검수요청.png검수요청.png

"스패로우"의 두 판 사이의 차이

위키원
이동: 둘러보기, 검색
1번째 줄: 1번째 줄:
 +
[[파일:스패로우 로고.png|썸네일|200픽셀|'''스패로우'''(Sparrow)]]
 +
[[파일:스패로우 글자.png|썸네일|300픽셀|'''스패로우'''(Sparrow)]]
  
'''스패로우'''(Sparrow)는 다양한 분석 기술을 바탕으로 소스코드 상의 보안약점을 정확하고 빠르게 검출하는 정적 분석 도구이다.
+
'''스패로우'''<!--㈜스패로우-->(Sparrow)는 다양한 분석 기술을 바탕으로 [[소스코드]] 상의 보안약점을 정확하고 빠르게 검출하는 정적 분석 도구이다.
  
 
== 개요 ==
 
== 개요 ==
[[파일:㈜스패로우.png|썸네일|400픽셀|'''㈜스패로우''']]
+
스패로우는 보안 솔루션으로 다양한 분석 기술을 바탕으로 소스코드 상의 보안약점을 정확하고 빠르게 검출하는 정적 분석 도구이다. 제품의 종류로는 스패로우 SAST, SAQT, SQLCC, DAST, RASP, 서비스 테스터, 인터랙티브 허브가 있다. 이 제품들의 경우 홈페이지에 있는 제품 브로슈어를 통해 각 제품들의 지원 언어 및 점검 항목과 운영체제와의 특징 및 흐름을 알 수 있다.<ref name="홈피">스패로우 공식 홈페이지 - https://www.sparrowfasoo.com/ko/</ref>
 +
 
 +
== 특징 ==
 +
=== 서비스 ===
 +
;진단 서비스
 +
소스코드 진단 서비스는 진단 전문가가 스패로우 SAST 및 스패로우 SAQT로 소스코드를 진단하는 서비스이다. 자체 개발 분석도구의 활용은 시큐어토딩 분석도구인 스패로우 SAST로 진단하고, 소스코드 품질 분석도구로 스패로우 SAQT로 진단한다. 진단결과 보완조치 및 검출 결과의 리뷰와 진단전문가의 소스코드 결과를 리뷰한다. 또한, 미팅을 통하여 소스코드 수정 가이드를 제공하는 서비스이다. 스패로우는 다수의 진단 전문가를 보유하고 있다. 소프트웨어 보안약점 진단원 자격을 보유하고 있는 진단 전문가로 구성되어 있으며, 다수의 진단 전문가들이 신속하고 정확한 진단 서비스를 제공하는 시스템이다. 이로인해 소프트웨어에 존재하는 취약점과 상태확인이 가능하고, 신규 개발 및 운영 중인 소프트웨어의 안전성을 강화할 수 있다. 또한, 빠르게 변화하는 보안과 품질은 요구사항에 대해 신속하게 반영할 수 있다. 소스코드 진단서비스는 다섯 단계로 진행되며, 진단 도구를 설치하는 사전준비에는 점검 기준 및 분석에 대상을 협의하는 단계이다. 1차 진단을 진행하면 소스코드 1차 분석후에 분석결과를 진단하며, 1차 결과에대한 리뷰 및 통계와 자료 및 수정 가이드를 제공한다. 다음으로는 취약점을 수정하는 1차 진단 보완조치를 수행하고, 소스코드 2차 분석후에 분석결과를 진단해주는 이행점검인 2차 진단 진행이 이루어진다. 2차 결과에 대한 리뷰 및 통계와 수정 가이드를 제공한다. 마지막으로, 2차 진단 보완조치 단계까지 마치면 진단 서비스가 모두 완료된다.
 +
 
 +
웹 취약점 진단 서비스는 진단 전문가가 스패로우 DAST로 웹 사이트를 진단하는 서비스이다. 자체 개발 분석도구를 활용하여 웹 취약점 분석 도구인 스패로우 DAST로 진단한다. 맞춤형 서비스 제공으로는 진단 전문가의 웹 취약점 진단 결과에 대한 리뷰와 미팅을 통하여 웹 취약점 수정 가이드를 제공한다. 또한, 소스코드 진단 서비스와 같이 다수의 전문가를 보유하여 소프트웨어 보안약점 진단원 자격으로 전문가들을 구성했다. 다수의 진단 전문가들은 신속하고 정확한 진단 서비스를 제공하고 있다. 이 웹 취약점 진단 서비스는 웹 애플리케이션에 존재하는 취약점 상태를 확인할 수 있고, 신규 개발과 운영중인 웹 애플리케이션의 안전성을 강화한다. 또한, 빠르게 변화하는 보안과 품질에 대한 요구사한을 신속하게 반영하고 있다. 수행방법은 소스코드 진단 서비스와 동일하게 진행된다.
 +
 
