Secured Coding 이 뭔지 아시는 분?

정확한 설명인지 모르겠는데, 몇 가지 툴 사용한 경험에 비추어 보면..

일종의 취약점을 줄이는 디자인 패턴 적용이라고 생각하시면 됩니다.

(이러저러 해보았더니 취약점이 적은 코드가 되더라, 이런 Best practise들을 따라하는 거죠. 즉 웹에만 해당되는 내용은 아닙니다.)

그런 패턴들을 팀에서 잘 정리해서 이런 것들 코딩할때 잘 따라서 해주세요, 네 하고 진행될리가.. 없으니까

(인간이 다 기억해서 하긴 무리라서..)

현실 회사에서는 대부분 static code analysis tool(dynamic code analysis tool도 있어요.)을 사용해서 코드 스캔하고,

거기서 찾아낸 취약점이나 문제를 제시된 코드로 바꿔친 다음, 오케이, 문제있음 툴 탓임, 하고 넘어갑니다.

예산이 있으면 fortify, checkmarx, veracode 등의 상용 소프트웨어를 쓰실수 있고, 

없으면 오픈 소스툴(하아..)을 찾아서 적용할수 있죠. owasp(여러 군데서 레퍼런스는 하는데 뭔가 직접 찾기는 어려운..), sonarqube 등등이..

(상용 회사들의 주장에 따르면 자기들은 비공개된 취약점 DB가 있어서 더 좋다라고..)

그리고 요즘은 open source dependency가 많으니까 그것만 따로 스캔해주는 툴 역시 있습니다.

근데 잘 정리된 링크는.. 모르겠네요..;;

보통 설명은 저 정도에 흔한 취약점 같은걸 적어놓은 사이트가 대부분이라..

http://blog.lgcns.com/1152

https://wiki.sei.cmu.edu/confluence/display/seccode/SEI+CERT+Coding+Standards

위에 언급된 회사들 웹페이지는 스폰서 리스트에서 찾으실수 있어요.

https://2018.appsecusa.org

감사합니다. 현재 ibm appscan을 사용해서 스캔은 다 해논 상태 입니다.

보니까 머 input 쪽으로 해서, vulnerability 가 쫙

떠 있는 상태 입니다.  이걸 가지고 뭔가 fix 해야 하는거 같은데, 뭘 fix 하라는 건지 감이 안잡혀서요. (제가 무식해서... —;)

보통 스캔 결과에 수정하는 방법도 같이 샘플로 나오지 않나요?

개발자들이 그거 보고 그냥 따라했던거 같은데...

결국은 취약점을 관리하는 것이라, 개발자 중의 높은 사람이 리뷰해서 낮은 수준의 문제는 가끔 안 고치고 ignore 설정하고 넘어가기도 합니다. 

웹앱만 해당되는 건 아닐텐데요. 

흠... 못 놀겠군요.

https://wiki.sei.cmu.edu/confluence/plugins/servlet/mobile?contentId=88042752#content/view/88042752

링크 한번 달아봅니다. 저는 오히려 시큐어 코딩이 좀 더 메모리 관리를 자유롭게 할 수 있는 언어에서 더 유의해서 봐야하는 걸로 이해했거든요. 물론웹앱같은 곳에서 sql injection 같은 걸 방지하는 것도 중요하지 만요.

수정: 아 밑 댓글에 이미 cmu쪽 링크가 달렸네요.

아래 링크도 있습니다.

https://wiki.sei.cmu.edu/confluence/display/seccode

감사 합니다.

링크들 쭉 훑어 보니,  이게 생각 보다 꽤 큰 영역 이였군요. 특히 메모리 관리쪽으로 해서도  여러  vulnerabilties 가 존재 하는군요.

특히  cmu doc 쪽을 보니,  memory 관리에 대해서 많은 사례를 다루고 있네요.

이제 뭔지 알았으니,  dev 한테  던져 줘야 겠습니다.

dev 한테는 상당히 귀찮은 task가 될 수 있겠군요.

답해주신 여러분게  감사합니다!