<4D F736F F F696E74202D D DBCD2C7C1C6AEBFFEBEEE20C7B0C1FAB0FA20BAB8BEC8>

Similar documents
SW¹é¼Ł-³¯°³Æ÷ÇÔÇ¥Áö2013

제출문 한국정보통신기술협회귀하 본보고서를 IT 서비스및자산관리 SW BMT 평가모델개발에관한연구의최종 연구보고서로제출합니다 년 11 월 5 일 수탁기관수탁기관장연구책임자참여연구원 : 경기대학교산학협력단 : 홍성창 ( 인 ) : 권기현 : 김성회도성룡임형주홍승

1.장인석-ITIL 소개.ppt

SchoolNet튜토리얼.PDF

PowerPoint 프레젠테이션

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

F1-1(수정).ppt

FMX M JPG 15MB 320x240 30fps, 160Kbps 11MB View operation,, seek seek Random Access Average Read Sequential Read 12 FMX () 2

Security Overview

ISO17025.PDF

소프트웨어개발방법론

±èÇö¿í Ãâ·Â

0125_ 워크샵 발표자료_완성.key

2

PowerPoint 프레젠테이션

PCServerMgmt7

APOGEE Insight_KR_Base_3P11

<353020B9DAC3E1BDC42DC5ACB6F3BFECB5E520C4C4C7BBC6C3BFA1BCADC0C720BAB8BEC820B0EDB7C1BBE7C7D7BFA120B0FCC7D120BFACB1B82E687770>

Journal of Educational Innovation Research 2018, Vol. 28, No. 3, pp DOI: NCS : * A Study on

<C7C1B7A3C2F7C0CCC1EE20B4BABAF1C1EEB4CFBDBA20B7B1C4AA20BBE7B7CA5FBCADB9CEB1B35F28C3D6C1BE292E687770>

03.Agile.key

02 _ The 11th korea Test Conference The 11th korea Test Conference _

°í¼®ÁÖ Ãâ·Â

Microsoft Word - 1-차우창.doc

3. 클라우드 컴퓨팅 상호 운용성 기반의 서비스 평가 방법론 개발.hwp

< D28B9F8BFAA20BCF6C1A4BABB292E687770>

학습영역의 Taxonomy에 기초한 CD-ROM Title의 효과분석

Model Investor MANDO Portal Site People Customer BIS Supplier C R M PLM ERP MES HRIS S C M KMS Web -Based

PowerPoint 프레젠테이션

< FC1A4BAB8B9FDC7D D325FC3D6C1BEBABB2E687770>

example code are examined in this stage The low pressure pressurizer reactor trip module of the Plant Protection System was programmed as subject for

<A4B5A4C4A4B5A4BFA4B7A4B7A4D1A4A9A4B7A4C5A4A4A4D1A4A4A4BEA4D3A4B1A4B7A4C7A4BDA4D1A4A4A4A7A4C4A4B7A4D3A4BCA4C E706466>

.,,,,,,.,,,,.,,,,,, (, 2011)..,,, (, 2009)., (, 2000;, 1993;,,, 1994;, 1995), () 65, 4 51, (,, ). 33, 4 30, (, 201

solution map_....


[Brochure] KOR_TunA

김기남_ATDC2016_160620_[키노트].key

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

KDTÁ¾ÇÕ-2-07/03


< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

untitled

Microsoft PowerPoint - ch03ysk2012.ppt [호환 모드]

Copyright 2012, Oracle and/or its affiliates. All rights reserved.,.,,,,,,,,,,,,.,...,. U.S. GOVERNMENT END USERS. Oracle programs, including any oper

DW 개요.PDF

歯김한석.PDF

untitled

IPAK 윤리강령 나는 _ 한국IT전문가협회 회원으로서 긍지와 보람을 느끼며 정보시스템 활용하 자. 나는 _동료, 단체 및 국가 나아가 인류사회에 대하여 철저한 책임 의식을 가진 다. 나는 _ 활용자에 대하여 그 편익을 증진시키는데 최선을 다한다. 나는 _ 동료에 대해

