@2021-09-01
10:06:15
소스코드 진단 툴 종류 - 스패로우, 포티파이, 코드레이
- 오탐 - 취약점이 아닌데 진단툴이 그냥 Syntax로 판단하다보니까 취약점으로 탐지한 Case
- 예외처리 - 사업자가 개발한 소스가 아니거나 상용소프트웨어의 소스인 경우
- 보안약점 - 위 두 경우가 아닌 진짜 수정이 필요한 취약점
※ 2천여개 소스파일을 다 볼수는 없다. 보다보면 같은 패턴이 많이 나오기 때문에 나머지는 같은 분류로 판정하면 된다. 예외처리 건은 사업자 PM을 불러서 설명을 들어야 알 수 있는 부분이 많다. 이 때 사업자랑 서로 인정 즉, 합의가 되어야 한다.
이 과정을 통하여 3가지 분류를 확정한 다음 사업자 PM에게 보안약점을 감리기간내에 최대한 조치해줄 것을 요청한다. 그러면 사업자 측은 수정을 할 수 있는건 최대한 수정을 거친 후 다시 소스파일을 전달해준다.
그러면 이 소스파일을 가지고 2차 진단을 수행해서 감소된 취약점을 정리하여 최종 보고서에 1차 진단때 몇 개가 검출되었고 감리기간내에 몇개가 수정되었고 나머지 잔여 취약점이 몇개가 남았는지 작성해서 제출해주면 된다.
- 사업자가 소스코드 보안 취약점을 했던 소스라서 아주 Critical한 취약점은 안나온다. (ex. XSS, SQL injection)
'Source Code 진단 - Java Secure Coding' 카테고리의 다른 글
Sparrow - 05. Improper_check_for_unusual_or_excepional_condition (0) | 2021.09.09 |
---|---|
Sparrow - 04. Open_redirect.js (0) | 2021.09.09 |
Sparrow - 03. Xss.Dom.js (0) | 2021.09.09 |
Sparrow - 02.NULL RETURN (0) | 2021.09.09 |
Sparrow - 01.Trust_Boundary_violation (0) | 2021.09.08 |