 +
;매니지드 서비스
 +
매니지드 서비스는 스패로우 애플리케이션의 보안 강화와 품질 향상을 위한 사용자 맞춤형 관리 서비스이다. 시큐어코딩 분석 도구인 스패로우 SAST로 분석 서비스를 제공하고, 전문가가 검출된 보안 약점을 쉽게 파악할 수 있도록 분류하는 서비스이다. 또한, 분석 결과에 대한 수정 가이드도 제공하고 있다. 품질 분석 서비스에는 코드 품질 분석도구인 스패로우 SAQT로 분석 서비스를 제공하며, 전문가가 직접 검출된 품질 결함을 쉽게 파악할 수 있게 분류하고 있다. 분석 결과에 대한 수정가이드 역시 제공하고 있다. 웹 취약성 분석 서비스는 시큐어코딩 분석 서비스와 품질 분석 서비스와 동일하며, 웹 취약점 분석 도구인 스패로우 DAST를 사용하여 분석하는 서비스이다. 상호작용 플랫폼 서비스는 소프트웨어 개발과 테스트 및 운영단계에서 발생할 수 있는 보안 취약점을 통합관리하는 스패로우 인터랙티브 허브를 적용하여 각 분석 도구간의 상호작용 정보를 활용하는 서비스이다. 스패로우의 다른 서비스와 같이 매니지드 서비스 역시 검출된 취약점 분석 결과에 대한 수정 가이드를 제공한다. 매니지드 서비스는 사용자에게 필요한 서비스를 제공하여 고객 만족도 향상과 전문가의 지속적인 관리로 업무 효율성을 개선할 수 있다. 또한, 제품 도입이 어려운 사용자가 보다 저렴한 맞춤형 서비스를 이용할 수 있다. 매니지드 서비스의 수행단계는 진단 서비스와 달리 네 단계로 구성되어 있다. 먼저, 사전준비 단계에서는 서비스 점검 도구를 설치하여 적합한 서비스 기간과 서비스 유형 및 교육 형태의 대한 협의가 이루어진다. 분석 수행 단계에서는 소스코드 및 웹을 분석하는 단계이다. 분석 결과를 확인한 후에 결과에 대한 리뷰와 통계 자료를 제공하고, 전문가가 직접 작성한 수정 가이드를 참고하여 검출 취약점을 수정하는
  
[[㈜스패로우]] 회사에서 개발한 보안 솔루션으로 다양한 분석 기술을 바탕으로 소스코드 상의 보안약점을 정확하고 빠르게 검출하는 [[정적 분석 도구]]이다. 제품의 종류로는 스패로우 SAST/SAQT/SQLCC/DAST/RASP/ServiceTester/InteractiveHUB가 있다. 이 제품들의 경우 홈페이지에 있는 제품 브로슈어를 통해 각 제품들의 지원 언어/점검 항목/OS와 특징 및 흐름을 알 수 있다.<ref>㈜스패로우 홈페이지 - https://www.sparrowfasoo.com/ko/</ref>
+
 
 +
 
 +
===장점===
 +
정적 분석 솔루션을 비교하거나 선택할 때 가장 중요한 요소는 오탐률이다. 분석기의 성능을 비교하는 벤치마크에서 분석기가 알려주는 보안약점의 개수만으로는 분석기의 우수성을 판단할 수 없다. 스패로우는 국내 유일 모든 형태의 시맨틱 분석이 가능한 높은 레벨의 시큐어코딩 분석 도구로써 보안 취약점 외에 소스코드 표준, 실행오류까지 모두 검출한다. 프로그램의 실행 의미를 분석하는 시맨틱 분석 엔진과 정해진 패턴을 바탕으로 빠르고 정확하게 구문을 분석하는 시맨틱 엔진을 복합 적용해 뛰어난 검출력과 낮은 오탐율을 가지고 있다.<ref>관리자, 〈[https://www.comworld.co.kr/news/articleView.html?idxno=48823 (솔루션리뷰) 빠르고 정확한 시큐어코딩 진단 도구 ‘스패로우’]〉, 《컴퓨터월드》, 2015-08-01</ref>
  
 
== 종류 ==
 
== 종류 ==
=== 스패로우SAST ===
+
=== SAST ===
다양한 보안점검 항목으로 행정안전부 보안가이드, 전자금융감독규정, [[OWASP]] 등 국내·국제표준 컴플라이언스 및 표준 가이드 검출 보안과 관련된 800여개의 점검항목을 지원한다. 웹 기반 중앙통합관리 시스템으로 통합 점검 결과 관리 및 통계, [[대시보드]] 제공 중앙화된 룰 관리를 통해 일괄 또는 부서별 위험도, 옵션, 설명 관리를 한다. 또한 빠르고 정확한 분석이 가능하여 [[MVC]]구조 분석, 연관파일 분석, 여러 단계의 함수·파일 호출 관계 분석과 재 분석시 변경·추가 및 연관된 파일만 분석하여 분석 시간을 최소화 할 수 있다. 지능형 애플리케이션으로 취약점 원인부터 문제발생 지점까지 과정을 따라가는 이슈 네비게이터를 가지고 있으며 검출된 취약점에 대해 자동으로 안전하게 수정된 실제 소스코드를 제안하며, 위험도 별 취약점이 자동 분류된다.<ref>SysMaster Sparrow SAST - https://d4xyet462jil9.cloudfront.net/brochure/brochure-sast-ko.pdf</ref>
+
[[파일:SAST.png|썸네일|300픽셀|'''스패로우 SAST 흐름도''']]
  
;흐름도
+
스패로우  SAST는 다양한 보안점검 항목으로 행정안전부 보안가이드, 전자금융감독규정, [[OWASP]] 등 국내 및 국제표준 컴플라이언스 및 표준 가이드 검출 보안과 관련된 8,00여개의 점검항목을 지원한다. 웹 기반 중앙통합관리 시스템으로 통합 점검 결과 관리 및 통계, [[대시보드]] 제공 중앙화된 룰 관리를 통해 일괄 또는 부서별 위험도, 옵션, 설명 관리를 한다. 또한 빠르고 정확한 분석이 가능하여 [[모델-뷰-컨트롤러 패턴]](MVC) 구조 분석, 연관파일 분석, 여러 단계의 함수·파일 호출 관계 분석과 재 분석시 변경·추가 및 연관된 파일만 분석하여 분석 시간을 최소화 할 수 있다. 지능형 애플리케이션으로 취약점 원인부터 문제발생 지점까지 과정을 따라가는 이슈 네비게이터를 가지고 있으며 검출된 취약점에 대해 자동으로 안전하게 수정된 실제 소스코드를 제안하며, 위험도 별 취약점이 자동 분류된다.<ref name="홈피"></ref>
[[파일:SAST.png|가운데|300픽셀|'''스패로우SAST''']]
 
