정적 분석 도구 성능 비교 및 분석 : 오픈소스의 보안 취약점을 기반으로 = Performance comparison and analysis of static analysis tools : based on vulnerability analysis of open sources / 정지인, 이재혁, 이경률

국회도서관 홈으로 정보검색 소장정보 검색

결과 내 검색

동의어 포함

고급검색

상세검색
저자 검색
관련 키워드 검색
주제별 검색

완전일치
전방일치
후방일치

인명/단체명

	저자정보	상세정보
인명/단체명을 입력하세요.

전방일치
완전일치
후방일치
부분일치

키워드

대표어
외국어
네이버 백과사전

용어관계 검색결과
대표어	동의어	상위어	하위어	관련어	대립어

대분류

중분류

소분류

소장자료
외부기관 자료

목차보기

정적 분석 도구 성능 비교 및 분석 : Performance comparison and analysis of static analysis tools : based on vulnerability analysis of open sources / 오픈소스의 보안 취약점을 기반으로 / 정지인 ; 이재혁 ; 이경률 1

요약 1

ABSTRACT 1

I. 서론 2

II. 관련 연구 2

2.1. Cppcheck 2

2.2. Yasca 2

2.3. Flawfinder 2

2.4. 기존 성능 평가 연구 2

III. 정적 분석 도구의 취약점 탐지 성능 비교 및 분석 2

IV. 탐지된 취약점 상세 분석 및 결과 해석 6

4.1. Null Pointer Dereference 6

4.2. Race Condition 6

4.3. OS Command Injection 7

4.4. Use of Uninitialized Variable 7

V. 결론 10

References 10

[저자소개] 11

초록보기

현재 전 세계적으로 많은 오픈소스가 공개되는 상황에서, 개별적으로 작성하는 소스코드에 취약점이 내포되는 가능성이 존재한다. 본 논문에서는 취약점을 탐지하는 정적 분석 도구인 Cppcheck, Yasca, Flawfinder를 활용하여 공개된오픈소스의 취약점 탐지 결과를 기반으로 성능을 비교하고 분석한다. 이를 위하여, 취약점을 포함하는 샘플 소스코드와암호화 과정을 포함하는 실제 오픈소스를 대상으로, 각 도구의 취약점 탐지 결과를 비교함으로써 성능을 분석하고 비교하였다. 탐지된 소스코드 개수 및 정확도를 기준으로, 탐지 성능을 분석한 결과, Flawfinder가 가장 성능이 높은 것으로분석되었으며, Yasca가 그다음, Cppcheck가 가장 성능이 낮은 것으로 분석되었다. 하지만 각 도구가 탐지한 CWE가중복되지 않고 상이하며, 이는 CWE ID를 기준으로 성능을 정량적으로 평가하기 어려운 한계점이 존재할 것으로 판단된다. 이러한 한계점을 극복하기 위하여, 공개된 CWE의 탐지 정확도에 대한 연구 및 탐지된 CWE 라인에 대한 분석을가지고 동적 분석을 통하여 탐지된 취약점을 검증하는 연구를 진행할 예정이다.

With many open sources being released worldwide, vulnerabilities can be connoted in individual written source codes. In this paper, we analyzed and compared performances based on the detected vulnerability results of open sources using Cppcheck, Yasca, and Flawfinder, which are static analysis tools to detect vulnerabilities. For this purpose, performances were analyzed and compared by comparing the detected vulnerabilities results by using each tool targeting the sample souce codes including the vulnerability and the real open sources including the encryption functions. As a result of analyzing the detection performances based on the number and accuracy of the detected source codes, Flawfinder has the highest performance, Yasca was next, and Cppcheck was analyzed as having the lowest performance. Nevertheless, CEWs detected by each tool are not duplicated and are different, and we consider that there is a limitation in that it is difficult to quantitatively evaluate the detection accuracy of the published CWEs and to verify the detected vulnerabilities based on dynamic analysis with an analysis of the detected CWE results.

