정보보안 SUA - [오픈소스 보안] 7주차

1. 과제

<[Juice-Shop] 취약점 3개 찾기>

<[GitHub] README.md 작성하기>

<Snyk, Sken.ai로 각자 진단하고 싶은 오픈소스를 분석하고, 결과 정리>

<[GoKart] 코드 수정 후 재실행 해보기>

<[Go-SCP] 섹션 공부하기>

<[LGTM] 오픈소스 3개 follow 후 결과 정리하기>

 

2. 내용

<IAST vs. SCA>

IAST ?

대화형 애플리케이션 보안 테스트(IAST)는 앱이 실제로 사용되는 동안
(실제 사용자 또는 자동화된 테스트 실행자가) 애플리케이션 실행 취약점을 테스트하는
애플리케이션 보안 테스트 방법

장점
- 프로덕션에서 코드 스캔 : 프로덕션에서 실제로 사용되는 코드를 스캔할 수 있다.

- 개발 중인 코드 스캔 : IAST는 개발 중에도 사용할 수 있다.
일부 IAST 도구는 IDE 통합과 함께 제공되어 엔지니어에게 구현 중인 기능에 대한 빠른 피드백을 제공함. 

- 빠른 수정 : IAST를 사용하면 애플리케이션을 클릭하여 문제를 찾고 빠른 수정을 위한
권장 사항을 제공할 수 있음. 

단점
- 시간 집약적 : IAST 테스트 방법을 사용하려면 애플리케이션을 빌드하고 실행해야 하므로
장기적으로 상당한 시간 투자가 필요

- 100% 코드 커버리지 없음 : 실제로 실행되는 코드만 스캔하는 단점은 IAST가 모든 코드를 스캔하지 않는다.

 

SCA?

코드베이스에서 오픈 소스 소프트웨어를 식별하는 자동화된 프로세스 
이 분석은 보안, 라이선스 준수 및 코드 품질을 평가하기 위해 수행됨.

장점
- SCA 솔루션은 알려진 취약점이 있는 오픈 소스 라이브러리를 알려줄 뿐만 아니라
  코드가 영향을 받는 라이브러리를 호출하는지 여부를 알려주고 적용 가능한 경우 수정 사항을 제안.

- 보안 취약점에 우선 순위를 지정하고 교정 조언을 제공하는 솔루션임 
더 많이 자동화할수록 개발 속도를 늦추지 않으면서, 가장 중요한 문제를 먼저 해결하기가 더 쉬워짐

단점
- 오픈 소스 사용이 계속 확산됨에 따라 알려진 오픈 소스 취약점의 수도 증가함.
개발자와 보안 전문가가 매일 처리하는 경고의 양을 고려할 때 모든 것이 혼돈이 됨

 

3. 후기

취약점을 점검하는 사람들은, 그 방대한 양의 코드를 하나하나 점검하는건가 싶었는데,

취약점 점검 자동화 툴을 알고난 후 그게 아닐수도 있겠다 라는 생각을 했다.

 

자동화 툴은 정말 편한 것 같다.

때론, 자동화 툴을 상황에 맞게 변경할 수 있어야 한다고 생각하고

그래서 코딩은 언제나 필요하다고 생각된다.   

 

4. 결론

1. 자동화 툴 자주 써보기

2. 영어공부에 시간을 더 투자하기 

 

5. 참고

IAST 설명

https://snyk.io/learn/application-security/iast-interactive-application-security-testing/

Interactive Application Security Testing (IAST) | Snyk

 

SCA

https://www.synopsys.com/glossary/what-is-software-composition-analysis.html

What is Software Composition Analysis and How Does it Work? | Synopsys