지 않거나 안전한 통신채널을 이용하지 않을 경우 정보가 노출될 수 있는 보안약점

하드코드된 비밀번호

소스코드 내에 비밀번호가 하드코딩 되어 소스코드 유출시 해당 인증정보가 노출될 수 있으며 주기적 비밀번호 변경등(관리자 변경등)이 용이하지 않는 보안약점

충분하지 않은 키길이 사용

데이터의 기밀성, 무결성 보장을 위해 사용되는 키의 길이가 충분하지 않아 중요정보 누출이나 무결성이 깨질 수 있는 보안약점

적절하지 않은 난수값 사용

예측 가능한 난수값 사용으로 공격자로 하여금 다음 숫자 등을 예상하여 시스템 공격이 가능한 보안약점

하드코드된 암호화 키

소스코드 내에 암호화키가 하드코딩 되어 소스코드 유출 시 암호화키의 누출 우려와 키 변경이 용이하지 않는 보안약점

취약한 비밀번호 허용

비밀번호 조합규칙(영문 대소문자, 숫자, 특수문자 등) 미흡 및 길이가 충분하지 않아 비밀번호가 노출될 수 있는 보안약점

사용자 하드디스크에 저장 되는 쿠키를 통한 정보노출

쿠키(셰션 ID, 사용자 권한정보 등 중요정보)를 사용자 하드디스크에 저장함으로써 개인정보 등 중요정보가 노출될 수 있는 보안약점

주석문 안에 포함된 패스워드 등 시스템 중요정보

소스코드내의 주석문에 인증정보 등 시스템 중요정보가 포함되어 있어 소스코드 유출시 노출될 수 있는 보안약점

솔트(Salt)없이 일방향해쉬 함수사용

공격자가 솔트(salt) 없이 생성된 해쉬값을 얻게된 경우, 미리 계산된 레인보우 테이블을 이용하여 원문을 찾을 수 있는 보안약점

무결성 검사없는 코드 다운로드

원격지로부터 소스코드 또는 실행파일을 무결성 검사 없이 다운로드받고 이를 실행하는 경우, 공격자가 악의적인 코드를 실행할 수 있는 보안약점

반복된 인증시도 제한 기능 부재

인증시도의 수를 제한하지 않아 공격자가 무작위 인증시도를 통해 계정접근 권한을 얻을 수 있는 보안약점

   

   

시간 및 상태

보안약점

설명

경쟁조건-검사시점과 사용시점(TOCTOU)

멀티 프로세스 환경에서 자원을 검사하는 시점과 사용하는 시점이 달라서 발생하는 보안약점

종료되지 않는 반복문 또는 재귀함수

종료조건 없는 제어문 사용으로 반복문 또는 재귀 함수가 무한루프에 빠져 무한 반복될 수 있는 보안약점

   

   

에러처리

보안약점

설명

오류메시지를 통한 정보 노출

개발자가 생성한 오류 메시지에 시스템 내부구조, 시스템 정보 등이 포함되어 민감한 정보가 노출될 수 있는 보안약점

오류상황 대응부재

시스템에서 발생하는 오류 상황을 처리하지 않아 프로그램 실행정지등 의도하지 않은 상황이 발생할 수 있는 보안약점

부적절한 예외처리

예외에 대한 부적절한 처리로 인해 의도하지 않은 상황이 발생될 수 있는 보안약점

   

코드오류

보안약점

설명

Null Pointer 역참조

Null로 설정된 변수의 주소값을 참조했을 때 발생할 수 있는 보안약점

부적절한 자원해제

사용된 자원을 적절하게 해제 하지 않으면 자원 누수 등이 발생하게 되어 결국엔 자원이 부족하게되어 새로운 입력을 처리할 수 없게 되는 보안약점

해제된 자원사용

해제된 자원를 참조하게 되면 예상치 못한 값 또는 코드를 실행하게 되어 예상치 못한 결과가 발생하게 되는 보안약점

초기화되지 않은 변수 사용

변수를 초기화하지 않고 사용하여 예기치 않은 오류가 발생될 수 있는 보안약점

   

   

