2016.04.04

더 나은 코드 보안을 위한 5가지 개발 툴

Paul Krill | InfoWorld

소프트웨어 개발 프로세스 자체만큼 시스템과 데이터 보안을 시작하기에 좋은 곳도 없다. 코딩 실수만큼 시스템을 취약하게 만들기 좋은 일도 없기 때문이다. 하지만 수 백만 줄의 코드에서 광범위한 잠재적 취약점을 찾는 것은 결코 쉽지 않은 일이다. 다행히도 코드 보안을 위해 다양한 툴이 등장하고 있다. 정적 분석 등의 기능을 이용한 이런 툴은 잠재적인 문제를 찾아낼 뿐 아니라 개발 과정에서 보안에 우선순위를 부여한다.

직접 설치 솔루션부터 클라우드 서비스까지, 또 오픈소스 솔루션부터 상용 서비스까지 코드의 보안 결함을 분석하기 위한 5가지 툴에 대해 알아보도록 하자.

코디스코프 잭스(Codiscope Jacks)


코드를 실행하지 않고 디버깅하는 정적 분석은 취약성을 찾아내기 위한 첫 번째 단계이다. 깃허브(Github)에 르포(Repo)를 저장하는 조직에 아직 베타 단계인 코디스코프의 잭스는 깃허브로부터 코드를 가져와 스캔함으로써 서비스형 정적 분석을 수행할 수 있다. 잭스는 현재 자바스크립트 프로그램을 스캔할 수 있으는데, 코디스코프는 자바 프로그램까지 범위를 확대할 계획이다. 물론 다른 언어와 다른 관리형 저장소 역시 지원할 계획이다.

코디스코프의 마케팅 책임자 케이티 라이언은 "우리는 사용자들의 코드를 보존하지 않는다"라며, "장기적으로 개선할 수 있는 영역을 찾아내는 데 중점을 두고 있다"고 강조했다.

잭스는 줄 번호로 잠재적인 문제점을 표시하고 모범 사례를 권고하며 코드의 문제를 해결할 수 있는 패치가 제공되는 경우 사용자에게 이를 알린다. 표시된 각 코드 줄에는 설명이 수반되며, 잭스는 해커가 연결을 통제할 수 잇는 안전하지 못한 스크립트 등의 상황에 대해 경고한다. 서버쪽에는 악성 자바스크립트 코드가 서버에서 실행되는 인젝션 공격과 쿠키 값에 클라이언트쪽 스크립트가 접근하지 못하도록 하는 EHOS(Enable HttpOnly Session)가 포함된다.

라이언은 "우리가 현재 구현한 가장 강력한 트리거는 암호 작성술 중심이기 때문에 자신이 안전한 math.random 숫자 생성기를 사용하고 있으며, 자신의 코드에 구현한 암호화 유형이 모범 사례를 따르고 있음을 보장할 수 있다"고 설명했다.

이 서비스는 올 해 상반기에 일반 대중에 공개될 예정이다. 개발자들이 코드를 작성하고 팀 논의를 진행하면서 코드 보안에 대해 더욱 배울 수 있도록 서비스를 더욱 협업적으로 만들 계획이다.

플로파인더(Flawfinder)


플로파인더는 C/C++ 코드를 검토하고 위험 수준에 따라 분류한 잠재적인 취약점을 보고하는 오픈소스 툴이다. 버퍼 오버플로우 문제, 포맷 문자열 문제, 레이스(Race) 조건, 형편 없는 무작위 숫자 획득 등의 알려진 위험이 있는 언어 함수의 내장 데이터베이스를 이용한다.

보조 프로젝트로 플로파인더를 개발한 소프트웨어 개발자 겸 분석가 데이비드 휠러는 "지금보다 소프트웨어가 훨씬 안전하기를 바란다"며, "많은 애플리케이션 개발자들이 보안 취약성으로 이어지는 같은 실수를 범하고 있다. 플로파인더는 추가적인 검토가 필요할 수 있는 코드의 구체적인 영역을 지적하는 단순한 툴이다. 이 단순한 툴이 배치된 소프트웨어의 취약성 수를 줄여줄 수 있기를 바란다"고 말했다.

휠러는 개발자들이 소프트웨어가 배치되기 전에 결함을 찾아야 한다고 촉구했다. 취약성이 될 가능성이 높은 일련의 규칙 패턴을 계속 추가할 계획이다. 휠러는 플로파인더가 정교한 툴이 아니라 고지식한 알고리즘을 사용한다. 기술적으로 어휘 소스 코드 정적 분석기에 불과하다고 말한다.

하지만 이런 단순성에도 불구하고 플로파인더 웹사이트에서는 많은 사람들이 그 유용성을 증언하고 있다. 한 사용자는 “플로파인더 1.0을 통해 엄청난 C/C++ 소스를 처리했다. 이 툴 덕분에 많은 곳을 발견하여 고칠 수 있었다"고 밝혔다.

서버 및 데스크톱 개발을 위한 플로파인더는 GNU/리눅스에서 시험을 거쳤으며 유닉스와 유사한 시스템에서 동작하고 시그윈(Cygwin) 환경을 통해 윈도우에서 동작한다. 사용하려면 파이썬 2가 필요하다.



