공통컴포넌트 보안취약점 점검결과 3800여개 취약점 검출
- 작성자 :
- 최*근
- 작성일 :
- 2021-06-24 15:53:27
- 조회수 :
- 3,384
- 구분 :
- 공통컴포넌트 / 3.6
- 진행상태 :
- 완료
Q
웹사이트 프로젝트 진행하면서 공통컴포넌트 소스를 그대로 사용하여 개발하였습니다.
최종 검수전 보안취약점검토에서 3800개의 취약점이 보고되었고 대부분 공통컴포넌트에서 발생하였습니다.
과거 답변을 보니 취약점진단도구에 따라서 문제가 될수도 있고 안될수도 있다고 말씀하셨는데
보안상의 취약점을 확인해서 검출이 되었다면
동일한 소스코드가 어느 사이트에서는 문제가 되고 문제가 안된다는건 있을수 없지않나요?
현재 배포되고 있는 공통컴포넌트 소스가
1) KISA에서 점검을 받았지만 취약점이 여전히 남아있어서 문제가 되는것인지
2) 보안상의 문제가 없는데 진단도구의 잘못된 룰적용으로 많은 취약점 결과가 보고되었다고 판단되는것인가요?
1)인 경우는 KISA 진단이 잘못되었고, 현재 공통컴포넌트가 많은 취약점을 포함하고 있는상태에서 배포되고 있음으로 빠른시간내에 패치가 되어야 할것 같아요
2)인 경우는 공공사이트에서 취약점진단시 어떤 룰로 적용해야 하나요?
<질문요약 >
현재 공통컴포넌트 소스가 공공사이트의 보안취약점 기대수준(행자부 보안지침)에 부합한 결과인지 궁금합니다.
연락주시면 싱세 레포트를 제공하겠습니다.
010-****-****
최종 검수전 보안취약점검토에서 3800개의 취약점이 보고되었고 대부분 공통컴포넌트에서 발생하였습니다.
과거 답변을 보니 취약점진단도구에 따라서 문제가 될수도 있고 안될수도 있다고 말씀하셨는데
보안상의 취약점을 확인해서 검출이 되었다면
동일한 소스코드가 어느 사이트에서는 문제가 되고 문제가 안된다는건 있을수 없지않나요?
현재 배포되고 있는 공통컴포넌트 소스가
1) KISA에서 점검을 받았지만 취약점이 여전히 남아있어서 문제가 되는것인지
2) 보안상의 문제가 없는데 진단도구의 잘못된 룰적용으로 많은 취약점 결과가 보고되었다고 판단되는것인가요?
1)인 경우는 KISA 진단이 잘못되었고, 현재 공통컴포넌트가 많은 취약점을 포함하고 있는상태에서 배포되고 있음으로 빠른시간내에 패치가 되어야 할것 같아요
2)인 경우는 공공사이트에서 취약점진단시 어떤 룰로 적용해야 하나요?
<질문요약 >
현재 공통컴포넌트 소스가 공공사이트의 보안취약점 기대수준(행자부 보안지침)에 부합한 결과인지 궁금합니다.
연락주시면 싱세 레포트를 제공하겠습니다.
010-****-****
환경정보
-
- OS 정보 :
- 표준프레임워크 버전 :
- JDK(JRE) 정보 :
- WAS 정보 :
- DB 정보 :
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크센터 입니다.
공톰컴포넌트의 경우 KISA 보안코드 검증을 받은후
배포 되었습니다.
이는 최근 매년 KISA 보안코드 검증을 하고 있고
중요부분에 대한 보안패치를 실시 하였습니다.
다음 URL주소에서 이력 확인이 가능합니다.
https://www.egovframe.go.kr/home/sub.do?menuNo=47
공통컴포넌트는 샘플 또는 모델하우스 같은 것으로
공통컴포넌트를 그대로 사용하는 경우는 없으며
이를 기반으로 해서
개발사업단에서는 요구 업무에 맞는 개발코드를
신규로 추가하여 작성하실것입니다.
이에 대한 추가 코드 부분에대해 코드검증 툴에서 검출되었을 것으로 예상됩니다.
코드검증툴은 정적코드 분석을 하는 도구로
기계적으로 코드레벨에서 분석이 되다보니
오탐이 발생할수도 있으므로 탐지된 부분을
탐지 업체와 검토하셔야 합니다.
감사합니다.
표준프레임워크센터 입니다.
공톰컴포넌트의 경우 KISA 보안코드 검증을 받은후
배포 되었습니다.
이는 최근 매년 KISA 보안코드 검증을 하고 있고
중요부분에 대한 보안패치를 실시 하였습니다.
다음 URL주소에서 이력 확인이 가능합니다.
https://www.egovframe.go.kr/home/sub.do?menuNo=47
공통컴포넌트는 샘플 또는 모델하우스 같은 것으로
공통컴포넌트를 그대로 사용하는 경우는 없으며
이를 기반으로 해서
개발사업단에서는 요구 업무에 맞는 개발코드를
신규로 추가하여 작성하실것입니다.
이에 대한 추가 코드 부분에대해 코드검증 툴에서 검출되었을 것으로 예상됩니다.
코드검증툴은 정적코드 분석을 하는 도구로
기계적으로 코드레벨에서 분석이 되다보니
오탐이 발생할수도 있으므로 탐지된 부분을
탐지 업체와 검토하셔야 합니다.
감사합니다.