Security Prism
소스코드 취약점 분석 솔루션
SecurityPrism은 개발 초기 단계부터 안전한 애플리케이션을 확보하기 위한 시큐어 코딩 점검 솔루션입니다. 소스 코드의 정적 분석을 통해 안전행정부 47개 필수 보안 취약점, CWE 및 OWASP 등의 국제 표준의 보안 취약점들을 검출하여 수정할 수 있도록 도와줍니다. 기업은 애플리케이션 보안 문제를 사전에 대응하여 비즈니스 위험을 줄일 수 있습니다.
1. 보안 취약점 패턴
: CWE, OWASP와 같은 국제 기준에 따른 보안 취약점 패턴 DB를 제공합니다.
2. 안전한 코딩 가이드
: 안전한 코딩 예제와 보안 취약점 코딩 예제를 제공하여 개발자는 무엇이 잘못된 코딩이고,
어떻게 수정할 수 있는지에 대한 정보를 얻을 수 있습니다.
3. 소스 코드 보안 취약점 검출
: 보안 취약점 규칙을 위반한 소스 코드를 검출 후 해당 코드 라인으로 드릴 다운할 수 있습니다.
4. 자동 룰 업데이트
: 중앙 서버에서의 룰 관리를 통해 개발자를 위한 룰 자동 업데이트를 지원합니다.
5. 룰 정의 언어
: 고급 스크립트 언어를 이용하여 새로운 점검 룰을 생성할 수 있습니다.
Security Prism기본 아키텍쳐
SecurityPrism은 내장된 보안 취약점 룰을 기반으로 소스 코드를 자동으로 점검합니다. 컴파일러 환경을 설정하거나 프로그램을 실행하지 않아도 보안 취약점 룰에 위반되는 소스 코드 라인을 정확하게 찾아줍니다.
QA 팀은 중앙 서버에서 소스 코드 보안 취약점을 일괄적으로 점검할 수 있으며, 개발자들은 자신의 PC에서 중앙 서버와 통신하며 소스 코드의 보안 취약점을 스스로 점검할 수 있습니다.
1. 사용자 편의성
컴파일러 설정과 같은 복잡한 환경 구성을 요구하지 않으며, 오직 소스 파일만 있으면 점검이 가능
2. 원활한 통합
단일 환경하에서 정적 분석 결과를 다차원적으로 활용(영향 분석, 코드 품질 및 보안 취약성) 가능
3. CWE 컴플라이언스
(1) 고급 정적 분석 엔진은 CWE에서 정의한 150여 종류 이상의 소스 코드 내 보안 약점을 감지
(2) CWE 호환성 인증을 받은 제품이며 CWE 컴플라이언스를 위해 사용될 수 있는 정적 분석 도구
|
분 야
|
고객사
|
|---|---|
|
공공 |
대한민국육군, 보건복지부, 조달청, 국민안전처, 국무조정실, 안전행정부, 경찰청 외 |
|
금융 |
삼성증권, 우체국예금보험, 현대카드, 현대캐피탈, 금융감독원, 중경농업은행 외 |
|
기업 |
교보생명, 흥국생명, 동부생명, China Mobile, T-Broad, 외 |
■ 보안 위험 감소
가트너의 보고서 (The Ratio of Hacking and Security Incident)에 따르면, 해커의 공격 중 75%는 네트워크나 서버 수준이 아닌 애플리케이션에 대한 공격입니다.
미 국방성의 연구 자료에 따르면, 소스 코드 1,000 라인 당 1건의 보안 취약 소스 코드가 존재합니다.
보안 침해 사고로 인해 발생하는 대응 비용은 상상을 초월하며 개발 초기 단계부터 보안 취약점에 대비해야 막대한 비용을 절감할 수 있습니다.
■ 비용 절감
수작업으로 소스 코드를 점검하기 위해서는 경험 있는 보안 전문가가 필요하며 시간도 많이 소모됩니다.
SecurityPrism은 안전한 코딩가이드 예제와 보안 취약점 소스 코드의 자동 검출을 통해 시간과 비용을 절감할 수 있습니다.