2016.04.04

더 나은 코드 보안을 위한 5가지 개발 툴

Paul Krill | InfoWorld

소프트웨어 개발 프로세스 자체만큼 시스템과 데이터 보안을 시작하기에 좋은 곳도 없다. 코딩 실수만큼 시스템을 취약하게 만들기 좋은 일도 없기 때문이다. 하지만 수 백만 줄의 코드에서 광범위한 잠재적 취약점을 찾는 것은 결코 쉽지 않은 일이다. 다행히도 코드 보안을 위해 다양한 툴이 등장하고 있다. 정적 분석 등의 기능을 이용한 이런 툴은 잠재적인 문제를 찾아낼 뿐 아니라 개발 과정에서 보안에 우선순위를 부여한다.

직접 설치 솔루션부터 클라우드 서비스까지, 또 오픈소스 솔루션부터 상용 서비스까지 코드의 보안 결함을 분석하기 위한 5가지 툴에 대해 알아보도록 하자.

코디스코프 잭스(Codiscope Jacks)


코드를 실행하지 않고 디버깅하는 정적 분석은 취약성을 찾아내기 위한 첫 번째 단계이다. 깃허브(Github)에 르포(Repo)를 저장하는 조직에 아직 베타 단계인 코디스코프의 잭스는 깃허브로부터 코드를 가져와 스캔함으로써 서비스형 정적 분석을 수행할 수 있다. 잭스는 현재 자바스크립트 프로그램을 스캔할 수 있으는데, 코디스코프는 자바 프로그램까지 범위를 확대할 계획이다. 물론 다른 언어와 다른 관리형 저장소 역시 지원할 계획이다.

코디스코프의 마케팅 책임자 케이티 라이언은 "우리는 사용자들의 코드를 보존하지 않는다"라며, "장기적으로 개선할 수 있는 영역을 찾아내는 데 중점을 두고 있다"고 강조했다.

잭스는 줄 번호로 잠재적인 문제점을 표시하고 모범 사례를 권고하며 코드의 문제를 해결할 수 있는 패치가 제공되는 경우 사용자에게 이를 알린다. 표시된 각 코드 줄에는 설명이 수반되며, 잭스는 해커가 연결을 통제할 수 잇는 안전하지 못한 스크립트 등의 상황에 대해 경고한다. 서버쪽에는 악성 자바스크립트 코드가 서버에서 실행되는 인젝션 공격과 쿠키 값에 클라이언트쪽 스크립트가 접근하지 못하도록 하는 EHOS(Enable HttpOnly Session)가 포함된다.

라이언은 "우리가 현재 구현한 가장 강력한 트리거는 암호 작성술 중심이기 때문에 자신이 안전한 math.random 숫자 생성기를 사용하고 있으며, 자신의 코드에 구현한 암호화 유형이 모범 사례를 따르고 있음을 보장할 수 있다"고 설명했다.

이 서비스는 올 해 상반기에 일반 대중에 공개될 예정이다. 개발자들이 코드를 작성하고 팀 논의를 진행하면서 코드 보안에 대해 더욱 배울 수 있도록 서비스를 더욱 협업적으로 만들 계획이다.

플로파인더(Flawfinder)


플로파인더는 C/C++ 코드를 검토하고 위험 수준에 따라 분류한 잠재적인 취약점을 보고하는 오픈소스 툴이다. 버퍼 오버플로우 문제, 포맷 문자열 문제, 레이스(Race) 조건, 형편 없는 무작위 숫자 획득 등의 알려진 위험이 있는 언어 함수의 내장 데이터베이스를 이용한다.

보조 프로젝트로 플로파인더를 개발한 소프트웨어 개발자 겸 분석가 데이비드 휠러는 "지금보다 소프트웨어가 훨씬 안전하기를 바란다"며, "많은 애플리케이션 개발자들이 보안 취약성으로 이어지는 같은 실수를 범하고 있다. 플로파인더는 추가적인 검토가 필요할 수 있는 코드의 구체적인 영역을 지적하는 단순한 툴이다. 이 단순한 툴이 배치된 소프트웨어의 취약성 수를 줄여줄 수 있기를 바란다"고 말했다.

휠러는 개발자들이 소프트웨어가 배치되기 전에 결함을 찾아야 한다고 촉구했다. 취약성이 될 가능성이 높은 일련의 규칙 패턴을 계속 추가할 계획이다. 휠러는 플로파인더가 정교한 툴이 아니라 고지식한 알고리즘을 사용한다. 기술적으로 어휘 소스 코드 정적 분석기에 불과하다고 말한다.

하지만 이런 단순성에도 불구하고 플로파인더 웹사이트에서는 많은 사람들이 그 유용성을 증언하고 있다. 한 사용자는 “플로파인더 1.0을 통해 엄청난 C/C++ 소스를 처리했다. 이 툴 덕분에 많은 곳을 발견하여 고칠 수 있었다"고 밝혔다.

서버 및 데스크톱 개발을 위한 플로파인더는 GNU/리눅스에서 시험을 거쳤으며 유닉스와 유사한 시스템에서 동작하고 시그윈(Cygwin) 환경을 통해 윈도우에서 동작한다. 사용하려면 파이썬 2가 필요하다.



X