소프트웨어_개발보안_가이드(2021.12.29)

소프트웨어_개발보안_가이드(2021.12.29).pdf

5.57MB

[Ai 자료 요약] 소프트웨어_개발보안_가이드(2021.12.29)

요약 개요:

본 가이드는 행정안전부와 한국인터넷진흥원(KISA)이 소프트웨어 개발 과정에서 발생할 수 있는 보안 취약점을 사전에 제거하고 안전한 소프트웨어를 개발하기 위해 마련한 지침서입니다. 소프트웨어 생명주기 전반에 걸쳐 적용되어야 하는 개발 보안 활동과 구현 단계의 시큐어 코딩 가이드를 상세히 제시하여, 안전한 소프트웨어 개발 및 도입을 위한 표준을 제공합니다.

주요 내용:

이 가이드는 소프트웨어 개발 보안의 필요성부터 각 단계별 보안 강화 활동, 그리고 시큐어 코딩 가이드까지 포괄적인 내용을 담고 있습니다.

1. 소프트웨어 개발보안 개요:
   • 소프트웨어 개발 보안의 개념과 필요성, 법적 근거 등을 설명합니다.
   • 개발 보안이 소프트웨어 생명주기의 모든 단계에서 요구되는 보안 활동을 포함하며, 좁은 의미로는 구현 단계의 '시큐어 코딩'을 의미함을 명시합니다.
   • 소프트웨어 보안약점의 정의 및 진단 도구/진단원에 대한 용어 설명.
2. 분석·설계 단계 보안 강화 활동:
   • 요구사항 정의 단계: 보안 요구사항을 식별하고 명세화하는 방법. (보안 요건 정의, 위협 모델링 등)
   • 설계 단계: 보안 요구사항을 반영한 아키텍처 및 상세 설계 방안. (보안 아키텍처 설계, 보안 기능 설계, 취약점 최소화를 위한 설계 원칙 등)
   • 이 단계에서 발생할 수 있는 보안 취약점을 미리 예측하고 방지하기 위한 활동들을 중점적으로 다룹니다.
3. 구현 단계 시큐어 코딩 가이드:
   • 주요 보안 약점 유형: 입력 값 검증, 보안 기능, 시간 및 상태, 에러 처리, 코드 품질, 캡슐화, API 오용 등 다양한 보안 약점 유형과 각 유형별 시큐어 코딩 원칙 및 예시를 제시합니다.
   • 각 약점에 대한 상세한 설명과 안전한 코딩 기법을 구체적인 코드 예제와 함께 제공하여 개발자가 쉽게 이해하고 적용할 수 있도록 돕습니다.
   • memset(), memcpy() 등 특정 함수 사용 시 주의사항 및 대안 제시.
4. 시험 단계 보안 강화 활동:
   • 개발된 소프트웨어의 보안 취약점 점검 및 테스트 계획 수립.
   • 보안 약점 진단 도구 활용 및 수동 점검 방법 안내.
5. 부록:
   • 소프트웨어 개발보안 관련 법령 및 고시, 정보보호 관련 국내외 표준 등을 포함하여 참고 자료를 제공합니다.
   • 소프트웨어 보안 약점 진단원 자격 요건, 점검 도구 및 시범사업 사례 등을 포함합니다.

가이드 활용 시 핵심 사항:

• 사전 예방 중심: 소프트웨어 개발 초기 단계부터 보안을 고려하여 취약점을 사전에 방지하는 데 중점을 둡니다.
• 시큐어 코딩 표준 제시: 개발자들이 안전한 코드를 작성할 수 있도록 구체적인 가이드라인과 예시를 제공합니다.
• 지속적인 보안 관리: 개발 생명주기 전반에 걸친 보안 활동을 제시하여 통합적인 보안 관리를 가능하게 합니다.
• 법적 준수: 공공기관 및 주요 정보통신 기반 시설 사업에서 의무화된 개발 보안 활동 준수를 지원합니다.

활용 추천 대상:

정보화사업의 발주기관 담당자, 소프트웨어 개발자, 프로젝트 관리자(PM), 품질 관리자(QA), 보안 담당자 등 소프트웨어 개발 및 관리에 참여하는 모든 이해관계자에게 필수적인 지침서입니다. 안전하고 신뢰성 있는 소프트웨어 개발을 위해 본 가이드를 적극 활용할 것을 권장합니다.

---

출처:

• 자료명: 소프트웨어 개발보안 가이드 (2021.12.29)
• 발간기관: 행정안전부, 한국인터넷진흥원 (KISA)
• 발간연월: 2021년 12월

 

* 모든 자료는 자료출처를 통해서 최신의 자료를 받아서 사용하세요~!!