캡슐화

보안약점

설명

잘못된 세션에 의한 데이터 정보 노출

잘못된 셰션에 의해 인가되지 않은 사용자에게 중요정보가 노출될 수 있는 보안약점

제거되지 않고 남은 디버그 코드

디버깅을 위해 작성된 코드를 통해 인가되지 않은 사용자에게 중요정보가 노출될 수 있는 보안약점

시스템데이터 정보노출

사용자가 볼 수 있는 오류 메시지나 스택 정보에 시스템 내부 데이터나 디버깅 관련 정보가 출력되는 보안약점

Public메소드로 부터 반환된 Private 배열

Private로 선언된 배열을 Public으로 선언된 메소드를 통해 반환(return)하게되면 그 배열의 레퍼런스가 외부에 공개되어 외부에서 배열을 수정할 수 있게 되는 보안약점

Private 배열에 Public데이터 할당

Public으로 선언된 데이터 또는 메소드의 파라미터가 Private로 선언된 배열에 저장되면 Private배열을 외부에서 접근할 수 있게 되는 보안약점

   

   

API오용

보안약점

설명

DNS lookup에 의존한 보안결정

DNS는 공격자에 의해 DNS 스푸핑 공격 등이 가능함으로 보안결정을 DNS이름에 의존할 경우 보안결정 등이 노출되는 보안약점

취약한 API 사용

취약하다고 알려진 함수를 사용함으로써 예기치 않은 보안위협에 노출될 수 있는 보안약점

 

'Security > SecureCoding' 카테고리의 다른 글

Software 복잡도와 보안  (0) 2015.03.09
시큐어 코딩 관련 용어정의  (0) 2015.03.02
SW 보안약점(Detail)  (0) 2015.03.01
SW 보안약점 유형  (0) 2015.02.27
정보화사업 감리법인 보안활동  (0) 2015.02.26
정보화사업 수주사업자 보안활동  (0) 2015.02.25
Posted by codedragon codedragon

댓글을 달아 주세요

   

소프트웨어 보안약점 유형

SW 보안약점은 입력데이터 검증 및 표현, 보안기능, 시간 및 상태, 에러 처리, 코드오류, 캡슐화, API오용 유형으로 분류

유형

내용

입력데이터 검증 및 표현

프로그램 입력값에 대한 검증 누락 또는 부적절한 검증, 데이터의 잘못된 형식지정으로 인해 발생할 수 있는 보안약점

  • SQL 삽입,
  • 경로 조작 및 자원 삽입,
  • 크로스사이트 스크립트 등

보안기능

보안기능(인증, 접근제어, 기밀성, 암호화, 권한 관리 등)을 적절하지 않게 구현한 경우 발생할 수 있는 보안약점

  • 부적절한 인가,
  • 중요정보 평문저장,
  • 하드코드된 비밀번호

시간 및 상태

동시/거의동시 수행을 지원하는 병렬시스템 또는 하나 이상의 프로세스가 동작되는 환경에서 시간 및 상태를 부적절하게 관리할 경우 발생할 수 있는 보안약점

  • 경쟁조건: 검사시점과 사용시점(TOCTOU)

에러처리

에러를 처리하지 않거나 불충분하게 처리하여 에러정보에 중요정보(시스템 정보 등)가 포함될 때 발생할수있는 보안약점

  • 오류상황 대응 부재,
  • 오류 메시지를 통한 정보노출

코드오류

타입 변환오류, 자원(메모리 등)의 부적절한 반환 등과 같이 개발자가 범할 수 있는 코딩오류로 인해 발생할 수 있는 보안약점.

  

  • Null Pointer 역참조,
  • 부적절한 자원 해제

캡슐화

중요한 데이터 또는 기능을 불충분하게 캡슐화 했을 때 인가되지 않은 사용자에게 데이터가 누출될 수 있는 보안약점

  • 제거되지 않고 남은 디버거 코드
  • 시스템 데이터 정보노출

API 오용

  

의도된 사용에 반하는 방법으로 API를 사용하거나 보안에 취약한 API를 사용하여 발생할 수 있는 보안약점

  • DNS lookup에 의존한 보안결정

 

Posted by codedragon codedragon

댓글을 달아 주세요

   

정보화사업 감리법인 보안활동

정보화사업 추진시 준수 및 참고해야할 사업단계별 보안활동

   

   

1) 감리계획 수립 및 협의 단계.

감리법인은 발주자의 개발보안 요구사항을 수용할 수 있는 계획을 수립합니다.

   

  • 진단도구 적용 및 투입 진단인력 및 일정 등을 포함하여 계획 수립
  • 감리착수회의

   

   

2)SW 개발보안 중간점검

감리법인은 사업사의 개발 내용에 관한 중간점검을 수행합니다.