06_ÀÌÀçÈÆ¿Ü0926

PowerChute Personal Edition v3.1.0 에이전트 사용 설명서

원고스타일 정의

<BCF6BDC D31385FB0EDBCD3B5B5B7CEC8DEB0D4C5B8BFEEB5B5C0D4B1B8BBF3BFACB1B85FB1C7BFB5C0CE2E687770>

미래 서비스를 위한 스마트 클라우드 모델 수동적으로 웹에 접속을 해야만 요구에 맞는 서비스를 받을 수 있었다. 수동적인 아닌 사용자의 상황에 필요한 정보를 지능적으로 파악 하여 그에 맞는 적합한 서비스 를 제공할 수 새로운 연구 개발이 요구 되고 있다. 이를 위하여,

,,,,,,, ,, 2 3,,,,,,,,,,,,,,,, (2001) 2

thesis

TTA Journal No.157_서체변경.indd

<목 차 > 제 1장 일반사항 4 I.사업의 개요 4 1.사업명 4 2.사업의 목적 4 3.입찰 방식 4 4.입찰 참가 자격 4 5.사업 및 계약 기간 5 6.추진 일정 6 7.사업 범위 및 내용 6 II.사업시행 주요 요건 8 1.사업시행 조건 8 2.계약보증 9 3

HTML5가 웹 환경에 미치는 영향 고 있어 웹 플랫폼 환경과는 차이가 있다. HTML5는 기존 HTML 기반 웹 브라우저와의 호환성을 유지하면서도, 구조적인 마크업(mark-up) 및 편리한 웹 폼(web form) 기능을 제공하고, 리치웹 애플리케이 션(RIA)을

untitled

<49534F C0CEC1F520BBE7C8C4BDC9BBE720C4C1BCB3C6C320B9D D20BDC3BDBAC5DB20B0EDB5B5C8AD20C1A6BEC8BFE4C3BBBCAD2E687770>

13 Who am I? R&D, Product Development Manager / Smart Worker Visualization SW SW KAIST Software Engineering Computer Engineering 3



2015 년 SW 개발보안교육과정안내

- 2 -

vm-웨어-01장

최종_백서 표지

공지사항

<4D F736F F F696E74202D20BCD2C7C1C6AEBFFEBEEE28B9E8B5CEC8AF204B >

¹ýÁ¶ 12¿ù ¼öÁ¤.PDF

ecorp-프로젝트제안서작성실무(양식3)

歯1.PDF

KDTÁ¾ÇÕ-1-07/03

Service-Oriented Architecture Copyright Tmax Soft 2005

U.Tu System Application DW Service AGENDA 1. 개요 4. 솔루션 모음 1.1. 제안의 배경 및 목적 4.1. 고객정의 DW구축에 필요한 메타정보 생성 1.2. 제품 개요 4.2. 사전 변경 관리 1.3. 제품 특장점 4.3. 부품화형


untitled

04-다시_고속철도61~80p

백서2011표지


16


DBPIA-NURIMEDIA

Ç¥Áö

DE1-SoC Board

Microsoft PowerPoint - 3.공영DBM_최동욱_본부장-중소기업의_실용주의_CRM

Domino Designer Portal Development tools Rational Application Developer WebSphere Portlet Factory Workplace Designer Workplace Forms Designer

중국 상장회사의 경영지배구조에 관한 연구

2007 상반기 실적회의 - DRM Extension

00내지1번2번

03 장태헌.hwp

untitled

ePapyrus PDF Document

슬라이드 1

09È«¼®¿µ 5~152s

<30312DC1A4BAB8C5EBBDC5C7E0C1A4B9D7C1A4C3A52DC1A4BFB5C3B62E687770>

대회 조직 대 회 장 서정연(한국정보과학회 회장) 조직위원회 위 원 장 최종원(숙명여대), 홍충선(경희대), 황승구(ETRI) 위 원 강선무(NIA), 김 종(POSTECH), 김철호(ADD), 민경오(LG전자), 박진국(LG CNS), 서형수(알서포트), 엄영익(성균

DIY 챗봇 - LangCon

2

Backup Exec

Transcription:

