공통컴포넌트 보안약점 관련 질문 드립니다.
- 작성자 :
- 박*진
- 작성일 :
- 2021-03-15 10:51:46
- 조회수 :
- 3,779
- 구분 :
- 공통컴포넌트 / 3.6
- 진행상태 :
- 완료
Q
현재 운영중인 홈페이지의 소소코드 보안점검을 하고있는데 3.10.0 버전의 공통컴포넌트가 포함되어있습니다.
현재 "행정자치부 소프트웨어 보안약점 기준"과 "국정원 홈페이지 8대 보안약점" 두개를 점검 룰(RULE)로 점검을 진행하고있는데
"부적절한 예외 처리(광범위한 예외객체 선언/사용)" 항목으로 상당히 많은수의 보안취약점이 검출되었습니다.
공통컴포넌트 소스 중 예외를 지정하지않고 throw한(throws exception) 항목이 검출된것인데요
1. 예전에 문의하기로 전자정부프레임워크 공통컴포넌트의 경우 매년 KISA의 검증을 받고 취약점을 수정하고있다고 답변을 받았었는데
KISA 검증의 경우 어떤 보안 기준으로 점검을 하는지 혹시 알 수있는지요?
2. 행자부/국정원 기준으로 검출된 "부적절한 예외 처리(광범위한 예외객체 선언/사용)" 보안약점 항목은 전자정부프레임워크 기반 홈페이지에서
보안/운영상 문제가 되지않는 부분인지요?
답변해주시면 감사하겠습니다
현재 "행정자치부 소프트웨어 보안약점 기준"과 "국정원 홈페이지 8대 보안약점" 두개를 점검 룰(RULE)로 점검을 진행하고있는데
"부적절한 예외 처리(광범위한 예외객체 선언/사용)" 항목으로 상당히 많은수의 보안취약점이 검출되었습니다.
공통컴포넌트 소스 중 예외를 지정하지않고 throw한(throws exception) 항목이 검출된것인데요
1. 예전에 문의하기로 전자정부프레임워크 공통컴포넌트의 경우 매년 KISA의 검증을 받고 취약점을 수정하고있다고 답변을 받았었는데
KISA 검증의 경우 어떤 보안 기준으로 점검을 하는지 혹시 알 수있는지요?
2. 행자부/국정원 기준으로 검출된 "부적절한 예외 처리(광범위한 예외객체 선언/사용)" 보안약점 항목은 전자정부프레임워크 기반 홈페이지에서
보안/운영상 문제가 되지않는 부분인지요?
답변해주시면 감사하겠습니다
환경정보
-
- OS 정보 :
- 표준프레임워크 버전 :
- JDK(JRE) 정보 :
- WAS 정보 :
- DB 정보 :
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크센터 입니다.
1번에 대한 답변으로
KISA 검증의 경우 어떠한 기준으로 점검하는지 센터에서 답변드리기는 어려울듯 합니다.
대상 프로젝트를 KISA로 전달하여 나오는 사항이나 항목에 대하여
조치를 진행하고 있습니다.
2번에 대한 답변은
저희가 보안관련 전문기관이 아니므로
해당 부분에 대한 정확한 답변은 어려울듯 합니다.
현재 throws Exception이 되어 있는 부분은
해당 예외처리를 프레임워크에서 처리하기 위해 선언되어 있는걸로 알고 있습니다.
특정한 조건에서 문제가 되는 경우도 있을수 있고
다양한 경우의 수가 있지 않을까 예상합니다.
감사합니다.
표준프레임워크센터 입니다.
1번에 대한 답변으로
KISA 검증의 경우 어떠한 기준으로 점검하는지 센터에서 답변드리기는 어려울듯 합니다.
대상 프로젝트를 KISA로 전달하여 나오는 사항이나 항목에 대하여
조치를 진행하고 있습니다.
2번에 대한 답변은
저희가 보안관련 전문기관이 아니므로
해당 부분에 대한 정확한 답변은 어려울듯 합니다.
현재 throws Exception이 되어 있는 부분은
해당 예외처리를 프레임워크에서 처리하기 위해 선언되어 있는걸로 알고 있습니다.
특정한 조건에서 문제가 되는 경우도 있을수 있고
다양한 경우의 수가 있지 않을까 예상합니다.
감사합니다.