본문 바로가기

SCA4

728x90
AST · DAST · SCA: 안전한 소프트웨어 개발을 위한 보안 점검 핵심 도구 SAST, DAST, SCA는 모두 소프트웨어 개발 및 보안 점검 프로세스에서 매우 중요한 자동화 도구이자 분석 기법입니다.SAST (Static Application Security Testing)정적 분석 도구로, 소스코드, 바이트코드, 또는 바이너리 코드를 실행하지 않고 분석합니다.개발 초기에 코드 레벨의 취약점을 찾아내는 데 유리합니다.컴파일 이전 단계 또는 코드 저장소에 커밋된 시점에서 실행됩니다.주요 특징개발자 코드 수준의 버그, 논리 오류, 보안 취약점(CWE 등)을 탐지코드 품질 개선에도 도움CI/CD 파이프라인에 통합 용이대표 제품제품명특징SonarQube오픈소스 기반, 품질 + 보안 점검 모두 지원CheckmarxSAST 기능 특화, 다양한 언어 지원Fortify Static Code .. 2025. 8. 18.
윈도우 프로세스 모니터 데이터 수집을 통한 추적 및 감사 Living Off The Land (LOTL) 공격을 탐지하기 위해 Wazuh를 사용하는 것은 보안 강화를 위해 필요합니다. 아래는 각 유형의 공격을 탐지하기 위한 주요 포인트와 이를 위해 Wazuh에서 사용할 수 있는 룰셋에 대한 설명입니다.취약점 악용 및 무차별 대입 로그인 시도 모니터링설명: 공격자가 시스템에 접근하기 위해 취약점을 악용하거나 무차별 대입 공격을 시도할 수 있습니다. 이러한 시도는 보안 로그에서 비정상적인 로그인 시도 또는 취약점 악용 시도로 나타날 수 있습니다.탐지 룰셋- rule: id: 100001 level: 12 description: "Brute force attack detected" status: "enabled" decoded_as: "j.. 2024. 9. 7.
SAST DAST IAST 애플리케이션 보안 테스트 방법론 애플리케이션 보안 테스트 기술 선택은 많은 요소에 의존하며, 단순히 '최고'라고 여겨지는 기술을 선택하는 것이 아니라 조직의 특정 요구사항, 리소스, 그리고 개발 및 운영 환경을 고려해야 합니다. SAST(Static Application Security Testing), DAST(Dynamic Application Security Testing), 그리고 IAST(Interactive Application Security Testing)는 각각 고유의 장점과 한계를 가지며, 이들 기술은 서로 대체하는 것이 아니라 보완적으로 작동할 수 있습니다.SAST (Static Application Security Testing)장점: 코드가 실행되지 않기 때문에 개발 초기 단계에서 사용할 수 있으며, 코드의 정적.. 2024. 4. 25.
프로그램 취약성 점검 및 보안 코딩을 위한 방안 비교 1. 소스 보안 분석 툴 활용 포티파이 SCA(Fortify Source Code Analysis) 4.0 클록워크(Klockwork) K7,5, 온스 랩스(Once Labs)의 온스 4.1 아모라이즈(armorize)의 Securecode 컴퓨웨어(Compuware)의 DevPartner Security checker 사용시점 : 개발시 부터 활용 가능 사 용 자 : 개발자 적용기간 : 1주일 이내/Web Application 금 액 : 2~3천/개발자(최소 사용자수 제한으로 가격 매우 고가) 리 뷰 : 어플리케이션 보안의 가장 근본적인 대책은 소스보안 이라는 부분에서 접근하였으나 비용 측면에서 매우 고가이며, 툴은 툴 일뿐이라는 상식 을 벗어나지는 못함. 단 점 : 투자대비 효과 측면에서 타 솔루션과.. 2009. 9. 16.
728x90
728x90