소프트웨어품질과보안 2014. 9. 4. 심원태

순서 3 Ⅰ 3Ⅱ 1

소프트웨어품질특성 2

고품질 소프트웨어 안전한 소프트웨어 안정된 소프트웨어 -3-

Software Quality Characteristics Maintainability Balci, O. (1998), Software Engineering Lecture Notes, Department of Computer Science, Virginia Tech, Blacksburg, VA. The ease with which changes can be made to satisfy new requirements or to correct deficiencies. Correctness The degree with which software adheres to its specified requirements. Reusability The ease with which software can be reused in developing other software. Reliability Portability Efficiency The frequency and criticality of software failure, where failure is an unacceptable effect or behavior occurring under permissible operating conditions. The ease with which software can be used on computer configurations other than its current one. The degree with which software fulfills its purpose without waste of resources. -4-

ISO 9126-1 Software Quality Model Functionality ( 기능성 ) Reliability ( 신뢰성 ) Usability ( 사용성 ) Efficiency ( 효율성 ) Maintainability ( 유지보수성 ) Portability ( 이식성 ) ISO 9126 : S/W 품질의특성과품질평가의 Metrics 를정의한국제표준 특정조건에서사용될때명시된요구와내재된요구를만족하는기능을제공하는 S/W 제품의능력 명세된조건에서사용될때, 성능수준을유지할수있는 S/W 제품의능력 명시된조건에서사용될경우, 사용자에의해이해되고, 학습되고사용되고선호될수있는 S/W 제품의능력 명시된조건에서사용되는자원의양에따라요구된성능을제공하는 S/W 제품의능력 환경, 요구사항및기능적명세에따른수정, 개선등으로인해 S/W 제품이변경되는능력 한환경에서다른환경으로전이될수있는 S/W 제품의능력 -5-

ISO 9126-1 Software Quality Model Functionality Subcharacteristics Suitability ( 적합성 ) Accurateness ( 정확성 ) Interoperability ( 상호운용성 ) Compliance ( 준수성 ) Security ( 보안성 ) Definitions This is the essential Functionality characteristic and refers to the appropriateness (to specification) of the functions of the software. This refers to the correctness of the functions, an ATM may provide a cash dispensing function but is the amount correct? A given software component or system does not typically function in isolation. This subcharacteristic concerns the ability of a software component to interact with other components or systems. Where appropriate certain industry (or government) laws and guidelines need to be complied with, i.e. SOX. This subcharacteristic addresses the compliant capability of software. This subcharacteristic relates to unauthorized access to the software functions. -6-

ISO 9126-1 Software Quality Model Reliability Subcharacteristics Maturity( 성숙성 ) Fault tolerance ( 오류허용성 ) Recoverability( 회복성 ) Usability Subcharacteristics Understandability ( 이해성 ) Learnability( 학습성 ) Operability( 운영성 ) -7- Definitions This subcharacteristic concerns frequency of failure of the software. The ability of software to withstand (and recover) from component, or environmental, failure. Ability to bring back a failed system to full operation, including data and network connections. Definitions Determines the ease of which the systems functions can be understood, relates to user mental models in Human Computer Interaction methods. Learning effort for different users, i.e. novice, expert, casual etc. Ability of the software to be easily operated by a given user in a given environment.

ISO 9126-1 Software Quality Model Efficiency Subcharacteristics Time behavior ( 시간반응성 ) Resource behavior ( 자원효율성 ) Maintainability Subcharacteristics Analyzability( 분석성 ) Changeability( 변경성 ) Stability( 안정성 ) Testability( 시험성 ) Definitions Characterizes response times for a given throughput, i.e. transaction rate. Characterizes resources used, i.e. memory, cpu, disk and network usage. Definitions Characterizes the ability to identify the root cause of a failure within the software. Characterizes the amount of effort to change a system. Characterizes the sensitivity to change of a given system that is the negative impact that may be caused by system changes. Characterizes the effort needed to verify (test) a system change. -8-

