굿모닝아이텍(주)

SPARROW SCE(시큐어코딩 관리솔루션(소스코드취약점관리))

✎ 개요

애플리케이션 개발단계부터 시큐어 코딩을 적용할 수 있도록 소스코드를 분석하여 프로그램 내에 존재하는 보안 약점을 검출하여 안전한 코드로 수정하도록 가이드 하는 시큐어 코딩 분석 솔루션입니다.

✎ 필요성

컴플라이언스 만족

정보시스템 구축운영 지침
정보보호관리체계(ISMS)
전자금융감독규정
방위사업관리규정

✎ 주요기능

다수 취약점 점검항목 지원

행정자치부 소스코드 보안약점 47개 항목 및 국가정보원 보안취약점

- SQL 삽입 등 입력데이터 분석 및 표현 관련 항목 14개
- 부적절한 인가와 취약한 알고리즘 사용 등 보안기능 관련 항목 16개
- 시간 및 상태, 에러 처리, 코드 오류 등 관련 항목 17개 항목

전자금융감독규정 제17조에 해당하는 보안약점

- 악의적인 명령어 주입 공격, 업로드 취약점, 취약한 세션 관리, 악의적인 명령 실행, 버퍼 오버플로우,부적절한 파라미터, 접근통제 취약점 등

국제 기관에서 발표한 보안취약점(CWE, CERT, SANS Top 25, OWASP Top 10)

✎ 기대효과

기존 개발 보안 현황	SPARROW SCE 도입 후 개발보안
✖ 소프트웨어 개발단계에서 보안취약점 제거 불가 ✖ 테스팅 단계의 보안 취약점외에 많은 잠재적 리스크 존재 ✖ 개발자의 코딩 습관 개선이 없어 보안약점 반복 발생 ✖ 시큐어코딩 적용 현황 파악이 불가 ✖ 개발완료 후 취약점 발견 시 30배 이상의 추가 수정비용 발생 ✖ 컴플라이언스 이슈에 선제적으로 대응하지 못함 ✖ 습관으로 인한 취약점 반복 생성으로 납기내 수정 불가	소프트웨어 개발 단계부터 보안 취약점을 제거하여 보안취약점 발생 및 침해사고 발생 방지 보안 취약점 사전 제거로 이를 악용한 취약점 발생 리스크 감소 개발자의 코딩 습관 개선으로 취약점 발생 감소 및 개발 효율 향상 시큐어코딩 적용 현황을 모니터링하고 개선 유도 가능 수시로 보안약점을 제거하므로 개발 완료 후 발견되는 취약점 감소 컴플라이언스 이슈에 선제적 대응으로 신인도 향상 개발자 올바른 코딩 습관 마련으로 납기 준수 및 보안성 향상

기존 개발 보안 현황

SPARROW SCE 도입 후 개발보안

✖ 소프트웨어 개발단계에서 보안취약점 제거 불가
✖ 테스팅 단계의 보안 취약점외에 많은 잠재적 리스크 존재
✖ 개발자의 코딩 습관 개선이 없어 보안약점 반복 발생
✖ 시큐어코딩 적용 현황 파악이 불가
✖ 개발완료 후 취약점 발견 시 30배 이상의 추가 수정비용 발생
✖ 컴플라이언스 이슈에 선제적으로 대응하지 못함
✖ 습관으로 인한 취약점 반복 생성으로 납기내 수정 불가

소프트웨어 개발 단계부터 보안 취약점을 제거하여 보안취약점 발생 및 침해사고 발생 방지
보안 취약점 사전 제거로 이를 악용한 취약점 발생 리스크 감소
개발자의 코딩 습관 개선으로 취약점 발생 감소 및 개발 효율 향상
시큐어코딩 적용 현황을 모니터링하고 개선 유도 가능
수시로 보안약점을 제거하므로 개발 완료 후 발견되는 취약점 감소
컴플라이언스 이슈에 선제적 대응으로 신인도 향상
개발자 올바른 코딩 습관 마련으로 납기 준수 및 보안성 향상

✎물품식별번호

22564613

✎ 고객사

SPARROW SCE

SPARROW SCE(시큐어코딩 관리솔루션(소스코드취약점관리))

다수 취약점 점검항목 지원

행정자치부 소스코드 보안약점 47개 항목 및 국가정보원 보안취약점

전자금융감독규정 제17조에 해당하는 보안약점

국제 기관에서 발표한 보안취약점(CWE, CERT, SANS Top 25, OWASP Top 10)

SOLUTION