"스패로우"의 두 판 사이의 차이

스패로우(Sparrow)는 다양한 분석 기술을 바탕으로 소스코드 상의 보안약점을 정확하고 빠르게 검출하는 정적 분석 도구이다.

개요

㈜스패로우 회사에서 개발한 보안 솔루션으로 다양한 분석 기술을 바탕으로 소스코드 상의 보안약점을 정확하고 빠르게 검출하는 정적 분석 도구이다. 제품의 종류로는 스패로우 SAST/SAQT/SQLCC/DAST/RASP/ServiceTester/SCA/InteractiveHUB가 있다. 이 제품들의 경우 홈페이지에 있는 제품 브로슈어를 통해 각 제품들의 지원 언어/점검 항목/OS와 특징 및 흐름을 알 수 있다.

종류

스패로우SAST

다양한 보안점검 항목으로 행정안전부 보안가이드, 전자금융감독규정, OWASP 등 국내·국제표준 컴플라이언스 및 표준 가이드 검출 보안과 관련된 800여개의 점검항목을 지원한다. 웹 기반 중앙통합관리 시스템으로 통합 점검 결과 관리 및 통계, 대시보드 제공 중앙화된 룰 관리를 통해 일괄 또는 부서별 위험도, 옵션, 설명 관리를 한다. 또한 빠르고 정확한 분석이 가능하여 MVC구조 분석, 연관파일 분석, 여러 단계의 함수·파일 호출 관계 분석과 재 분석시 변경·추가 및 연관된 파일만 분석하여 분석 시간을 최소화 할 수 있다. 지능형 애플리케이션으로 취약점 원인부터 문제발생 지점까지 과정을 따라가는 이슈 네비게이터를 가지고 있으며 검출된 취약점에 대해 자동으로 안전하게 수정된 실제 소스코드를 제안하며, 위험도 별 취약점이 자동 분류된다.

흐름도

스패로우SAQT

다양한 품질 점검 항목으로 MISRA,방위사업청, BSSC등 국내·국제 표준 컴플라이언스 및 표준 가이드를 검출하고 품질, 코딩컨벤션 등의 1700여개 점검항목 지원한다. 웹 기반 중앙통합관리 시스템으로 통합 점검 결과 관리 및 통계, 대시보드 제공 중앙화된 룰 관리를 통해 일괄 또는 부서별 위험도, 옵션, 설명 관리를 한다. 또한 빠르고 정확한 분석이 가능하여 MVC구조 분석, 연관파일 분석, 여러 단계의 함수·파일 호출 관계 분석과 재 분석시 변경·추가 및 연관된 파일만 분석하여 분석 시간을 최소화 할 수 있다. 지능형 애플리케이션으로 취약점 원인부터 문제발생 지점까지 과정을 따라가는 이슈 네비게이터를 가지고 있으며 검출된 취약점에 대해 자동으로 안전하게 수정된 실제 소스코드를 제안하며, 위험도 별 취약점이 자동 분류된다.

흐름도

스패로우SQLCC

애플리케이션에 존재하는 SQL의 정합성을 검증하는 솔루션으로 다양한 점검 항목을 가지고 있어 Null값 체크, 길이 체크, 포맷 오류 , 그룹 함수 오류, 누락된 표현식과 같은 DB 정보처리 오류 등을 검출할 수 있다. 효율적인 분석 결과 관리로 사용자의 편의성을 고려하여 구성된 직관적인 대시보드 및 통계와 분석 완료 및 이슈 제외 신청에 대한 실시간 알림을 받을 수 있다. 또한, 정확한 검증을 통해 SQL문에 사용된 테이블·속성, DDL (또는 데이터베이스 스키마)에 정의된 테이블·속성이 동일한지 검사할 수 있다. 검출 취약점의 정확한 위치 제공으로 취약점의 검출 과정을 쉽게 이해할 수 있는 네비게이터를 보유하고 있다.

흐름도

스패로우DAST

강력한 분석 능력과 높은 사용 편의성을 제공하는 웹 애플리케이션 취약점 동적 분석 솔루션으로 높은 사용 편의성을 가지고 있어 웹 기반 사용자 인터페이스로 개별 설치가 필요 없으며 웹 브라우저를 통해 누구나 손쉽게 접근 가능하며 분석결과 공유 및 중앙 관리를 한다. 최신 웹 애플리케이션 기술을 적용하여 HTML5, Ajax 등 최신 기술을 사용하는 웹 애플리케이션 분석이 가능하며, 브라우저에서 수행할 수 있는 다양한 이벤트를 재현하여 보안 취약점 검출이 가능하다. 또한, 강력한 분석 능력을 가지고 있어 브라우저 이벤트 재현 기술을 사용하여 웹 애플리케이션에 존재하는 보안취약점 검출한다. 사호작용 지원으로 자사의 분석도구와 상호작용을 통해 동적분석 한계 극복하고, 웹 애플리케이션의 내부 동작 과정을 상호작용하며 직접 분석하는 트루스캔 기능을 가지고 있다.

흐름도

스패로우RASP