DOI QR코드

DOI QR Code

정적 분석 툴을 이용한 비용 기반의 취약점 처리 방안

Cost Based Vulnerability Control Method Using Static Analysis Tool

  • 투고 : 2015.11.30
  • 심사 : 2016.01.22
  • 발행 : 2016.03.31

초록

소프트웨어 개발 시 보안을 고려한 개발방법의 적용은 추가비용을 발생시키고, 이러한 추가 비용은 많은 개발조직에서 보안을 고려하지 못하는 원인이 된다. 보안을 고려한 개발을 진행 하더라도, 주어진 비용 내에서 처리할 수 있는 취약점 처리량을 산출하는 방법이 부족한 실정이다. 본 논문에서는 보안 취약점 처리 비용을 효율적으로 사용하여 취약점 처리량을 산출하는 방법을 제안한다. 제안한 방법에서는 소프트웨어 개발단계 중 구현 단계에 중점을 두고, 정적 분석 툴을 활용하여 CWE TOP25에 대한 보안 취약점을 찾아낸다. 찾아진 취약점은 CWE의 정보를 활용하여, 각 취약점의 위험도, 처리 비용, 비용 당 위험도를 정의하고, 처리 우선순위를 정의한다. 정의된 우선순위를 통하여 탐지된 취약점 처리에 소모되는 비용을 산출하고, 투입 비용 내에서 취약점 처리량을 제어한다. 본 방법을 적용하면, 투입 비용 내에서 최대의 취약점의 위험도를 처리할 수 있을 것으로 기대된다.

키워드

취약점 처리;비용 기반;정적 분석

참고문헌

  1. Gartner, Now is the time for security at Application Level [Internet], https://www.sela.co.il/_Uploads/dbsAttachedFiles/GartnerNowIsTheTimeForSecurity.pdf.
  2. Department of Homeland Security, Practical Measurement Framework for Software Assurance and Information Security [Internet], http://buildsecurityin.us-cert.gov/.
  3. NIST, The Economic Impacts of Inadequate Infrastructure for Software Testing, 2002.
  4. M. G. Choi and M. J. Jeon, "Analysis of Methodologies for Security Development Lifecycle for Security Enhancement System," KIMS Spring Symposium, 2010, pp.418-425. 2010.
  5. Microsoft, Introduction to the Microsoft Security Development Life cycle [Internet], http://www.microsoft.com/security/sdl.
  6. NIPA Software Engineering Center, Software Engineering Withe Book, ch.3, pp.176-183, 2013.
  7. Jovanovic, Nenad, Christopher Kruegel, and Engin Kirda, "Pixy: A static analysis tool for detecting web application vulnerabilities," in Security and Privacy, 2006 IEEE Symposium on, pp.258-263. IEEE, 2006.
  8. Sung min Ahn, Min Sik Jin, and Kyu Jin Cho, "Detecting Software security vulnerability with of Software Security Vulnerabilities," Communication of the Korean Institute of Information Scientists and Engineer, Vol.28, No.2, pp.32-36, 2010.
  9. Mitre, CWE./SANS Top 25 [Internet], http://cwe.mitre.org/top25/.
  10. Mitre, CWSS [Internet], http://cwe.mitre.org/cwss/cwss_v1.0.1.html.
  11. Leung, Hareton and Zhang Fan, "Software cost estimation," Handbook of Software Engineering, Hong Kong Polytechnic University, 2002.
  12. S. K. Choi and E. H. Choi, "Study on validating proper System Requirements by using Cost Estimations Methodology," KCSA Transactions on Convergence Security, Vol.13, No.5, pp.97-105, 2013.
  13. HP fortify [Internet], http://www8.hp.com/h20195/v2/GetPDF.aspx/4AA5-7039ENW.pdf.
  14. Sung hae Kim, Jin ho Joo, Gunsoo Lee, and Gi hwon Kown, "Implementation of Code Vulnerabilities Checker for Secure Software," in Proceedings of the Korean Society For Internet Information, Vol.2010, No.6, pp,605-608, 2010.

과제정보

연구 과제번호 : 자율지능형 지식/기기협업 프레임워크 기술 개발

연구 과제 주관 기관 : 정보통신기술진흥센터