공통컴포넌트 VERACODE 보안 정책 위반 관련 문의사항
- 작성자 :
- 박*
- 작성일 :
- 2020-10-26 15:10:03
- 조회수 :
- 2,981
- 구분 :
- 기타
- 진행상태 :
- 완료
Q
VERACODE를 통하여 정책 위반 관련하여 점검 중 전자정부라이브러리가 일부 탐지가 되고 있습니다.
해결 방안 또는 대응 방인이 있는지 문의 드립니다.
사용하고 있는 버전은 3.9입니다.
commons-collections-3.2.1.jar
poi-3.10-FINAL.jar
commons-fileupload-1.3.1.jar
commons-beanutils-1.8.3.jar
spring-web-4.3.22.RELEASE.jar
jstl-1.2jar
poi-ooxml-3.9.jar
mybatis-3.4.6.jar
standard-1.1.2.jar
aspectjweaver-1.8.14.jar
javaee-api-7.0.jar
감사합니다.
해결 방안 또는 대응 방인이 있는지 문의 드립니다.
사용하고 있는 버전은 3.9입니다.
commons-collections-3.2.1.jar
poi-3.10-FINAL.jar
commons-fileupload-1.3.1.jar
commons-beanutils-1.8.3.jar
spring-web-4.3.22.RELEASE.jar
jstl-1.2jar
poi-ooxml-3.9.jar
mybatis-3.4.6.jar
standard-1.1.2.jar
aspectjweaver-1.8.14.jar
javaee-api-7.0.jar
감사합니다.
A
안녕하세요.
표준프레임워크 센터입니다.
센터에서는 매년 KISA의 보안점검을 받고 있으며
그에 따른 보안 조치를 수행 해 왔습니다.
보안점검 (정적 코드 분석)의 경우
사용하는 툴의 규칙에 따라 점검 결과가 달라 질 수 있습니다.
탐지 수준등을 조정하거나 점검 결과 보고시 협의를 따로 진행하셔야 할 것 같습니다.
해당 라이브러리들은 오픈소스에서 자주 사용되는 라이브러리들이며
라이브러리들의 취약성 여부는 센터에서 판단 할 수 없는 내용들입니다.
또한 해당 점검 결과 보고서의 보안에 대해서는 센터에서 책임 질 수 없으니
첨부파일을 삭제하거나 수정하시는 것이 좋을 것 같습니다.
감사합니다.
표준프레임워크 센터입니다.
센터에서는 매년 KISA의 보안점검을 받고 있으며
그에 따른 보안 조치를 수행 해 왔습니다.
보안점검 (정적 코드 분석)의 경우
사용하는 툴의 규칙에 따라 점검 결과가 달라 질 수 있습니다.
탐지 수준등을 조정하거나 점검 결과 보고시 협의를 따로 진행하셔야 할 것 같습니다.
해당 라이브러리들은 오픈소스에서 자주 사용되는 라이브러리들이며
라이브러리들의 취약성 여부는 센터에서 판단 할 수 없는 내용들입니다.
또한 해당 점검 결과 보고서의 보안에 대해서는 센터에서 책임 질 수 없으니
첨부파일을 삭제하거나 수정하시는 것이 좋을 것 같습니다.
감사합니다.