  
=== 스패로우SAQT ===
+
=== SAQT ===
다양한 품질 점검 항목으로 MISRA,방위사업청, BSSC등 국내·국제 표준 컴플라이언스 및 표준 가이드를 검출하고 품질, 코딩컨벤션 등의 1700여개 점검항목 지원한다. 웹 기반 중앙통합관리 시스템으로 통합 점검 결과 관리 및 통계, 대시보드 제공 중앙화된 룰 관리를 통해 일괄 또는 부서별 위험도, 옵션, 설명 관리를 한다. 또한 빠르고 정확한 분석이 가능하여 MVC구조 분석, 연관파일 분석, 여러 단계의 함수·파일 호출 관계 분석과 재 분석시 변경·추가 및 연관된 파일만 분석하여 분석 시간을 최소화 할 수 있다. 지능형 애플리케이션으로 취약점 원인부터 문제발생 지점까지 과정을 따라가는 이슈 네비게이터를 가지고 있으며 검출된 취약점에 대해 자동으로 안전하게 수정된 실제 소스코드를 제안하며, 위험도 별 취약점이 자동 분류된다.<ref>SysMaster Sparrow SAQT - https://d4xyet462jil9.cloudfront.net/brochure/brochure-saqt-ko.pdf</ref>
+
[[파일:SAQT.png|썸네일|300픽셀|'''스패로우 SAQT 흐름도''']]
  
;흐름도
+
스패로우 SAQT는 다양한 품질 점검 항목으로 MISRA,방위사업청, BSSC등 국내·국제 표준 컴플라이언스 및 표준 가이드를 검출하고 품질, 코딩컨벤션 등의 1700여개 점검항목 지원한다. 웹 기반 중앙통합관리 시스템으로 통합 점검 결과 관리 및 통계, 대시보드 제공 중앙화된 룰 관리를 통해 일괄 또는 부서별 위험도, 옵션, 설명 관리를 한다. 또한 빠르고 정확한 분석이 가능하여 MVC구조 분석, 연관파일 분석, 여러 단계의 함수·파일 호출 관계 분석과 재 분석시 변경·추가 및 연관된 파일만 분석하여 분석 시간을 최소화 할 수 있다. 지능형 애플리케이션으로 취약점 원인부터 문제발생 지점까지 과정을 따라가는 이슈 네비게이터를 가지고 있으며 검출된 취약점에 대해 자동으로 안전하게 수정된 실제 소스코드를 제안하며, 위험도 별 취약점이 자동 분류된다.<ref name="홈피"></ref>
[[파일:SAQT.png|가운데|300픽셀|'''스패로우SAQT''']]
 
  
=== 스패로우SQLCC ===
+
=== SQLCC ===
애플리케이션에 존재하는 [[SQL]]의 정합성을 검증하는 솔루션으로 다양한 점검 항목을 가지고 있어 Null값 체크, 길이 체크, [[포맷]] 오류 , 그룹 함수 오류, 누락된 표현식과 같은 DB 정보처리 오류 등을 검출할 수 있다. 효율적인 분석 결과 관리로 사용자의 편의성을 고려하여 구성된 직관적인 대시보드 및 통계와 분석 완료 및 이슈 제외 신청에 대한 실시간 알림을 받을 수 있다. 또한, 정확한 검증을 통해 SQL문에 사용된 [[테이블]]·[[속성]], [[DDL]] (또는 데이터베이스 스키마)에 정의된 테이블·속성이 동일한지 검사할 수 있다. 검출 취약점의 정확한 위치 제공으로 취약점의 검출 과정을 쉽게 이해할 수 있는 네비게이터를 보유하고 있다.<ref>SysMaster Sparrow SQLCC - https://d4xyet462jil9.cloudfront.net/brochure/brochure-sqlcc-ko.pdf</ref>
+
[[파일:SQLCC.png|썸네일|300픽셀|'''스패로우 SQLCC 흐름도''']]
  
;흐름도
+
스패로우 SQLCC는 애플리케이션에 존재하는 [[에스큐엘]](SQL)의 정합성을 검증하는 솔루션으로 다양한 점검 항목을 가지고 있어 Null값 체크, 길이 체크, [[포맷]] 오류 , 그룹 함수 오류, 누락된 표현식과 같은 DB 정보처리 오류 등을 검출할 수 있다. 효율적인 분석 결과 관리로 사용자의 편의성을 고려하여 구성된 직관적인 대시보드 및 통계와 분석 완료 및 이슈 제외 신청에 대한 실시간 알림을 받을 수 있다. 또한, 정확한 검증을 통해 에스큐엘 문에 사용된 [[테이블]]·[[속성]], [[DDL]] (또는 데이터베이스 스키마)에 정의된 테이블·속성이 동일한지 검사할 수 있다. 검출 취약점의 정확한 위치 제공으로 취약점의 검출 과정을 쉽게 이해할 수 있는 네비게이터를 보유하고 있다.<ref>〈[]〉, 《》</ref><ref>SysMaster Sparrow SQLCC - https://d4xyet462jil9.cloudfront.net/brochure/brochure-sqlcc-ko.pdf</ref>
[[파일:SQLCC.png|가운데|300픽셀|'''스패로우SQLCC ''']]
 