ISO 9126-1 Software Quality Model Portability Subcharacteristics Adaptability ( 적응성 ) Installability ( 설치성 ) Conformance ( 적합성 ) Replaceability ( 교체성 ) Definitions Characterizes the ability of the system to change to new specifications or operating environments. Characterizes the effort required to install the software. Similar to compliance for functionality, but this characteristic relates to portability. One example would be Open SQL conformance which relates to portability of database used. Characterizes the plug and play aspect of software components, that is how easy is it to exchange a given software component within a specified environment. -9-

소프트웨어보안위협 10

스마트시대의소프트웨어역할 -11-

보안취약점현황 (1/4) HeartBleed OpenSSL 취약점 (CVE-2014-0160) OpenSSL 암호화라이브러리의하트비트 (Heartbeat, 클라이언트와서버간의연결상태체크 ) 라는확장모듈에서클라이언트요청메시지를처리할때데이터길이검증을수행하지않아시스템메모리에저장된 64KB 크기의데이터를외부에서아무런제한없이탈취할수있는취약점 2013 년은 2012 년대비 28% 증가 : 5,291 건 6,787 건 랜섬웨어, 트로이잔, 백도어, 봇넷전파에이용 SLS, TLS 프로토콜의재협상취약점은공격에흔하게사용 SCADA 취약점은 32 건으로 2012 년 (85 건 ) 대비감소 Supervisory Control and Data Acquisition -12-

보안취약점현황 (2/4) 60 139 212 2013 년도자바취약점은 312 건으로 2012 년과마찬가지로증가 2012 년대비브라우저취약점은감소 오페라취약점감소 공격툴킷의사용 Adobe, Flash Player, Adobe PDF, Java MS의 IE 취약점은대폭증가 크롬취약점감소했으나, 13년취약점최다 사파리취약점대폭감소 ActiveX 취약점은감소 -13-

보안취약점현황 (3/4) 제로데이취약점공격의 97% 는자바기반 상위 5 개취약점에대한패치발표시간은평균 19 일소요 취약점공개와패치까지는평균 4 일소요 취약점은 Watering Hole 공격에자주사용 신규제로데이취약점에대한공격전환이용이 -14-

보안취약점현황 (4/4) Symantec s Website Vulnerability Assessment Services 2012년대비 25% pts 증가된 78% 가취약웹사이트 취약웹사이트의 16퍼센트는치명적취약점을내표 대상사이트 8개중 1개는해킹에노출 민감데이터접근, 웹컨텐츠변경, 방문자컴퓨터해킹 -15-

취약점유형별통계 http://web.nvd.nist.gov 6,608 6,514 5,632 5,732 4,639 4,150 5,288 5,186-16-

2013 년취약점유형별통계 http://web.nvd.nist.gov 1000 900 934 800 759 700 600 500 612 497 575 400 300 250 302 200 100 0 107 136 26 89 120 128 34 9 18 0 147 33 103 102 63 143-17-

시큐어소프트웨어개발로의진화 인터넷급성장 보안위협증가 기능중심의소프트웨어 보안은 non-functional 요소로간주 외부환경으로부터 SW 시스템을보호 공격기법진화 응용 SW 타겟 SW 보안이슈의본질 ( 설계문제 ) 부각 개발보안도입 External Security 네트워크레벨, OS 레벨 (Firewall, IDS, VPN, Secure OS 등 ) Internal Security 시큐리티개발방법론, 개발툴등 -18-

Secure Software Development Life Cycle 시큐어소프트웨어 : SW 개발생명주기에서안전하게제작된 SW 해킹에이용되는 SW 보안취약점 (Vulnerability) 을제거 보안취약점의근본원인이되는보안약점 (SW 허점 / 결점 / 오류 ) 을제거 해킹으로부터안전한 SW 를제작하기위한일련의 SW 개발활동 SDLC(Software Development Life Cycle) + Security 개발보안교육 개발보안가이드, 진단가이드 관리자 / 운영자보안교육 시작 Pre SDLC 분석설계구현시험 검수 / 감리 운영 보안 Req 도출 보안위협평가 해킹경로분석 자산식별및위협완화대책 승인도구사용 금지 API 불허 정적분석 동적 / 퍼즈테스팅 윕현대책검증 최종코드리뷰 취약점진단 -19-

