Software Security Assurance

Oracle Software
Security Assurance

코딩 표준

개요

안전한 소프트웨어는 저절로 만들어지지 않습니다. 이를 위해서는 조직 전반에 일관되게 적용되는 방법론이 필요로 합니다. 이러한 방법론은 규정된 정책, 목표 및 원칙을 준수합니다. 그 목적은 안전한 코드를 작성하는 것입니다. 오라클은 규정 및 공표되고 직원들이 교육받은 시큐어 코딩 원칙에 따라 모든 개발을 수행할 것을 요구합니다.

제품 개발 라이프사이클 전반에 걸친 보안 보증

오라클 제품들이 일관되게 높은 보안 인증 수준으로 개발되고 개발자들이 일반적인 코딩 실수를 하지 않도록 돕기 위해 오라클은 공식 보안 코딩 표준을 채용했습니다.

오라클 시큐어 코딩 표준(Oracle Secure Coding Standards)은 개발자들이 시큐어 코드를 작성하는 작업을 지원하는 로드맵이자 지침입니다. 여기에서는 설계 원칙, 암호 및 통신 보안, 공통의 취약점 등과 같은 일반적인 보안 지식 영역에 대해 설명하고 데이터 검증, CGI, 사용자 관리 등과 같은 주제에 대한 구체적인 지침을 제공합니다.

모든 오라클 개발자들은 이들 표준을 습득해야 하며 제품 설계 및 개발 시 이를 적용해야 합니다. 코딩 표준은 오랜 기간에 걸쳐 개발되었으며 모범 사례는 물론, 오라클의 내부 제품 평가 팀이 실시한 지속적인 취약점 테스트를 통해 배운 교훈을 통합했습니다. 오라클은 개발자들이 시큐어 코딩 교육을 받고 코딩 표준을 습득하도록 했습니다. 시큐어 코딩 표준은 Oracle Software Security Assurance의 핵심 구성 요소로서 표준 준수는 모든 오라클 제품의 지원 수명 내내 평가되고 검증됩니다.

시큐어 코딩 표준의 동적인 특성

오라클 시큐어 코딩 표준은 시간이 지나면서 발전하고 확장되었으며 오라클 코드, 통찰력 및 습득한 교훈 등에 영향을 미치는 가장 대표적인 이슈, 발견한 신종 위협 그리고 오라클 고객들의 새로운 활용 사례 등을 처리합니다. 시큐어 코딩 표준은 고립적인 것이 아니며 소프트웨어 개발의 부차적인 추가 작업도 아닙니다. 이는 C/C++, Java, PL/SQL 등과 같은 언어 표준의 핵심이며 Oracle’s Software Security Assurance 프로그램 및 프로세스의 기본 토대입니다.

개발자 교육의 중요성

오랜 기간 동안 오라클은 내부적으로 시큐어 코딩 표준에 대한 교육을 개발했습니다. 오라클은 개발자는 물론, 제품 관리, 릴리스 관리 및 품질 보증 담당자 등을 포함한 자체 제품 개발 조직을 대상으로 이와 같은 교육을 지속적으로 실시하고 있습니다. 교육은 개인 기여자로 국한되지 않으며 최고 부사장에 이르는 관리자들도 시큐어 코딩 교육 강좌를 이수해야 합니다. 지속적인 교육은 개발자들이 시큐어 코딩의 모든 측면을 익히며 오라클이 보안 제품 개발을 위한 높은 표준을 보유하고 있다는 사실을 이해하는 데 도움이 됩니다.


자세히 보기