검색 결과가 없습니다

검색어와 일치하는 결과가 없습니다.

보안 분석 및 테스트

개요

오라클 코드의 보안 테스트에는 제품의 기능과 품질의 검증을 위한 기능 및 비기능 활동이 모두 포함됩니다. 이들 유형의 테스트들은 종종 서로 중복되는 제품 기능들을 대상으로 하지만, 고유의 목표를 가지고 있으며 서로 다른 팀에 의해 실행됩니다. 기능 및 비기능 보안 테스트는 상호 보완되어 오라클의 제품의 포괄적인 보안 커버리지를 제공합니다.

기능적 보안 테스트

기능적 보안 테스트는 정식 제품 테스트 주기 동안 일반적으로 정규 제품 QA 팀에 의해 수행됩니다. 이 테스트 QA 엔지니어는 앞서 아키텍처 및 체크리스트 검토 프로세스 단계에서 기능적 사양에 대해 합의한 내용을 기준으로 구현된 보안 기능의 적합성을 검증합니다.

보안 인증(Security Assurance) 분석 및 테스트

보안 인증 분석 및 테스트는 다양한 공격 유형에 따라 오라클 제품의 보안 수준을 검증합니다. 오라클 제품에 대한 테스트를 위해 정적 및 동적 분석 등 2가지 범주의 테스트가 실시되며, 아래 섹션에서 자세하게 설명하고 있습니다. 이들 테스트는 각 제품 개발 라이프사이클에 따라 적용되며 서로 다른 이슈 범주를 찾아내기 때문에 오라클 제품 팀이 함께 사용하고 있습니다.

정적 분석

소스 코드의 정적 보안 분석은 제품 개발 주기 동안 사용되는 1차 방어선입니다. 오라클은 HP의 자회사인 Fortify Software의 정적 코드 애널라이저는 물론, 내부에서 개발한 다양한 툴을 이용해 코드가 작성되는 동안 문제를 찾아내고 있습니다. 대부분의 현대식 프로그래밍 언어(C/C++, Java, C# 등)와 플랫폼(J2EE, .NET)으로 개발된 제품들은 조사를 통해 보안 이슈 가능성을 파악합니다. 이러한 유형의 확인 작업은 C/C++ 코드의 버퍼 오버플로우와 메모리 누수, 그리고 J2EE 및 .NET의 자원 처리 이슈를 식별하고 적절하지 않은 증명서 처리, 여러 다양한 인젝션, 시스템 구성 오류 등을 발견하는 데 매우 효과적입니다. 이 유형의 분석이 가진 단점율은 높은 오탐률의 보고서라는 것이며, 따라서 보고된 항목 중 상당 수는 실제로 문제가 되지 않는 것입니다. 일반적으로 이들 조사 보고서의 분석에는 제품 코드에 매우 익숙하고 실제 이슈와 오탐 결과를 분류할 수 있으며 오탐 결과의 수를 줄이는 데 능숙한 제품 팀의 선임 엔지니어가 참가하게 됩니다.

동적 분석

동적 분석 활동은 언제나 최소한 제품 또는 구성 요소가 실행되는 제품 개발의 후반 단계에 이루어집니다. 오라클 조직들 간에 차이가 있을 수 있지만 일반적으로 이러한 활동은 보안 QA 팀(또는 비슷한 전담 그룹)에 의해 처리되고 여러 제품 팀에 의해 공유됩니다. 동적 분석은 외부적으로 보여지는 제품 인터페이스와 API를 대상으로 하며 주로 테스트를 위한 전문 툴을 이용합니다. 수동 및 자동 툴 모두 오라클에서 테스트에 이용되고 있습니다. 자동 툴은 퍼지 기법을 채용해 네트워크에 접속 가능한 제품 인터페이스와 프로토콜을 테스트하는 반면, 수동 툴은 수작업으로 수정해야 하지만 정확도와 정밀도를 더욱 높일 수 있습니다.