시큐어소프트웨어개발적용사례 Microsoft 의 Security Development Lifecycle(SDL) Trustworthy Computing 그룹에서주도 개발생명주기내에단계별보안활동정의및준수확인, 자동화도구지원 OS 보안취약점은 45%( 비스타 ), 91%(SQL서버 2005) 감소 IBM 의 Security Engineering Framework(SEF) 소프트웨어보증의일부로 SEF를정의 제품경쟁력강화및기업명성유지전략으로추진 Risk Assess & Threat Modeling Security Reqmts Secure Coding Security Testing Security Document Incident response 국내, 행정및공공기관의정보시스템개발보안 정보시스템개발단계에서소스코드보안약점제거조치의무화 ( 12.12) 개발단계별가이드및프로젝트참여자의역할제시 제거대상의소프트웨어보안약점 47개구체적명시 -20-

참고자료 Balci, O. (1998), Software Engineering Lecture Notes, Department of Computer Science, Virginia Tech, Blacksburg, VA. ISO 9126-1 Software Quality Model 시만텍보안위협보고서 (ISTR Q3) http://www.symantec.com/ko/kr/security_response/publications/threatreport.jsp National Vulnerability Database http://web.nvd.nist.gov -21-

감사합니다

강좌명 : 시큐어코딩 강좌소개 : 강의목표 소프트웨어의품질특성과보안과의관계를이해 시큐어소프트웨어개발생명주기의각단계별활동이해 MS 社의 SDL(Security Development Lifecycle) 사례분석을통한이해제고 SW 취약점평가절차를이해하고, 안전한코딩방법학습 위스콘신대학의 FPVS(First Principles Vulnerability Assessment) 5단계취약점분석프로세스및안전코딩기술이해 시스템구조분석 자원식별 신뢰및특권분석 컴포넌트평가 결과공유 웹프로그램보안약점유형및시큐어코딩기술습득 웹프로그램구조및보안고려요소 보안약점별안전코딩기술학습 웹프로그램보안약점진단역량함양 -23-

강좌소개 : 강의내용 주 강의일자 강의주제 강의내용 1 9월 4일 소프트웨어품질과보안 소프트웨어품질특성, 보안위협 2 9월 11일 시큐어개발프로세스 MS SDL단계별보안활동 : 위협모델링프로세스등 3 9월 18일 소프트웨어취약점평가절차 소프트웨어아키텍처분석, 자원및특수권한분석, 컴포넌트분석 4 9월 25일 미들웨어시큐어코딩 (1) 취약점범주및유형, 코드분석도구및취약점보고 5 10월 2일 미들웨어시큐어코딩 (2) 취약점유형별안전코딩대책 6 10월 9일 공휴일 한글날 7 10월 16일 웹프로그램구조 웹프로그램구조및프로토콜, 보안고려요소 8 10월 23일 중간고사 시험 9 10월 30일 웹프로그램보안약점 보안약점범주및유형 10 11월 6일 웹기반시큐어코딩 (1) SQL인젝션등입력데이터검증및표현약점진단및안전코딩기법 11 11월 13일 웹기반시큐어코딩 (2) SQL인젝션등입력데이터검증및표현약점진단및안전코딩기법 12 11월 20일 웹기반시큐어코딩 (3) SQL인젝션등입력데이터검증및표현약점진단및안전코딩기법 13 11월 27일 웹기반시큐어코딩 (4) 인증, 접근제어, 권한관리등보안기능약점진단및안전코딩기법 14 12월 4일 웹기반시큐어코딩 (5) 인증, 접근제어, 권한관리등보안기능약점진단및안전코딩기법 15 12월 11일 웹기반시큐어코딩 (6) 기타약점진단및안전코딩기법 16 12월 18일 기말고사 시험 -24-

강좌소개 : 성적평가방법, 참고교재 항목반영율 출석 10% 중간고사 30% 기말고사 50% 기타 ( 참여도 ) 10% -25-