Application: 소스코드 분석(시큐어코딩)

> SOLUTION > Application: 소스코드 분석(시큐어코딩)

개요
솔루션

HP Fortify Software Security Center는 개발, 품질보증(Quality Assurance), 운영 애플리케이션 보안 취약점에 대한 전사적 가시성을 제공 합니다.

특징

업계 최다 개발 언어 및 모바일 언어, IDE Plug-ins 완벽 지원
  • Adobe®, ASP.NET, C/C++, C#, Classic ASP, HTML(HTML5), JAVA, JAVA Script/AJAX, JSP, PHP, PL/SQL, MS T-SQL, VB for Applications, VB Script, VB.NET, XML, Flex, 환경(Apache, J2EE, EJB, .NET, Weblogic 등), Android JAVA, iOS Objective-C, 프리미엄언어(COBOL, ColdFusion, Python, ABAP)
  • VS.net, Eclipse, IBM WSAD/RAD, Borland JBuilder
소프트웨어 개발 수명 주기(SDLC: Software Development Life Cycle) 전반에 보안 적용
- 이미 구축되어 있거나 개발 중인 또는 계획하고 있는 모든 애플리케이션의 리스크 제거
국내외 컴플라이언스 지원
- 안행부 소프트웨어 보안 약점 진단 가이드
- OWASP Top 10, OWASP Mobile Top 10
- PCI, CWE, SANS 등
세계 최고의 소프트웨어 보안 연구 조직 개발
- 2,000여명의 보안 전문가로 구성된 세계 최고의 연구 조직 참여
- 주기적인 시큐어코딩 룰 및 개발 언어 분석 기능 업데이트
- OWASP TOP 10, 모바일 TOP 10, IOT TOP 10 등 프로젝트 멤버 및 통계 자료 제공
- 분기단위 업데이트 지원(평균 10~20여개 취약점 및 1,000여개 API 업데이트)
글로벌 최고 수준의 모바일 시큐어코딩 진단 성능
- 안드로이드 JAVA, 아이폰 Objective-C 동시 지원
- 업계 최다 진단 기법 지원(데이트흐름, 제어흐름, 구조, 의미, 환경 분석)
국내외 엔터프라이즈 전반에 적용된 검증된 솔루션
- 국내 제 1,2 금융권 및 통신사 최다 도입
- 그룹사 시큐어코딩 표준 선정 및 최다 도입
- 제조, 유통, 전자상거래, 포털, 소프트웨어 개발 등 다양한 사업 분야 최다 도입
기대효과
- 기존에 구축되어 있는 소프트웨어 내부의 당면 보안 문제 해결
- 자체 개발 소프트웨어 또는 외주 개발 소프트웨어의 시스템 리스크(Systemic Risk) 감소
- 다중 분석 엔진 적용으로 취약점 분석 결과의 신뢰도 및 정확도 향상
- 시스템 안정성 및 유연성 확보, 체계적인 시스템 개발 및 운영 가능
- 내/외부 보안지침에 따른 규제 요건 준수
- 소프트웨어 취약성을 파악하고 해결하는 데 소요되는 시간을 단축
- 개발, 수정, 규제준수 관련 비용 절감
- 애플리케이션 보안 절차를 자동화함으로써 생산성 대폭 증대
- 보안과 관련된 지연을 최소화함으로써 TTM(Time To Market) 가속화
- 국제 권고 사항 기준의 강력한 성능 및 기능 제공
구축방안
구축사례
금융사
문제점
  • 웹 애플리케이션을 경유하여 접근되는 환경을 고려하지 않은 레거시 코드베이스
  • 보안이 명료하지 않은 아웃소싱 개발
  • 개발 그룹의 제한된 보안 전문 지식
  • 짧은 개발기간, 기능중심의 개발
필요점
  • 소스코드 분석
  • 동적 보안 테스트
  • 모의해킹, 웹스캐닝, 공격 경로 추적
  • 실시간 보호.모니터링
적용 내역
금융사에서 운영중인 애플리케이션을 위해 소스코드 정적분석, 애플리케이션 실행 분석, 실시간 탐지/방어를 포괄 하는 Fortify Software Security Center 구축
통신사
문제점
  • 웹 애플리케이션, 휴대폰등의 접근의 특성이 고려 되지 않은 레거시 시스템
  • 무선 디바이스를 통한 다양한 업무
  • 개발팀의 제한적인 보안 지식
  • 짧은 개발기간, 기능중심의 개발
필요점
  • 소스코드 분석
  • 동적 보안 테스트 : 모의해킹, 웹스캐닝, 공격 경로 추적
  • 실시간 보호 - 모니터링
적용 내역
통신사에서 운영중인 애플리케이션을 위해 소스코드 정적분석, 애플리케이션 실행 분석, 실시간 탐지/방어를 포괄 하는 Fortify Software Security Center 구축
카드사
문제점
  • SQL Injection과 같은 취약점이 존재하는 불안전한 개발은 PCI 감사를 통과 하지 못하는 상위 5대 문제점 중에 하나이다. (Forrester Research)
  • 보안시스템과 애플리케이션을 개발하고 운영 하는 2006년 PCI의 섹션6는 회사들이 당면한 9번째 큰 문제 였고, 2007년에는 2번째로 큰 문제 였다. (Qualys)
  • 85 K의 포렌식 셈플에에 의하면, Cross-site scripting은 톱 10 취약점 중 하나였다. (Top Tier US Forensics company)
  • 56%퍼센트의 기업은 안전한 애플리케이션과 시스템 개발을 실패하기 때문에 실패한다. (VeriSign)
적용 내역
개발/운영중인 애플리케이션의 보안성을 위해 소스코드 분석, 동적분석, 웹방화벽의 기능을 Fortify Software Security Center를 통해 통합된 형태로 구축
정부기관
문제점
- 늘어나는 대규모 공격
- 군대, 정보기관, 정부 등의 중요 기관에서 사용하는 소프트웨어의 증가
- 보안이 고려되지 않는 외주 개발
- 웹 애플리케이션, 휴대폰 등의 접근의 특성이 고려 되지 않은 레거시 시스템
적용 내역
개발 및 운영중인 애플리케이션을 위해 소스코드 정적분석, 애플리케이션 실행 분석, 실시간 탐지/방어를 포괄 하는 Fortify Software Security Center 구축
소프트웨어 제작사
문제점
- 기능중심의 개발
- 고객들로부터의 소프트웨어의 보안성 검증 요구
- 증가하는 소프트웨어 침해 사고
적용 내역
개발 및 운영중인 애플리케이션을 위해 소스코드 정적분석, 애플리케이션 실행 분석, 실시간 탐지/방어를 포괄 하는 Fortify Software Security Center 구축
문의하기