보안에 대하여 질문합니다.
- 작성자 :
- 정*배
- 작성일 :
- 2014-08-05 09:15:42
- 조회수 :
- 620
- 구분 :
- 기타
- 진행상태 :
- 완료
Q
행정기관 및 공공기관 정보시스템 구축ㆍ운영 지침 안전행정부고시 제2013-36호 소프트웨어 보안약점 기준 [입력데이터 검증 및 표현,보안기능,시간 및 상태,에러처리,코드오류,캡슐화,API 오용]
메모리 버퍼오버플로우,포맷스트링 삽입,반복된 인증시도 제한 기능 부재,해제된 자원 사용,초기화되지 않은 변수 사용,취약한 API 사용 등의 신규로 추가된 보안약점이 있습니다.
2.7을 기준으로 위의 보안사항을 만족하는지 궁금합니다.
만족하지 않는 부분은 무엇이며 최신버전에서 새로이 충족되는 보안약점은 무엇인가요?
아래 처럼 기준이 변경되면 충족되는 보안약점이 달라지나요?
공통콤포넌트 biz 템플릿
2,7
3.0
메모리 버퍼오버플로우,포맷스트링 삽입,반복된 인증시도 제한 기능 부재,해제된 자원 사용,초기화되지 않은 변수 사용,취약한 API 사용 등의 신규로 추가된 보안약점이 있습니다.
2.7을 기준으로 위의 보안사항을 만족하는지 궁금합니다.
만족하지 않는 부분은 무엇이며 최신버전에서 새로이 충족되는 보안약점은 무엇인가요?
아래 처럼 기준이 변경되면 충족되는 보안약점이 달라지나요?
공통콤포넌트 biz 템플릿
2,7
3.0
A
안녕하세요. 정연배님.
표준프레임워크 및 공통컴포넌트는 기본적으로 보안취약점 점검이 되어 배포되고 있으나, 실제 프로젝트에 적용되는 부분에 대하여서는 보안준수에 대하여 보장할 수 없는 것 같습니다.
즉, 표준프레임워크 및 공통컴포넌트를 활용하시더라고 실제 보안점검을 받으셔야 합니다.
또한 보안점검에 대한 항목에 기준에 따라 다르게 적용될 수 있기 때문에 프로젝트에서 요구하는 규정을 참조하셔야 합니다.
(표준프레임워크 및 공통컴포넌트의 경우는 KISA의 시큐어코딩 가이드에 따름)
참고로 현재 표준프레임워크 3.0 버전과 공통컴포넌트 3.0 beta에 대하여 KISA의 보안점점을 받고 있는 중으로 8월 초에 보안점검 완료된 3.1 버전이 공개될 에정입니다.
그럼, 즐거운 하루되십시오.
감사합니다.
표준프레임워크 및 공통컴포넌트는 기본적으로 보안취약점 점검이 되어 배포되고 있으나, 실제 프로젝트에 적용되는 부분에 대하여서는 보안준수에 대하여 보장할 수 없는 것 같습니다.
즉, 표준프레임워크 및 공통컴포넌트를 활용하시더라고 실제 보안점검을 받으셔야 합니다.
또한 보안점검에 대한 항목에 기준에 따라 다르게 적용될 수 있기 때문에 프로젝트에서 요구하는 규정을 참조하셔야 합니다.
(표준프레임워크 및 공통컴포넌트의 경우는 KISA의 시큐어코딩 가이드에 따름)
참고로 현재 표준프레임워크 3.0 버전과 공통컴포넌트 3.0 beta에 대하여 KISA의 보안점점을 받고 있는 중으로 8월 초에 보안점검 완료된 3.1 버전이 공개될 에정입니다.
그럼, 즐거운 하루되십시오.
감사합니다.