표제지
요약
목차
제1장 서론 9
1.1. 연구배경 9
1.2. 연구목적 10
1.3. 연구범위 및 방법 11
제2장 취약점 관리체계 항목 13
2.1. 시큐어 코딩 개요 13
2.2. S/W 시큐어 코딩 가이드 14
2.3. 국정원 홈페이지 8대 취약점 16
2.4. OWASP TOP10 19
제3장 Java 보안약점 점검도구 유형 20
3.1. 개요 20
3.2. FindBugs 20
3.3. PMD 23
3.4. Yasca 23
제4장 식별항목 적용기준 24
4.1. 개요 24
4.2. 소프트웨어 개발비용 산정 기법 24
4.3. 수학적 비용산정 기법 (기능점수 방법) 26
4.4. 기능점수(간이법)를 활용한 연구S/W 개발비 산정 30
제5장 취약점 점검 도구를 활용한 보안약점 비교 38
5.1. FindBugs를 활용한 취약점 점검 결과 38
5.2. 기능개선된 프로그램의 취약점 점검 결과 46
5.3. 취약점 점검 결과 비교 52
제6장 결론 53
6.1. 결론 도출 53
6.2. 보안 정책 관리 방안 54
참고문헌 55
ABSTRACT 57
〈표1〉 국정원 8대 취약점 항목 16
〈표2〉 OWASP TOP 10 2017 GM Release 19
〈표3〉 비용산정 방식의 종류 25
〈표4〉 기능점수(정통법/간이법) 장·단점 비교 28
〈표5〉 기능점수방식에 의한 소프트웨어 개발비 산정 절차 29
〈표6〉 데이터 기능을 통한 항목 선정 32
〈표7〉 트랜잭션 기능을 통한 항목 선정 33
〈표8〉 기능점수(간이법) 산정 계산 33
〈표9〉 소프트웨어 개발 단계별 기능 점수 가중치 34
〈표10〉 소프트웨어 보정 전 개발 원가 산정 35
〈표11〉 4가지 보정요소별 보정계수 35
〈표12〉 보정 후 개발 원가 36
〈표13〉 직접경비 산정 금액 37
〈표14〉 이윤산정 금액 37
〈그림1〉 소프트웨어 개발 과정 절차 13
〈그림2〉 행정안전부 시큐어 코딩 가이드 15
〈그림3〉 Findbugs에서 제공하는 탐지 유형 21
〈그림4〉 FindSecuritybugs에서 제공하는 탐지 유형 22
〈그림5〉 Null point dereference 취약점 점검 결과 39
〈그림6〉 Unwriteen Field 취약점 점검 결과 40
〈그림7〉 Useless self-operation 취약점 점검 결과 41
〈그림8〉 Reliance on default encoding 취약점 점검 결과 42
〈그림9〉 Mutable static field 취약점 점검 결과 43
〈그림10〉 dubious method used 취약점 점검 결과 44
〈그림11〉 Dead local store 취약점 점검 결과 45
〈그림12〉 Private 배열 반환 취약점 점검 결과 46
〈그림13〉 Malicious code 취약점 점검 결과 47
〈그림14〉 Duplicate Branches 취약점 점검 결과 48
〈그림15〉 Performance 취약점 점검 결과 49
〈그림16〉 RuntimeException 취약점 점검 결과 50
〈그림17〉 Bad practice 취약점 점검 결과 51
〈그림18〉 취약점 점검 결과 비교 52