The Journal of Korean Institute of Communications and Information Sciences (한국통신학회논문지)

The Korean Institute of Commucations and Information Sciences (한국통신학회)
권호 표지
DOI QR코드

DOI QR Code

Research on Major Weakness Rules for Secure Software Development

소프트웨어 개발 보안성 강화를 위한 주요 보안약점 진단규칙 연구

  • 방지호 (홍익대학교 컴퓨터공학과 실시간시스템 연구실) ;
  • 하란 (홍익대학교 컴퓨터공학과 실시간시스템 연구실)
  • Received : 2013.08.26
  • Accepted : 2013.10.14
  • Published : 2013.10.31
Download PDF
⟨ Previous Next ⟩

Abstract

Recently, to enhance the security of software, static analysis tools for removing weaknesses, the cause of vulnerability, have been used a lot in the software development stage. Therefore, the tools need to have the rules being able to diagnose various weaknesses. Top 5 weaknesses found in the software developed by major domestic information projects from 2011 to 2012 is 76% of top 10 weaknesses per year. Software security can be improved a lot if top 5 weaknesses just are removed properly in software development. In this paper, we propose the PMD's rules for diagnosing the major weaknesses and present the results of its performance test.

최근 소프트웨어 보안성 강화를 위해 소프트웨어 개발단계에서 보안취약점의 원인인 보안약점을 제거하기 위한 정적분석 기반의 도구를 많이 활용하고 있다. 따라서, 보안약점 진단도구는 다양한 보안약점을 진단할 수 있는 진단규칙을 보유하는 것이 필요하다. 2011년부터 2012년까지 국내 주요 정보화사업으로 개발된 소프트웨어에서 발견된 상위 5개의 보안약점은 연도별 상위 10개 보안약점의 76%에 해당된다. 소프트웨어 개발시 상위 5개의 보안약점만 적절히 조치하여도 소프트웨어 보안성이 많이 개선될 수 있다. 본 논문은 많이 활용되고 있는 공개용 진단도구인 PMD를 대상으로 주요 보안약점에 대한 진단규칙과 이에 대한 성능시험 결과를 제시한다.

Keywords

References

  1. R. K. McLean, "Comparing static security analysis tools using open source software," in Proc. IEEE 6th Int. Conf. SW Security Reliability Companion (SERE-C), pp. 68-74, Gaithersburg, U.S.A., June 2012.
  2. MOPAS, A guide to secure software develop ment, Publication No.11-1311000-000330-10, Retrieved June, 1, 2012, from http://www.mopas.go.kr.
  3. MOPAS, Guidelines on building and operating Information Systems, MOPAS Notification No.2012-25, June 2012.
  4. M. Johns and M. Jodeit, "Scanstud: a methodology for systematic, fine-grained evaluation of static analysis tools," in Proc. IEEE 4th ICSTW, pp. 523-530, Berlin, Germany, Mar. 2011.
  5. CERT, CERT Secure Coding Standards, Retrieved July, , 2013, from https://www.securecoding.cert.org/.
  6. MOPAS, A guide to diagnose software weakn ess, Publication No.11-1311000-000395-14, Retrieved May, 12, 2012, from http://www.mopas.go.kr
  7. MOPAS and NIA, eGovernment Standard Framework, Retrieved June, 10, 2013, from http://www.egovframe.kr.
  8. SourceForge, PMD, Retrieved May, 1, 2013, from http://pmd.sourceforge.net.
  9. SourceForge, FindBugs, Retrieved Dec., 11, 2012, from http://findbugs.sourceforge.net.
  10. J. Bang and R. Ha, "Evaluation methodology for weakness diagnostic tool of e-GOV software," J. Korean Inst. Commun. Inform. Sci. (KICS), vol. 38C, no. 4, pp. 335-343, Apr. 2013. https://doi.org/10.7840/kics.2013.38C.4.335
  11. S. Kim, J. Joo, G. Lee, and G. Kwon, "Implementation of code vulnerabilities checker for secure software," in Proc. Korean Soc. Internet Inform. (KSII) Conf. 2010, pp. 605-608, Jeju Island, Korea, June, 2010.
  12. NIST, Software Assurance Metrics And Tool Evaluation, Retrieved Feb., 20, 2013, from http://samate.nist.gov.
  13. J. Bang and R. Ha, "Comparing open source static security analysis tools based on software weakness," in Proc. Korean Ist. Inform. Sci. Eng. Korea Computer Congress (KIISE KCC) 2013, pp. 753-755, Jeju Island, Korea, June 2013.
  14. MOPAS and KISA, 2013 SW Weakness Dignosis Consultant Training Course Materials, 2013