본문 바로가기
BoB

자바 오픈소스 시큐어코딩 진단 도구

by 맑은청이 2021. 12. 5.
728x90
반응형

오픈소스는 소스코드가 공개되어 있는 소프트웨어로 누구나 자유롭게 수정 및 이용이 가능한 소프트웨어입니다. 

오늘 사용해볼 공개 소프트웨어는 '공개 SW를 활용한 소프트웨어 개발보안 점검가이드(2019.6)' 에 나오는 Spotbugs, FindSecurityBugs, PMD, Jenkins 입니다. 

 

보안 취약점 진단 목적

1) Spotbugs

Spotbugs는 자바 바이트 코드를 분석해서 버그 패턴을 발견하는 정적분석 공개소프트웨어입니다. 

자바 프로그램에서 발생 가능한 100여개의 잠재적인 에러에 대해 scariest scary, trobuling, concern의 4등급으로 구분하고 그 결과를 XML으로 저장하게 도와줍니다.  

다운로드) https://spotbugs.github.io/

2) FindSecurityBugs

자바 웹 어플리케이션에 대한 보안 감사를 지원하는 Spotbugs의 플러그인으로 FindSecurityBugs 는 200개 이상의 시그니처를 활용하여 OWASP TOP 10과 CWE를 커버하는 78개의 버그패턴(Bug Pattern)을 탐지합니다.  

 

다운로드 ) http://find-sec-bugs.github.io/

3) PMD 

PMD는 자바 프로그램의 소스코드를 분석하여 프로그램의 부적절한 부분을 찾아내고 성능을 높이도록 도와주는 도구로 시스템 개발공정의 구현 및 테스트 단계에서 정적분석 활용이 가능하다.

내용 확인)https://pmd.github.io/pmd-6.9.0/pmd_rules_java.html

 

 


4) Jenkis

Jenkins의 경우에는 CI(Continuous Integration) 도구로 보안 취약점을 진단하고 결과를 보고하는 용도로 사용됩니다. 

 

아래는 도구들의 구성도 입니다. 

1~4 부터 개발자는 개발도구에 플러그인 된 도구를 활용하여 취약점을 진단하고 이를 서버에 반영

4~8 Jenkins 서버는 주기적으로 플러그인 된 도구를 통해 정적분석(코드를 실행시키지 않는 분석)을 실시 후 분석된 결과를 보고 

9 결과를 담당자에게 전달

 

 

위 내용은 '공개 SW를 활용한 소프트웨어 개발보안 점검가이드(2019.6)'에서 확인 가능합니다. 

https://www.mois.go.kr/frt/bbs/type001/commonSelectBoardArticle.do?bbsId=BBSMSTR_000000000012&nttId=73814 

 

공개SW를 활용한 소프트웨어 개발보안 점검가이드(2019.6. 개정) | 행정안전부> 정책자료> 간행물>

행정안전부 홈페이지에 오신것을 환영합니다.

www.mois.go.kr

 

728x90
반응형

'BoB' 카테고리의 다른 글

BoB 프로젝트를 마치며  (0) 2021.12.17
1단계 교육을 마치고  (0) 2021.09.05
보안컨설팅 웹 CTF를 치르고  (2) 2021.08.21
BoB 10기 지원 꿀팁 및 면접 후기  (11) 2021.06.24
BoB 10기 보안컨설팅 트랙 합격!  (0) 2021.06.24