   

  • 사업자 SW 개발보안 계획 점검
  • SW 개발보안 수행 계획 대비 실적 점검

   

   

3)SW 개발보안 최종확인.

감리법인은 사업자의 개발 내용에 관한 최종확인을 합니다.

   

  • SW 개발보안 준수여부 점검
  • SW 개발보안 감리보고서 작성

   

'Security > SecureCoding' 카테고리의 다른 글

SW 보안약점(Detail)  (0) 2015.03.01
SW 보안약점 유형  (0) 2015.02.27
정보화사업 감리법인 보안활동  (0) 2015.02.26
정보화사업 수주사업자 보안활동  (0) 2015.02.25
정보화사업 발주기관 보안활동  (0) 2015.02.24
정보화사업 단계/활동  (0) 2015.02.23
Posted by codedragon codedragon

댓글을 달아 주세요

   

정보화사업 수주사업자 보안활동

정보화사업 추진시 준수 및 참고해야할 사업단계별 보안활동

   

   

1)사업자선정 •계약단계

사업자는 제안요청서의 내용을 반영하여 제안서와 사업수행계획서를 작성합니다.

   

  • SW 개발보안 적용계획(안) 수립
  • 제안서와 사업수행계획서에 SW 개발보안 적용계획 명시

   

   

2) 개발 •구축

사업자는 제안서의 내용이 충실히 수행될 수 있도록 필요한 개발보안 활동을 수행합니다.

   

  • 개발자 대상의 SW 개발보안 사전교육 • 수강
  • SW 개발보안가이드준수
  • SW보안약점 진단 및 제거 조치(검증된 진단도구 적용)
  • 보안약점 진단 및 제거에 관한 증적자료 작성

   

   

3) 감리

사업자는 감리업체의 진단보고서를 토대로 개발보안 활동이 충실히 수행될 수 있도록 합니다.

   

  • SW 보안약점 관련 시정요구 이행

   

   

4) 검사•종료

사업자는 사업종료를 위해 개발보안과 관련된 제반 조치 사항을 수행합니다.

   

  • SW 보안약점이 제거된 사업결과물 및 증빙서류등 제출

   

Posted by codedragon codedragon

댓글을 달아 주세요

   

정보화사업 발주기관 보안활동

정보화사업 추진시 준수 및 참고해야할 사업단계별 보안활동

   

   

1)기획 ·검토, 계획수립

행정기관등의 발주자는 신규 사업을 발굴하여 사업계획서를 작성 및 검토합니다.

사업계획서에는 수립된 SW 개발보안적용계획이 반영되어야 합니다.

   

  • 안전행정부주최 'SW 개발보안교육'수강(권장)
  • SW 개발보안 적용계획 수립
  • SW 개발보안 적용 및 결과 확인방법 마련
    • 감리 수행시, 감리법인 활용계획 수립
    • 감리 미수행시, 자체인력 또는 SW 보안약점 진단원 활용계획 수립

   

   

2) 사업자 선정 계약

행정기관등의 발주자는 제안요청서에 근거하여 사업자 선정 및 계약을 수행해야 합니다.

   

  • 제안요청서에 'SW 개발보안'요구사항 반영
  • 제안서 평가를 통해 요구사항을 만족하는 사업자 션정

   

   

3) 개발 구축 

행정기관등의 발주자는 전개된 사업자와 감리법인, SW 보안약점 진단원 등에게 제안요청서에 나와 있는 SW 개발보안 활동을 충실히 수행할 수 있도록 요청해야 합니다.

   

  • SW 개발보안 준수여부 점검

   

   

4) 감리

행정기관등의 발주자는 진단능력을 갖춘 감리법인 및 SW 보안약점 진단원 등을 선정합니다.

   

  • 감리법인 선정 및 계획 협의
  • (감리 비대상) SW 보안약점 진단원 등 외부전문가 선정 및 계획 협의

   

   

5) 검사 ·종료 

행정기관등의 발주자는 사업종료와 관련하여 SW개발보안 준수여부를 최종 확인합니다.