권호기사

권호기사 목록 테이블로 기사명, 저자명, 페이지, 원문, 기사목차 순으로 되어있습니다.
기사명	저자명	페이지	목차
특징점 검출 기반 정지 영상에서 판소리 발림의 식별 = Recognition of Pansori motion in still images based on keypoint detection	오문흠, 이혜정, 이준환	p. 575-583	보기

공간 적응적 비정규화 방식 기반 단일 영상 내 그림자 제거 기법 = Spatially adaptive de-normalization based shadow removal from a single image	류현정, 최윤식	p. 584-593	보기

Genetic Swarm Optimization을 활용한 위상배열 안테나의 부배열 가중치 최적화 = Optimization for subarray weighting of a phased array antenna using genetic swarm optimization	정태용, 오경현, 김지형, 우대웅, 황금철	p. 594-598	보기

MIMO-HARQ 시스템을 위한 칼만 필터 기반 터보 등화기 = Kalman filter based turbo equalizer for MIMO-HARQ systems	박상준	p. 599-602	보기

차세대 전술이동통신체계를 위한 이동 기지국 배치 최적화 기법 = An optimal mobile subscriber access points deployment technique for next-generation tactical mobile communication systems	이기훈, 박규동, 전기윤, 전병천, 정방철	p. 603-606	보기

실내 재난 환경에서 상향링크 NOMA 기반의 Fair UAV MAC 프로토콜의 성능 분석 = Performance analysis of fair UAV MAC protocol based on uplink NOMA in indoor disaster environment	강정화, 김재현	p. 607-610	보기

커넥티드 머신을 위한 통신-컴퓨팅 융합 기술 = Communication-computing convergence technique for connected machines	이병주, 노정훈	p. 611-614	보기

사전훈련된 딥러닝 네트워크를 활용한 이미지 기반 딥러닝 모델 설계 = Design of the image-based deep learning model using a pre-training deep learning network	김승환, 문창배, 권기협, 김동성	p. 615-624	보기

네트워크 지능화를 위한 인공지능/기계학습 모델 및 데이터셋 기술동향 = Survey on artificial intelligence & machine learning models and datasets for network intelligence	이주영, 신승재, 윤승현, 김태연	p. 625-643	보기

그래프 신경망을 사용한 개인맞춤형 재활 운동 추천 시스템 = Personalized exercise recommender systems for rehabilitation using graph neural networks	김수연, 오정헌, 오다건, 서창원, 신원용	p. 644-655	보기

자기주권신원에 기반한 검증 가능한 자격증명의 안전한 위임 기법 = Safe transfer method of verifiable credentials based on self-sovereign identity	임승주, 김기형	p. 656-662	보기

루프 언롤링을 이용한 인터미턴트 컴퓨팅 성능 개선 = Improving the performance of intermittent computing using loop unrolling	김시현, 하란	p. 663-670	보기

K-RMF 기반 정보보증의 상호운용성 확보방안 연구 = A study on how to secure interoperability of information assurance based on K-RMF	박종출, 최용훈	p. 671-678	보기

정적 분석 도구 성능 비교 및 분석 : Performance comparison and analysis of static analysis tools : based on vulnerability analysis of open sources / 오픈소스의 보안 취약점을 기반으로	정지인, 이재혁, 이경률	p. 679-689	보기

컨테이너 기반의 모바일 엣지 컴퓨팅을 위한 무중단 서비스 이관 시스템 구현 = Implementation of the zero-downtime service migration system for mobile edge computing based on containerization	김태운	p. 690-699	보기

참고문헌 (16건) : 자료제공( 네이버학술정보 )