  
=== 스패로우DAST ===
+
=== DAST ===
강력한 분석 능력과 높은 사용 편의성을 제공하는 웹 애플리케이션 취약점 동적 분석 솔루션으로 높은 사용 편의성을 가지고 있어 웹 기반 사용자 인터페이스로 개별 설치가 필요 없으며 웹 브라우저를 통해 누구나 손쉽게 접근 가능하며 분석결과 공유 및 중앙 관리를 한다. 최신 웹 애플리케이션 기술을 적용하여 [[HTML5]], [[Ajax]] 등 최신 기술을 사용하는 웹 애플리케이션 분석이 가능하며, 브라우저에서 수행할 수 있는 다양한 이벤트를 재현하여 보안 취약점 검출이 가능하다. 또한, 강력한 분석 능력을 가지고 있어 브라우저 이벤트 재현 기술을 사용하여 웹 애플리케이션에 존재하는 보안취약점 검출한다. 상호작용 지원으로 자사의 분석도구와 상호작용을 통해 동적분석 한계 극복하고, 웹 애플리케이션의 내부 동작 과정을 상호작용하며 직접 분석하는 트루스캔 기능을 가지고 있다.<ref>SysMaster Sparrow DAST - https://d4xyet462jil9.cloudfront.net/brochure/brochure-dast-ko.pdf</ref>
+
[[파일:DAST.png|썸네일|300픽셀|'''스패로우 DAST 흐름도''']]
  
;흐름도
+
스패로우 DAST는 강력한 분석 능력과 높은 사용 편의성을 제공하는 웹 애플리케이션 취약점 동적 분석 솔루션으로 높은 사용 편의성을 가지고 있어 웹 기반 사용자 인터페이스로 개별 설치가 필요 없으며 웹 브라우저를 통해 누구나 손쉽게 접근 가능하며 분석결과 공유 및 중앙 관리를 한다. 최신 웹 애플리케이션 기술을 적용하여 [[HTML5]], [[Ajax]] 등 최신 기술을 사용하는 웹 애플리케이션 분석이 가능하며, 브라우저에서 수행할 수 있는 다양한 이벤트를 재현하여 보안 취약점 검출이 가능하다. 또한, 강력한 분석 능력을 가지고 있어 브라우저 이벤트 재현 기술을 사용하여 웹 애플리케이션에 존재하는 보안취약점 검출한다. 상호작용 지원으로 자사의 분석도구와 상호작용을 통해 동적분석 한계 극복하고, 웹 애플리케이션의 내부 동작 과정을 상호작용하며 직접 분석하는 트루스캔 기능을 가지고 있다.<ref name="홈피"></ref>
[[파일:DAST.png|가운데|300픽셀|'''스패로우DAST ''']]
 
  
=== 스패로우RASP ===
+
=== RASP ===
외부 입력 데이터로 인한 공격을 실시간으로 탐지하고 방어할 수 있는 웹 애플리 케이션 자가 방어 솔루션으로 실시간 보안 위협 자가 방어가 가능하다. 모든 외부 요청 파라미터 데이터 및 DB 질의 결과 데이터 추적과 모든 외부 데이터의 [[WAS]] 내부에서의 처리 과정 추적, 추적 도중 위협 가능성 발견 시 해당 요청에 대한 이슈 기록 및 요청을 차단할 수 있다. 또한 효율적인 관리로 보호 대상 웹 애플리케이션 자가 방어로 규칙 정의 및 세부 사항 손쉽게 변경 가능하고, RASP가 탐지한 모든 공격 시도 관련 정보 및 공격 동향 등 확인 가능하며, 다수의 웹 애플리케이션을 한 곳에서 통합 관리 가능하다. 취약점 방어 비용과 리소스 절감으로 운영 중인 프로그램을 새로 개발하지 않더라도 신속하고 유연하게 취약점 방어 가능하다. 레거시 시스템에 대한 신규 개발없이 취약점 방어가 가능하여 신규 개발 비용이 절감되고, 다수의 웹 애플리케이션 보안 이슈 통합 관리 가능하다.<ref>SysMaster Sparrow RASP - https://d4xyet462jil9.cloudfront.net/brochure/brochure-rasp-ko.pdf</ref>
+
[[파일:RASP.png|썸네일|300픽셀|'''스패로우 RASP 흐름도''']]
  
;흐름도
+
외부 입력 데이터로 인한 공격을 실시간으로 탐지하고 방어할 수 있는 웹 애플리 케이션 자가 방어 솔루션으로 실시간 보안 위협 자가 방어가 가능하다. 모든 외부 요청 파라미터 데이터 및 DB 질의 결과 데이터 추적과 모든 외부 데이터의 [[WAS]] 내부에서의 처리 과정 추적, 추적 도중 위협 가능성 발견 시 해당 요청에 대한 이슈 기록 및 요청을 차단할 수 있다. 또한 효율적인 관리로 보호 대상 웹 애플리케이션 자가 방어로 규칙 정의 및 세부 사항 손쉽게 변경 가능하고, RASP가 탐지한 모든 공격 시도 관련 정보 및 공격 동향 등 확인 가능하며, 다수의 웹 애플리케이션을 한 곳에서 통합 관리 가능하다. 취약점 방어 비용과 리소스 절감으로 운영 중인 프로그램을 새로 개발하지 않더라도 신속하고 유연하게 취약점 방어 가능하다. 레거시 시스템에 대한 신규 개발없이 취약점 방어가 가능하여 신규 개발 비용이 절감되고, 다수의 웹 애플리케이션 보안 이슈 통합 관리 가능하다.<ref>〈[]〉, 《》</ref><ref>SysMaster Sparrow RASP - https://d4xyet462jil9.cloudfront.net/brochure/brochure-rasp-ko.pdf</ref>
[[파일:RASP.png|가운데|300픽셀|'''스패로우RASP ''']]
 
