Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Secure Coding 의무화

No description
by

박 한일

on 28 May 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Secure Coding 의무화

무엇이 문제가 되는것일까? 개발 환경으로 인한 문제점
- 다양한 Platform과 빠른 변화

Short Time-to Market 버그 발견의 어려움

더욱더 복잡해지는 시스템으로 인한 버그
- 점점 더 새로운 기능의 추가
- 복잡한 코딩 기법으로 인해 가독성이 떨어짐

Legacy Code의 사용으로 인한 버그

개발자로 인한 문제점
- 버그 잡는 것을 QA의 문제라는 인식
- 여러명의 S/W Develop engineer가 함께 개발
- S/W Develop engineer 간의 편차
- 다양한 언어와 많은 코드량으로 인한 Code Inspection의 어려움 Secure Coding이 무엇일까 ? Secure Coding은 말 그대로 안전한 코딩 즉, 소프트웨어 개발 시 보안 취약점을 제거한 코딩을 가리킨다. 사전에 보안위협을 미리 염두에 두고 개발을 함으로써 개발 후 코드 수정에 따른 비용 및 시간을 현저히 줄일 수 있다는 장점이 있다.
2012년도에 행정안전부가 발표한 ‘정보시스템 구축ㆍ운영 지침’에 따라 공공 소프트웨어 개발 시 취약점이 없도록 보안 개발 하는, 이른바 Secure Coding의 의무화가 예고됐다. 이에 따라 올해 12월을 시작으로 단계적 의무화가 이뤄져 2015년에는 전체 공공 소프트웨어로 Secure Coding 의무화가 확대될 예정이다.
공공뿐 아니라 민간기업 사이에서도 Secure Coding이 주목을 받고 있다. 특히 금융권에서는 이미 상용 Secure Coding 진단 툴을 도입해 보안 개발을 해오고 있다고 전해진다. Contents Title Secure Coding이란 무엇일까? 진행 상황 S/W 보안약점 기준에 명시된 43개 보안약점 개인적인 견해 현재 IT 업계 종사자들의 빠른 교육 시급

IT 종사자들의 보안 교육 의무화

하지만 광범위한 IT 분야의 자료의 방대함 Q/A 20072708 박한일 Secure Coding 의무화 무엇이 문제가 되는것일까? 진행 상황 1. 입력 데이터 검증 및 표현
프로그램 입력값에 대한 검증 누락 또는 부적절한 검증, 데이터의 잘못된 형식지정으로 인해 발생할 수 있는 보안약점

2. 보안기능
보안기능(인증, 접근제어, 기밀성, 암호화, 권한 관리 등)을 적절하지 않게 구현시 발생할 수 있는 보안약점

3. 시간 및 상태
동시 또는 거의 동시 수행을 지원하는 병렬 시스템, 하나 이상의 프로세스가 동작되는 환경에서 시간 및 상태를 부적절하게 관리하여 발생할 수 있는 보안약점

4. 에러처리
에러를 처리하지 않거나, 불충분하게 처리하여 에러정보에 중요정보(시스템 등)가 포함될 때 발생할 수 있는 보안약점

5. 코드오류
타입변환 오류, 자원(메모리 등)의 부적절한 반환 등과 같이 개발자가 범할 수 있는 코딩오류로 인해 유발되는 보안약점

6. 캡슐화
중요한 데이터 또는 기능성을 불충분하게 캡슐화 하였을 때 인가되지 않은 사용자에게 데이터 누출이 가능해지는 보안약점

7. API 오용
의도된 사용에 반하는 방법으로 API를 사용하거나, 보안에 취약한 API를 사용하여 발생할 수 있는 보안약점 지정된 43개의 보안약점을 정확하게 진단하는가 ? 개인적인 견해 Q/A
Full transcript