   

  • 사업결과물 및 감리보고서 등 중요서류 확인
  • 증빙서류의 검토를 통한 SW 개발보안 준수여부 최종 확인

   

Posted by codedragon codedragon

댓글을 달아 주세요

정보화사업 단계/활동

   

행정기관등의 정보화사업 단계

기획 · 검토, 계획수립, 사업자선정 · 계약, 개발 및 구축, 감리, 검사 · 종료 단계로 구분

   

   

정보화사업 주체별 보안활동

사업단계

발주기관

사업자

감리법인

기획·검토

(SW 개발보안 교육수강)

-

-

계획수립

SW 개발보안계획수립

-

-

사업자 선언 및 계약

  • 제안요청서에 SW개발 보안 요구사항 반영
  • SW개발보안 능력을 갖춘 사업자 선정

SW개발보안 관련 기술수준 및 적용계획 명시

  • 감리계획 수립 및 협의
  • 진단도구 적용 및 진단원 투입여부등 포함

개발 및 구축

  • SW개발보안 준수여부 점검
  • 사전교육 실시, 자체진단/제거 활동, 진단도구 적용여부 등
  • SW개발보안 교육수강
  • SW개발보안 가이드 준수
  • SW보안약점 진단 및 제거 조치
  • 검증된 진단도구 적용
  • SW개발보안 중간점검
  • 사전교육수강, 진단도구 적용여부 등

감리

  • SW 개발보안 진단능력을 갖춘 감리법인 선정
  • 검증된 진단도구 및 진단원 활용여부 등 고려

SW보안약점 관련 시정 요구 이행

  • SW개발보안 최종확인
  • 보안 약점 존재여부 확인 및 필요시 시정요구 및 이행점검

검사 및 종료

  • 사업결과물 및 증빙서류 등 최종 확인
  • 필요시 전문가 활용

SW보안약점이 제거된 사업결과물 및 증빙서류 등 제출

-

 

Posted by codedragon codedragon

댓글을 달아 주세요

   

SW 개발보안 체계

   

SW 개발보안관련 활동주체는 발주기관(행정기관등), 사업자, 감리법인 등이며

각 활동주체별로 잘 정의된 개발보안 활동과 서로간의 유기적인 협력이 필요합니다

   

   

활동 주체별 개발보안의 역할

구분

내용

기관

안전행정부

•국정원과 협의하여 'SW 개발보안 가이드' 공지

•진단원 양성과 관련된 업무 수행

•교육 및 자격부여, 자격유무 확인 등

KISA

(정책·기술지원)

발주기관

•SW 개발보안 계획 수립

•제안요청서에 'SW 개발보안 적용 명시

•SW 개발보안 능력을 갖춘 사업자 선정

•SW 개발보안 준수여부 점검

•SW 개발보안 진단능력을 갖춘 감리법인 선정

•사업종료 결과물 및 증빙서류 등 최종 확인

발주자

사업자

•SW 개발보안 관련 기술수준 및 적용계획 명시

•개발인력 대상 SW 개발보안 관련 교육 실시

•SW 개발보안 가이드를 참조하여 개발

•자체적으로 보안약점 진단 및 제거

•SW 보안약점 관련 시정요구 이행

•SW 보안약점이 제거된 사업결과물 및 증빙서류 등 제출

 -

감리법인

•감리계획수립 및 협의

•SW 보안약점 제거여부 진단 및 조치결과 확인

진단도구 사용시, CC인증(국정원)받은 도구 사용('2014년 1월부터 적용)

진단원활용

   

   

출처

안행부, SW개발보안가이드

Posted by codedragon codedragon

댓글을 달아 주세요

   

목적

구분

설명

목적

정보화 사업 수행 시 안전한 SW 개발을 위한 시큐어코딩 기법 제시

대상

전자정부 SW 개발자

범위

신규로 개발되거나 유지보수로 변경되는 소스코드 개발시 적용

(행정기관등이 추진하는 정보화 사업 단계 중 구현단계에 초점) 

   

행정기관 등

전자정부법 제2조에서 정의하는 행정기관, 공공기관

구분

설명

행정기관

  • 국회·법원·헌법재판소·중앙선거관리위원회의 행정사무를 처리하는 기관,
  • 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다. 이하 같다) 및 그 소속 기관,
  • 지방자치단체

공공기관

  • 「공공기관의 운영에 관한 법률」 제4조에 따른 법인·단체 또는 기관
  • 「지방공기업법」에 따른 지방공사 및 지방공단
  • 특별법에 따라 설립된 특수법인
  • 「초·중등교육법」, 「고등교육법」 및 그 밖의 다른 법률에 따라 설치된 각급 학교
  • 그 밖에 대통령령으로 정하는 법인·단체 또는 기관

http://www.law.go.kr/%EB%B2%95%EB%A0%B9/%EC%A0%84%EC%9E%90%EC%A0%95%EB%B6%80%EB%B2%95/%EC%A0%9C2%EC%A1%B0/