  
=== 스패로우Service Tester ===
+
=== 스패로우 서비스 테스터 ===
애플리케이션에 존재하는 서비스 기능 단위·통합·회귀 검증 솔루션으로 손쉬운 테스트 케이스 생성으로 랜덤 규칙 유형을 이용해 생성한다. 경계 값 또는 동치 클래스 분석으로 도출된 조합 값을 이용해 생성하고, 정적 분석 기술을 접목한 자동 생성이 가능하다. 반복적인 테스트 케이스 사용으로 DB 설정 값을 이용하여 테스트케이스를 반복적으로
+
[[파일:ServiceTester.png|썸네일|300픽셀|'''스패로우 서비스 테스터 흐름도''']]
사용한다. 매크로와 스크립트를 이용하여 실행 시점에 변경되는 값을 재사용한다. 또한, 획기적인 커버리지 향상으로 다양한 테스트 케이스 생성 방법 제공으로 용이한 구문 커버리지를 달성하고, 정적 분석 기술을 이용한 테스트 케이스 자동 생성으로 용이한 분기문 조건문 커버리지 달성이 가능하다. 실시간 테스트 모니터링을 통해 실시간 테스트 케이스 생성 및 현황 집계를 하고, 개인별·팀별 등 다양한 테스트 진척 현황을 공유할 수 있고, 모니터링 데이터에서 테스트 오류 유형을 분석하여 반복적인 실수 확인 가능하다.<ref>SysMaster Sparrow Service Tester - https://d4xyet462jil9.cloudfront.net/brochure/brochure-serviceTester-ko.pdf</ref>
 
  
;흐름도
+
스패로우 서비스 테스터는 애플리케이션에 존재하는 서비스 기능 단위·통합·회귀 검증 솔루션으로 손쉬운 테스트 케이스 생성으로 랜덤 규칙 유형을 이용해 생성한다. 경계 값 또는 동치 클래스 분석으로 도출된 조합 값을 이용해 생성하고, 정적 분석 기술을 접목한 자동 생성이 가능하다. 반복적인 테스트 케이스 사용으로 DB 설정 값을 이용하여 테스트케이스를 반복적으로
[[파일:ServiceTester.png|가운데|300픽셀|'''스패로우Service Tester''']]
+
사용한다. 매크로와 스크립트를 이용하여 실행 시점에 변경되는 값을 재사용한다. 또한, 획기적인 커버리지 향상으로 다양한 테스트 케이스 생성 방법 제공으로 용이한 구문 커버리지를 달성하고, 정적 분석 기술을 이용한 테스트 케이스 자동 생성으로 용이한 분기문 조건문 커버리지 달성이 가능하다. 실시간 테스트 모니터링을 통해 실시간 테스트 케이스 생성 및 현황 집계를 하고, 개인별·팀별 등 다양한 테스트 진척 현황을 공유할 수 있고, 모니터링 데이터에서 테스트 오류 유형을 분석하여 반복적인 실수 확인 가능하다.<ref name="홈피"></ref>
  
=== 스패로우InteractiveHUB ===
+
=== 스패로우 인터랙티브 허브 ===
애플리케이션 라이프사이클 전반에 대한 보안 취약점 통합 관리와 상호작용이 가능한 웹 애플리케이션 통합 취약 분석 플랫폼으로 웹 애플리케이션의 개발·테스트·운영 시 발생한 보안 취약점 통합 관리가 가능하다. 각 취약점 점검 도구간의 정보를 활용하여 취약점 검출 능력이 향상되고, 취약점 점검 도구에서 상호작용 정보를 사용할 수 있는 API 제공이 가능하다. 각 도구의 취약점 점검 시 저장된 상호작용 정보를 활용하여 취약점 점검이 가능하다.<ref>SysMaster Sparrow InteractiveHUB - https://d4xyet462jil9.cloudfront.net/brochure/brochure-ihub-ko.pdf</ref>
+
[[파일:InteractiveHUB .png|썸네일|700픽셀|'''스패로우 인터랙티브 허브 흐름도''']]
  
;흐름도
+
스패로우 인터랙티브 허브는 애플리케이션 라이프사이클 전반에 대한 보안 취약점 통합 관리와 상호작용이 가능한 웹 애플리케이션 통합 취약 분석 플랫폼으로 웹 애플리케이션의 개발·테스트·운영 시 발생한 보안 취약점 통합 관리가 가능하다. 각 취약점 점검 도구간의 정보를 활용하여 취약점 검출 능력이 향상되고, 취약점 점검 도구에서 상호작용 정보를 사용할 수 있는 API 제공이 가능하다. 각 도구의 취약점 점검 시 저장된 상호작용 정보를 활용하여 취약점 점검이 가능하다.<ref name="홈피"></ref>
[[파일:InteractiveHUB .png|가운데|700픽셀|'''스패로우InteractiveHUB ''']]
 
 
 
== 특징 ==
 
;장점
 
정적 분석 솔루션을 비교하거나 선택할 때 가장 중요한 요소는 오탐률이다. 분석기의 성능을 비교하는 벤치마크에서 분석기가 알려주는 보안약점의 개수만으로는 분석기의 우수성을 판단할 수 없다. 스패로우는 국내 유일 모든 형태의 시맨틱 분석이 가능한 높은 레벨의 시큐어코딩 분석 도구로써 보안 취약점 외에 소스코드 표준, 실행오류까지 모두 검출한다. 프로그램의 실행 의미를 분석하는 시맨틱 분석 엔진과 정해진 패턴을 바탕으로 빠르고 정확하게 구문을 분석하는 시맨틱 엔진을 복합 적용해 뛰어난 검출력과 낮은 오탐율을 가지고 있다.<ref>관리자, 〈[https://www.comworld.co.kr/news/articleView.html?idxno=48823 (솔루션리뷰) 빠르고 정확한 시큐어코딩 진단 도구 ‘스패로우’]〉, 《컴퓨터월드》, 2015-08-01</ref>
 
  
 
{{각주}}
 
{{각주}}
59번째 줄: 63번째 줄:
 
== 참고자료 ==
 
== 참고자료 ==
 
* ㈜스패로우 홈페이지 - https://www.sparrowfasoo.com/ko/
 
* ㈜스패로우 홈페이지 - https://www.sparrowfasoo.com/ko/
* SysMaster Sparrow SAST - https://d4xyet462jil9.cloudfront.net/brochure/brochure-sast-ko.pdf
 
