이 문서는 커브(CURVC)에서 개발한 행정안전부 소프트웨어 보안약점 진단 플러그인 정보를 공유하기 위해 작성되었다. 


주요기능

커브(CURVC)에서 개발한 행정안전부 소프트웨어 보안약점 진단 플러그인의 주요 기능은 다음과 같습니다. 


행정안전부 소프트웨어 보안약점 Java 33개 룰(Rule) 지원

행정안전부 소프트웨어 보안약점 진단 플러그인은 총 47 개의 보약 약점 중 소프트웨어 도구로 찾을 수 있는 33개의 보안 약점을 지원하고 있습니다. 다음은 플러그인에서 행정안전부 소프트웨어 보안약점 지원 룰셋을 보여주고 있습니다. 

CategoriesRuleTypeSeverity
입력데이터 검증 및 표현1.1 SQL 삽입 Bug Major
1.2 경로 조작 및 자원 삽입 Bug Major
1.3 크로스사이트 스크립트 Bug Major
1.4 운영체제 명령어 삽입 Bug Major
1.6 신뢰되지 않는 URL 주소로 자동접속 연결 Bug Major
1.7 XQuery 삽입 Bug Major
1.8 XPath 삽입 Bug Major
1.9 LDAP 삽입 Bug Major
1.10 크로스사이트 요청위조 Bug Major
1.11 HTTP 응답분할 Bug Major
1.12 정수형 오버플로우 Bug Major
1.15 포맷 스트링 삽입 Bug Major
보안기능2.3 중요한 자원에 대한 잘못된 권한 설정 Bug Major
2.4 취약한 암호화 알고리즘 사용 Bug Major
2.6 중요정보 평문전송 Bug Major
2.7 하드코드된 비밀번호 Bug Major
2.8 충분하지 않은 키 길이 사용 Bug Major
2.9 적절하지 않은 난수값 사용 Bug Major
2.10 하드코드된 암호화 키 Bug Major
2.12 사용자 하드디스크 저장되는 쿠키를 통한 정보노출 Bug Major
2.13 주석문 안에 포함된 시스템 주요정보 Bug Major
2.14 솔트 없이 일방향 해쉬 함수 사용 Bug Major
2.15 무결성 검사없는 코드 다운로드 Bug Major
시간 및 상태3.2 종료되지 않은 반복문 또는 재귀 함수 Bug Major
에러처리4.1 오류 메시지를 통한 정보노출 Bug Major
4.2 오류 상황 대응 부재 Bug Major
4.3 부적절한 예외 처리 Bug Major
캡슐화6.2 제거되지 않고 남은 디버그 코드 Bug Major
6.3 시스템 데이터 정보노출 Bug Major
6.4 Public 메소드부터 반환된 Private 배열 Bug Major
6.5 Private 배열에 Public 데이터 할당 Bug Major
API 오용7.1 DNS Lookup에 의존한 보안결정 Bug Major
7.2 취약한 API 사용 Bug Major


행정안전부 소프트웨어 보안약점 진단 수행

행정안전부 소프트웨어 보안약점은 진단은 플러그인 설치시 자동으로 만들어지는 "행정안전부 보안약점" 프로파일을 프로젝트로 설정 후 Sonar Scanner 를 수행하면 됩니다. 

다음은 입력데이터 검증 및 표현 > 1.12 정수형 오버플로우 룰 위반 사례를 보여주고 있습니다. 


소프트웨어 보안약점 설명 한글화 지원

플러그인에서 제공되는 모든 룰에 대한 설명은 다음 예시와 같이 한글화가 지원됩니다. 


행정안전부 소프트웨어 보안약점 진단 보고서

특정 프로젝트 진입 후 상단 More 메뉴에서 행정안전부 보안 보고서를 선택하면 다음과 그림같이 진단 보고서를 확인할 수 있습니다. 


Downloads as PDF 클릭 시, PDF 본을 다운로드 할 수 있으며, 다음과 같은 소프트웨어 보안약점 진단 보고서를 얻을 수 있습니다. 


다음 링크를 통해 견적을 요청할 수 있습니다. - 견적 및 평가 요청 - (주) 커브 (curvc.com)