   

   

가이드 구성

구분

설명

2장

SW 개발보안 의무화 대상 · 범위 · 기준과 정보화사업 단계별 · 기관별(주체별) 개발보안활동 소개

3장

SW 보안약점에 대한 설명 및 보안대책과 JAVA 및 C 언어로 작성된 안전 하지 않은 코딩 예제 기반의 시큐어코딩 예시 소개

부록

용어정리,

SW 보안약점 항목,

참고자료

   

   

활용

구분

설명

발주자

SW 보안약점 진단 • 제거 요구사항 도출시 활용

사업자

시큐어코딩을 적용한 SW 개발시 활용

기 타

SW 보안약점 제거 진단 및 조치 확인 시 활용

 

Posted by codedragon codedragon

댓글을 달아 주세요

SW 개발보안

SW 개발보안은 해킹 등 사이버공격의 원인인 보안약점을 SW 개발단계에서 사전에 제거하고 SW 개발생명주기의 각 단계별로 수행하는 일련의 보안활동을 통하여 안전한 SW를 개발 · 운영하기 위한 목적으로 적용하는 개발체계입니다.

   

가이드에는

  • SW 개발과정 중 소스코드 구현단계에서 보안약점을 배제하기 위한 '시큐어코딩' 중심
  • 발주자, 사업자, 감리법인 등 다양한 참여 주체가 기획 · 검토 단계부터 개발, 검사 · 종료에 이르는 다양한 단계에서의 수행해야 할 활동을 포괄적으로 정의

   

   

20138월에 개정 · 고시된 '행정기관및 공공기관 정보시스댐 구축 · 운영 지침(안전행정부고시 2013-36)'

개발보안과 관련하여 행정기관 및 공공기관이 정보화사업을 추진할 경우 준수해야 할 SW 개발보안 기준 및 절차 등이 정의되어 있습니다.

   

구분

설명

비고

대상

• 정보시스템 감리대상 정보화사업

-('14.1월) 사업규모 20억원 이상 ('15.1월) 감리대상 전사업

단계적확대

범위

•소스코드(신규개발 전체, 유지보수로 변경된 부분)

상용SW 제외

기준

•SW 보안약점 기준(SQL 삽입 등 47개 항목)

-행정기관 및 공공기관 정보시스템 구축 • 운영 지침 '별표3'

정보시스템 감리기훈(제110조 제11항 세부검사항목)에 포함

진단기준

기타

• 감리법인이 진단도구 사용시, 국정원장이 인증한 도구 사용

-정보보호시스템 평가 • 인증 지침

'14.1월부터 적용

기타

• 감리법인은 SW 보안약점 진단시, 진단원을 우선적으로 배치

-감리대상外 사업은 자체적으로 SW 보안약점 진단 • 제거결과 확인

-행정기관 및 공공기관 정보시스템 구축 • 운영 지침 '별표4'

진단원활용

   

'행정기관및 공공기관 정보시스템 구축운영 지침'에 따른 SW 개발보안 적용 의무화

구분

설명

2014년1월~

정보시스템 감리대상 정보화사업(사업규모 20억 원 이상〉을 대상으로 시행

~2015년까지

전체 감리대상 정보화사업으로 의무화 대상을 확대

   

비용대비 효과를 고려하여 개발단계 중 구현과정에서 SW보안취약점의 원인이 될수 있는 SW 보안약점이 발생하지 않도록 SW 개발자가 안전하게 SW를 구현할 수 있는 시큐어코딩 기법 가이드

Posted by codedragon codedragon

댓글을 달아 주세요

   

   

국내의 개발보안 현황

구분

현황

2009년~

SW 개발단계에서 SW 보안약점을 진단하여 제거하는 SW 개발보안 (시큐어코딩) 관련 연구 진행

2009년~2011년

전자정부지원사업을 대상으로 SW 보안약점 진단 시범사업 수행

2012년~

SW 보안약점 제거 · 조치 성과에 따라 2012년SW 개발보안 제도가 도입되어 12월부터는 행정/공공기관들의 시큐어코딩 의무제 시행

 

Posted by codedragon codedragon

댓글을 달아 주세요