* SysMaster Sparrow SAQT - https://d4xyet462jil9.cloudfront.net/brochure/brochure-saqt-ko.pdf
 
* SysMaster Sparrow SQLCC - https://d4xyet462jil9.cloudfront.net/brochure/brochure-sqlcc-ko.pdf
 
* SysMaster Sparrow DAST - https://d4xyet462jil9.cloudfront.net/brochure/brochure-dast-ko.pdf
 
* SysMaster Sparrow RASP - https://d4xyet462jil9.cloudfront.net/brochure/brochure-rasp-ko.pdf
 
* SysMaster Sparrow Service Tester - https://d4xyet462jil9.cloudfront.net/brochure/brochure-serviceTester-ko.pdf
 
* SysMaster Sparrow InteractiveHUB - https://d4xyet462jil9.cloudfront.net/brochure/brochure-ihub-ko.pdf
 
 
* 관리자, 〈[https://www.comworld.co.kr/news/articleView.html?idxno=48823 (솔루션리뷰) 빠르고 정확한 시큐어코딩 진단 도구 ‘스패로우’]〉, 《컴퓨터월드》, 2015-08-01
 
* 관리자, 〈[https://www.comworld.co.kr/news/articleView.html?idxno=48823 (솔루션리뷰) 빠르고 정확한 시큐어코딩 진단 도구 ‘스패로우’]〉, 《컴퓨터월드》, 2015-08-01
  
 
== 같이 보기 ==
 
== 같이 보기 ==
* [[㈜스패로우]]
+
* [[소스코드]]
 
 
  
 +
{{로고 수정 필요}}
 
{{보안|검토 필요}}
 
{{보안|검토 필요}}

2021년 1월 21일 (목) 20:29 판

스패로우(Sparrow)
스패로우(Sparrow)

스패로우(Sparrow)는 다양한 분석 기술을 바탕으로 소스코드 상의 보안약점을 정확하고 빠르게 검출하는 정적 분석 도구이다.

개요

스패로우는 보안 솔루션으로 다양한 분석 기술을 바탕으로 소스코드 상의 보안약점을 정확하고 빠르게 검출하는 정적 분석 도구이다. 제품의 종류로는 스패로우 SAST, SAQT, SQLCC, DAST, RASP, 서비스 테스터, 인터랙티브 허브가 있다. 이 제품들의 경우 홈페이지에 있는 제품 브로슈어를 통해 각 제품들의 지원 언어 및 점검 항목과 운영체제와의 특징 및 흐름을 알 수 있다.[1]

특징

서비스

진단 서비스

소스코드 진단 서비스는 진단 전문가가 스패로우 SAST 및 스패로우 SAQT로 소스코드를 진단하는 서비스이다. 자체 개발 분석도구의 활용은 시큐어토딩 분석도구인 스패로우 SAST로 진단하고, 소스코드 품질 분석도구로 스패로우 SAQT로 진단한다. 진단결과 보완조치 및 검출 결과의 리뷰와 진단전문가의 소스코드 결과를 리뷰한다. 또한, 미팅을 통하여 소스코드 수정 가이드를 제공하는 서비스이다. 스패로우는 다수의 진단 전문가를 보유하고 있다. 소프트웨어 보안약점 진단원 자격을 보유하고 있는 진단 전문가로 구성되어 있으며, 다수의 진단 전문가들이 신속하고 정확한 진단 서비스를 제공하는 시스템이다. 이로인해 소프트웨어에 존재하는 취약점과 상태확인이 가능하고, 신규 개발 및 운영 중인 소프트웨어의 안전성을 강화할 수 있다. 또한, 빠르게 변화하는 보안과 품질은 요구사항에 대해 신속하게 반영할 수 있다. 소스코드 진단서비스는 다섯 단계로 진행되며, 진단 도구를 설치하는 사전준비에는 점검 기준 및 분석에 대상을 협의하는 단계이다. 1차 진단을 진행하면 소스코드 1차 분석후에 분석결과를 진단하며, 1차 결과에대한 리뷰 및 통계와 자료 및 수정 가이드를 제공한다. 다음으로는 취약점을 수정하는 1차 진단 보완조치를 수행하고, 소스코드 2차 분석후에 분석결과를 진단해주는 이행점검인 2차 진단 진행이 이루어진다. 2차 결과에 대한 리뷰 및 통계와 수정 가이드를 제공한다. 마지막으로, 2차 진단 보완조치 단계까지 마치면 진단 서비스가 모두 완료된다.

웹 취약점 진단 서비스는 진단 전문가가 스패로우 DAST로 웹 사이트를 진단하는 서비스이다. 자체 개발 분석도구를 활용하여 웹 취약점 분석 도구인 스패로우 DAST로 진단한다. 맞춤형 서비스 제공으로는 진단 전문가의 웹 취약점 진단 결과에 대한 리뷰와 미팅을 통하여 웹 취약점 수정 가이드를 제공한다. 또한, 소스코드 진단 서비스와 같이 다수의 전문가를 보유하여 소프트웨어 보안약점 진단원 자격으로 전문가들을 구성했다. 다수의 진단 전문가들은 신속하고 정확한 진단 서비스를 제공하고 있다. 이 웹 취약점 진단 서비스는 웹 애플리케이션에 존재하는 취약점 상태를 확인할 수 있고, 신규 개발과 운영중인 웹 애플리케이션의 안전성을 강화한다. 또한, 빠르게 변화하는 보안과 품질에 대한 요구사한을 신속하게 반영하고 있다. 수행방법은 소스코드 진단 서비스와 동일하게 진행된다.

