소스코드 진단 툴 종류 - 스패로우, 포티파이, 코드레이

1. 오탐 - 취약점이 아닌데 진단툴이 그냥 Syntax로 판단하다보니까 취약점으로 탐지한 Case
2. 예외처리 - 사업자가 개발한 소스가 아니거나 상용소프트웨어의 소스인 경우
3. 보안약점 - 위 두 경우가 아닌 진짜 수정이 필요한 취약점

※ 2천여개 소스파일을 다 볼수는 없다. 보다보면 같은 패턴이 많이 나오기 때문에 나머지는 같은 분류로 판정하면 된다. 예외처리 건은 사업자 PM을 불러서 설명을 들어야 알 수 있는 부분이 많다. 이 때 사업자랑 서로 인정 즉, 합의가 되어야 한다.

이 과정을 통하여 3가지 분류를 확정한 다음 사업자 PM에게 보안약점을 감리기간내에 최대한 조치해줄 것을 요청한다. 그러면 사업자 측은 수정을 할 수 있는건 최대한 수정을 거친 후 다시 소스파일을 전달해준다.

그러면 이 소스파일을 가지고 2차 진단을 수행해서 감소된 취약점을 정리하여 최종 보고서에 1차 진단때 몇 개가 검출되었고 감리기간내에 몇개가 수정되었고 나머지 잔여 취약점이 몇개가 남았는지 작성해서 제출해주면 된다.

• 사업자가 소스코드 보안 취약점을 했던 소스라서 아주 Critical한 취약점은 안나온다. (ex. XSS, SQL injection)