참고문헌 목록에 대한 테이블로 번호, 참고문헌, 국회도서관 소장유무로 구성되어 있습니다.
번호	참고문헌	국회도서관 소장유무
1	W. Ryu and S. Gang, “Current trends of major open source licenses,” J. KICS, vol. 36, no. 11, pp. 32-41, Oct. 2019.	미소장
2	Y. Lee, J. Ahn, and J. Choi, “Performance analysis of static analysis tools by software weakness,” in Proc. 2019 KIISE, pp. 272-274, Dec. 2019.	미소장
3	H. Seo, Y. Park, T. Kim, K. Han, and C. Pyo, “Evaluation of static analyzers for weakness in C/C++ programs using juliet and STONESOUP test suites,” J. Korea Soc. Comput. and Inf., vol. 22, no. 3, pp. 17-25, Mar. 2017.	미소장
4	C. L. Blackmon, D. F. Sang, and C. S. Peng, “Performance evaluation of automated static analysis tools,” GSTF J. Comput., vol. 2, no. 1, pp. 214-219, Apr. 2012.	미소장
5	Cppcheck, “A tool for static C/C++ code analysis,” Retrieved May 10, 2021, from http://cppcheck.sourceforge.io.	미소장
6	D. A. Wheeler, “Flawfinder ,” Retrieved May 10, 2021, from https://dwheeler.com/flawfinder	미소장
7	Yasca, “Yet Another Source Code Analyzer ,”Retrieved May 10, 2021, from http://scovetta. github.io/yasca.	미소장
8	NIST, “Test Suites,” Retrieved May 10, 2021, from https://samate.nist.gov/SRD/testsuite.php.	미소장
9	D. Yang, “System hacking and security:Principles and practices,” 3rd Ed., HANBIT Academy, Nov. 2018.	미소장
10	GitLab, “cryptsetup,” Retrieved May 10, 2021, from https://gitlab.com/cryptsetup/cryptsetup.	미소장
11	GnuPG, “The Gnu Privacy Guard,” Retrieved May 10, 2021, from https://gnupg.org.	미소장
12	Linux Documentation, “pam.d(8) - Linux man page,” Retrieved May 10, 2021, from https://linux.die.net/man/8/pam.d.	미소장
13	OpenBSD Foundation, “OpenSSH,” Retrieved May 10, 2021, from https://www.openssh.com.	미소장
14	OpenSSL, “Cryptography and SSL/TLS Toolkit,”Retrieved May 10, 2021, from https://www. openssl.org.	미소장
15	MITRE, “Common Weakness Enumeration,”Retrieved May 10, 2021, from https://cwe. mitre.org.	미소장
16	K. Chun, H. Kim, K. Park, and K. Lee, “A study on 5 platform technology trends for 4th industrial revolution,” in Proc. Korea Technol. Innovation Soc. Conf, pp. 1375-1389, Jeju island, South Korea, Nov. 2017.	미소장

자료명
저자사항
제어번호
*요청자 이름
*전화번호	휴대폰 번호를 입력하세요.
*이메일	@
*요청내용
*오류항목

청구기호
자료명/저자사항
발행사항
형태사항
ISSN

* 서재명
설명
* 공개수준	비공개 완전공개 * 주의: 국회도서관 이용자 모두에게 공유서재로 서비스 됩니다.

고급검색

다국어입력

국내기사 정적 분석 도구 성능 비교 및 분석 : 오픈소스의 보안 취약점을 기반으로 = Performance comparison and analysis of static analysis tools : based on vulnerability analysis of open sources

목차보기

초록보기

권호기사

참고문헌 (16건) : 자료제공( 네이버학술정보 )

추천서가 (다양한 추천 자료를 만나보세요)

권호

알림톡 발송로 자료명, 기사명/저자명, 수록지명, 자료실, 서가번호, 전화번호로 구성되어 있습니다.




전화번호

고급검색

다국어입력

국내기사 정적 분석 도구 성능 비교 및 분석 : 오픈소스의 보안 취약점을 기반으로 = Performance comparison and analysis of static analysis tools : based on vulnerability analysis of open sources

목차보기

초록보기

권호기사

참고문헌 (16건) : 자료제공( 네이버학술정보 )

추천서가 (다양한 추천 자료를 만나보세요)

MARC 보기

오류 데이터 정정요청

알림톡 발송

권호기사보기

연속간행물 권호 선택

연속간행물 권호 선택

우편복사 안내

도서위치안내(서울관)

저자프로필

목차보기

우편복사 안내

우편복사 목록담기

확인

내서재에 담기

새로운 서재

저장

로그인

권호