매니지드 서비스

매니지드 서비스는 스패로우 애플리케이션의 보안 강화와 품질 향상을 위한 사용자 맞춤형 관리 서비스이다. 시큐어코딩 분석 도구인 스패로우 SAST로 분석 서비스를 제공하고, 전문가가 검출된 보안 약점을 쉽게 파악할 수 있도록 분류하는 서비스이다. 또한, 분석 결과에 대한 수정 가이드도 제공하고 있다. 품질 분석 서비스에는 코드 품질 분석도구인 스패로우 SAQT로 분석 서비스를 제공하며, 전문가가 직접 검출된 품질 결함을 쉽게 파악할 수 있게 분류하고 있다. 분석 결과에 대한 수정가이드 역시 제공하고 있다. 웹 취약성 분석 서비스는 시큐어코딩 분석 서비스와 품질 분석 서비스와 동일하며, 웹 취약점 분석 도구인 스패로우 DAST를 사용하여 분석하는 서비스이다. 상호작용 플랫폼 서비스는 소프트웨어 개발과 테스트 및 운영단계에서 발생할 수 있는 보안 취약점을 통합관리하는 스패로우 인터랙티브 허브를 적용하여 각 분석 도구간의 상호작용 정보를 활용하는 서비스이다. 스패로우의 다른 서비스와 같이 매니지드 서비스 역시 검출된 취약점 분석 결과에 대한 수정 가이드를 제공한다. 매니지드 서비스는 사용자에게 필요한 서비스를 제공하여 고객 만족도 향상과 전문가의 지속적인 관리로 업무 효율성을 개선할 수 있다. 또한, 제품 도입이 어려운 사용자가 보다 저렴한 맞춤형 서비스를 이용할 수 있다. 매니지드 서비스의 수행단계는 진단 서비스와 달리 네 단계로 구성되어 있다. 먼저, 사전준비 단계에서는 서비스 점검 도구를 설치하여 적합한 서비스 기간과 서비스 유형 및 교육 형태의 대한 협의가 이루어진다. 분석 수행 단계에서는 소스코드 및 웹을 분석하는 단계이다. 분석 결과를 확인한 후에 결과에 대한 리뷰와 통계 자료를 제공하고, 전문가가 직접 작성한 수정 가이드를 참고하여 검출 취약점을 수정하는


장점

정적 분석 솔루션을 비교하거나 선택할 때 가장 중요한 요소는 오탐률이다. 분석기의 성능을 비교하는 벤치마크에서 분석기가 알려주는 보안약점의 개수만으로는 분석기의 우수성을 판단할 수 없다. 스패로우는 국내 유일 모든 형태의 시맨틱 분석이 가능한 높은 레벨의 시큐어코딩 분석 도구로써 보안 취약점 외에 소스코드 표준, 실행오류까지 모두 검출한다. 프로그램의 실행 의미를 분석하는 시맨틱 분석 엔진과 정해진 패턴을 바탕으로 빠르고 정확하게 구문을 분석하는 시맨틱 엔진을 복합 적용해 뛰어난 검출력과 낮은 오탐율을 가지고 있다.[2]

종류

SAST

스패로우 SAST 흐름도

스패로우 SAST는 다양한 보안점검 항목으로 행정안전부 보안가이드, 전자금융감독규정, OWASP 등 국내 및 국제표준 컴플라이언스 및 표준 가이드 검출 보안과 관련된 8,00여개의 점검항목을 지원한다. 웹 기반 중앙통합관리 시스템으로 통합 점검 결과 관리 및 통계, 대시보드 제공 중앙화된 룰 관리를 통해 일괄 또는 부서별 위험도, 옵션, 설명 관리를 한다. 또한 빠르고 정확한 분석이 가능하여 모델-뷰-컨트롤러 패턴(MVC) 구조 분석, 연관파일 분석, 여러 단계의 함수·파일 호출 관계 분석과 재 분석시 변경·추가 및 연관된 파일만 분석하여 분석 시간을 최소화 할 수 있다. 지능형 애플리케이션으로 취약점 원인부터 문제발생 지점까지 과정을 따라가는 이슈 네비게이터를 가지고 있으며 검출된 취약점에 대해 자동으로 안전하게 수정된 실제 소스코드를 제안하며, 위험도 별 취약점이 자동 분류된다.[1]

SAQT

스패로우 SAQT 흐름도

스패로우 SAQT는 다양한 품질 점검 항목으로 MISRA,방위사업청, BSSC등 국내·국제 표준 컴플라이언스 및 표준 가이드를 검출하고 품질, 코딩컨벤션 등의 1700여개 점검항목 지원한다. 웹 기반 중앙통합관리 시스템으로 통합 점검 결과 관리 및 통계, 대시보드 제공 중앙화된 룰 관리를 통해 일괄 또는 부서별 위험도, 옵션, 설명 관리를 한다. 또한 빠르고 정확한 분석이 가능하여 MVC구조 분석, 연관파일 분석, 여러 단계의 함수·파일 호출 관계 분석과 재 분석시 변경·추가 및 연관된 파일만 분석하여 분석 시간을 최소화 할 수 있다. 지능형 애플리케이션으로 취약점 원인부터 문제발생 지점까지 과정을 따라가는 이슈 네비게이터를 가지고 있으며 검출된 취약점에 대해 자동으로 안전하게 수정된 실제 소스코드를 제안하며, 위험도 별 취약점이 자동 분류된다.[1]

SQLCC

스패로우 SQLCC 흐름도

스패로우 SQLCC는 애플리케이션에 존재하는 에스큐엘(SQL)의 정합성을 검증하는 솔루션으로 다양한 점검 항목을 가지고 있어 Null값 체크, 길이 체크, 포맷 오류 , 그룹 함수 오류, 누락된 표현식과 같은 DB 정보처리 오류 등을 검출할 수 있다. 효율적인 분석 결과 관리로 사용자의 편의성을 고려하여 구성된 직관적인 대시보드 및 통계와 분석 완료 및 이슈 제외 신청에 대한 실시간 알림을 받을 수 있다. 또한, 정확한 검증을 통해 에스큐엘 문에 사용된 테이블·속성, DDL (또는 데이터베이스 스키마)에 정의된 테이블·속성이 동일한지 검사할 수 있다. 검출 취약점의 정확한 위치 제공으로 취약점의 검출 과정을 쉽게 이해할 수 있는 네비게이터를 보유하고 있다.[3][4]

