DOI QR코드

DOI QR Code

A Study on the Structured Weakness Classification for Mobile Applications

모바일 애플리케이션을 위한 보안약점 구조화 기법에 대한 연구

  • Received : 2012.10.25
  • Accepted : 2012.11.13
  • Published : 2012.11.30

Abstract

In recent years, security accidents which are becoming the socially hot issue not only cause financial damages but also raise outflow of private information. Most of the accidents have been immediately caused by the software weakness. Moreover, it is difficult for software today to assure reliability because they exchange data across the internet. In order to solve the software weakness, developing the secure software is the most effective way than to strengthen the security system for external environments. Therefore, suggests that the coding guide has emerged as a major security issue to eliminate vulnerabilities in the coding stage for the prevention of security accidents. Developers or administrators effectively in order to use secure coding coding secure full set of security weaknesses organized structurally and must be managed. And the constant need to update new information, but the existing Secure Coding and Security weakness is organized structurally do not. In this paper, we will define and introduce the structured weakness for mobile applications by the surveys of existing secure coding and coding rules for code analysis tools in Java.

오늘날의 소프트웨어는 인터넷 환경에서 데이터를 교환하기 때문에 해커에 의해 악의적인 공격을 받을 가능성이 항상 존재한다. 이러한 보안약점은 심각한 경제적 손실을 발생시키는 소프트웨어 보안 침해사고의 직접적인 원인이다. 최근에는 보안 약점을 해소하기위해 외부환경에 대한 보안시스템을 견고히 하는 것보다 프로그래머가 견고한 소프트웨어를 개발하는 것이 보안 수준을 향상시킬 수 있는 본질적이고 가장 효과적인 방법이라는 인식이 늘어나고 있다. 이러한 가운데 코딩 단계에서부터 소프트웨어에 대한 취약점을 해소하여 보안 침해사고를 예방하기 위한 코딩 안내서를 제시하는 것이 전 세계적으로 주요한 보안 이슈로 떠오르고 있다. 시큐어 코딩을 개발자나 관리자 입장에서 효과적으로 사용하기 위해서는 전체 시큐어 코딩 집합과 보안약점을 구조적으로 체계화하고 관리해야 하며 새로운 정보의 갱신이 지속적으로 필요하지만, 기존의 시큐어 코딩 및 보안약점은 구조적으로 체계화되어 있지 못하다. 본 논문에서는 Java 언어를 대상으로 기존 시큐어 코딩 자료와 검사 도구의 코딩 룰 조사를 통해 보안 약점을 구조화하고 모바일 애플리케이션을 위한 구조적 보안 약점을 그 결과로 소개한다.

Keywords

References

  1. Gary McGraw, Software Security: Building Security In, Addison-Wesley, Boston, Massachusetts, 2006.
  2. John Viega, Gary MaGraw, Software Security: How to Avoid Security Problems the Right Way, Addison-Wesley, Boston, Massachusetts, 2006.
  3. Common Weakness Enumeration(CWE): A community-Developed Dictionary of Software Weakness Types, http://cwe.mitre.org/, 2009.
  4. J. McManus and D. Mohindra, The CERT Sun Microsystems Secure Coding Standard for Java, https://www.securecoding.cert.org/ confluence/pages/viewpage.action?pageId= 34669015/, 2009.
  5. Roberta Cozza, Carolina Milanesi, Anshul Gupta, Hugues J. De La Vergne, Annette Zimmermann, CK Lu, Atsuro Sato, and Tuong Huy Nguyen, Competitive Landscape: Mobile Devices, Worldwide, 3Q10, Gartner Inc., Stamford, Connecticut, 2010.
  6. H. Chen and D. Wagner, "MOPS: an Infrastructure for Examining Security Properties of Software," Proc. of the 9th ACM Conference on Computer and Communications Security, pp.235-244, 2002.
  7. Fortify Software Inc., Fortify Source Code Analysis(SCA), http://www.fortify.com/products/ sca/, 2009.
  8. Coverity, Inc., Coverity Static Analysis, http:// www.coverity.com/products/static-analysis. html, 2009.
  9. FindBugs, http://findbugs.sourceforge.net/, 2012.
  10. PMD, http://pmd.sourceforge.net/pmd-5.0.0/, 2012.
  11. Jiwoo Park, Yunsik Son, Seokhoon Ko, and Seman Oh, "Design of A Compiler with Secure Coding Rules for Secure Software," CSIT2009, pp. 179-183, 2009.
  12. Jiwoo Park, Yunsik Son, and Seman Oh, "Weakness Analysis Techniques for Mobile Applications," ICCCIT2011, pp. 50-55, 2011.
  13. Yunsik Son and Seman Oh, "Design and Implementation of a Compiler with Secure Coding Rules for Secure Mobile Applications," International Journal of Security and Its Applications, Vol.6, No.4, pp. 201-206, 2012.
  14. 문일룡, 오세만, "모바일 애플리케이션을 위한 취약점 분석기의 설계 및 구현," 멀티미디어학회논문지, 제14권, 제10호, pp. 1335-1347, 2011.
  15. Cigital, Cigital Java Security Rulepack, http:// www.cigital.com/securitypack/view/index. html, 2009.
  16. Katrina Tsipenyuk, Brian Chess, and Gary McGraw, "Seven Pernicious Kingdoms: A Taxonomy of Software Security Errors," IEEE Security & Privacy, Vol.3, No.6, pp. 81-84, 2005. https://doi.org/10.1109/MSP.2005.159
  17. 최윤희, 최은만, "안티 패턴 기반의 정적 분석을 이용한 안드로이드 어플리케이션 취약점 분석," 정보과학회논문지: 컴퓨팅의 실제 및 레터, 제18 권, 제4호, pp. 316-320, 2012.
  18. AppPerfect, http://www.appperfect.com, 2012.
  19. 소프트웨어 개발보안(시큐어 코딩) 가이드, 행정안전부, 2012.

Cited by

  1. An Analysis of the Importance among the Items in the Secure Coding used by the AHP Method vol.13, pp.1, 2015, https://doi.org/10.14400/JDC.2015.13.1.257