DAST

스패로우 DAST 흐름도

스패로우 DAST는 강력한 분석 능력과 높은 사용 편의성을 제공하는 웹 애플리케이션 취약점 동적 분석 솔루션으로 높은 사용 편의성을 가지고 있어 웹 기반 사용자 인터페이스로 개별 설치가 필요 없으며 웹 브라우저를 통해 누구나 손쉽게 접근 가능하며 분석결과 공유 및 중앙 관리를 한다. 최신 웹 애플리케이션 기술을 적용하여 HTML5, Ajax 등 최신 기술을 사용하는 웹 애플리케이션 분석이 가능하며, 브라우저에서 수행할 수 있는 다양한 이벤트를 재현하여 보안 취약점 검출이 가능하다. 또한, 강력한 분석 능력을 가지고 있어 브라우저 이벤트 재현 기술을 사용하여 웹 애플리케이션에 존재하는 보안취약점 검출한다. 상호작용 지원으로 자사의 분석도구와 상호작용을 통해 동적분석 한계 극복하고, 웹 애플리케이션의 내부 동작 과정을 상호작용하며 직접 분석하는 트루스캔 기능을 가지고 있다.[1]

RASP

스패로우 RASP 흐름도

외부 입력 데이터로 인한 공격을 실시간으로 탐지하고 방어할 수 있는 웹 애플리 케이션 자가 방어 솔루션으로 실시간 보안 위협 자가 방어가 가능하다. 모든 외부 요청 파라미터 데이터 및 DB 질의 결과 데이터 추적과 모든 외부 데이터의 WAS 내부에서의 처리 과정 추적, 추적 도중 위협 가능성 발견 시 해당 요청에 대한 이슈 기록 및 요청을 차단할 수 있다. 또한 효율적인 관리로 보호 대상 웹 애플리케이션 자가 방어로 규칙 정의 및 세부 사항 손쉽게 변경 가능하고, RASP가 탐지한 모든 공격 시도 관련 정보 및 공격 동향 등 확인 가능하며, 다수의 웹 애플리케이션을 한 곳에서 통합 관리 가능하다. 취약점 방어 비용과 리소스 절감으로 운영 중인 프로그램을 새로 개발하지 않더라도 신속하고 유연하게 취약점 방어 가능하다. 레거시 시스템에 대한 신규 개발없이 취약점 방어가 가능하여 신규 개발 비용이 절감되고, 다수의 웹 애플리케이션 보안 이슈 통합 관리 가능하다.[5][6]

스패로우 서비스 테스터

스패로우 서비스 테스터 흐름도

스패로우 서비스 테스터는 애플리케이션에 존재하는 서비스 기능 단위·통합·회귀 검증 솔루션으로 손쉬운 테스트 케이스 생성으로 랜덤 규칙 유형을 이용해 생성한다. 경계 값 또는 동치 클래스 분석으로 도출된 조합 값을 이용해 생성하고, 정적 분석 기술을 접목한 자동 생성이 가능하다. 반복적인 테스트 케이스 사용으로 DB 설정 값을 이용하여 테스트케이스를 반복적으로 사용한다. 매크로와 스크립트를 이용하여 실행 시점에 변경되는 값을 재사용한다. 또한, 획기적인 커버리지 향상으로 다양한 테스트 케이스 생성 방법 제공으로 용이한 구문 커버리지를 달성하고, 정적 분석 기술을 이용한 테스트 케이스 자동 생성으로 용이한 분기문 조건문 커버리지 달성이 가능하다. 실시간 테스트 모니터링을 통해 실시간 테스트 케이스 생성 및 현황 집계를 하고, 개인별·팀별 등 다양한 테스트 진척 현황을 공유할 수 있고, 모니터링 데이터에서 테스트 오류 유형을 분석하여 반복적인 실수 확인 가능하다.[1]

스패로우 인터랙티브 허브

스패로우 인터랙티브 허브 흐름도

스패로우 인터랙티브 허브는 애플리케이션 라이프사이클 전반에 대한 보안 취약점 통합 관리와 상호작용이 가능한 웹 애플리케이션 통합 취약 분석 플랫폼으로 웹 애플리케이션의 개발·테스트·운영 시 발생한 보안 취약점 통합 관리가 가능하다. 각 취약점 점검 도구간의 정보를 활용하여 취약점 검출 능력이 향상되고, 취약점 점검 도구에서 상호작용 정보를 사용할 수 있는 API 제공이 가능하다. 각 도구의 취약점 점검 시 저장된 상호작용 정보를 활용하여 취약점 점검이 가능하다.[1]

각주

  1. 1.0 1.1 1.2 1.3 1.4 1.5 스패로우 공식 홈페이지 - https://www.sparrowfasoo.com/ko/
  2. 관리자, 〈(솔루션리뷰) 빠르고 정확한 시큐어코딩 진단 도구 ‘스패로우’〉, 《컴퓨터월드》, 2015-08-01
  3. 〈[]〉, 《》
  4. SysMaster Sparrow SQLCC - https://d4xyet462jil9.cloudfront.net/brochure/brochure-sqlcc-ko.pdf
  5. 〈[]〉, 《》
  6. SysMaster Sparrow RASP - https://d4xyet462jil9.cloudfront.net/brochure/brochure-rasp-ko.pdf

참고자료

같이 보기


  질문.png 이 문서는 로고 수정이 필요합니다.  

  검수요청.png검수요청.png 이 스패로우 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.