"스패로우"의 두 판 사이의 차이

스패로우(Sparrow)는 다양한 분석 기술을 바탕으로 소스코드 상의 보안약점을 정확하고 빠르게 검출하는 정적 분석 도구이다.

개요

㈜스패로우 회사에서 개발한 보안 솔루션으로 다양한 분석 기술을 바탕으로 소스코드 상의 보안약점을 정확하고 빠르게 검출하는 정적 분석 도구이다. 제품의 종류로는 스패로우 SAST/SAQT/SQLCC/DAST/RASP/ServiceTester/InteractiveHUB가 있다. 이 제품들의 경우 홈페이지에 있는 제품 브로슈어를 통해 각 제품들의 지원 언어/점검 항목/OS와 특징 및 흐름을 알 수 있다.^[1]

종류

스패로우SAST

다양한 보안점검 항목으로 행정안전부 보안가이드, 전자금융감독규정, OWASP 등 국내·국제표준 컴플라이언스 및 표준 가이드 검출 보안과 관련된 800여개의 점검항목을 지원한다. 웹 기반 중앙통합관리 시스템으로 통합 점검 결과 관리 및 통계, 대시보드 제공 중앙화된 룰 관리를 통해 일괄 또는 부서별 위험도, 옵션, 설명 관리를 한다. 또한 빠르고 정확한 분석이 가능하여 MVC구조 분석, 연관파일 분석, 여러 단계의 함수·파일 호출 관계 분석과 재 분석시 변경·추가 및 연관된 파일만 분석하여 분석 시간을 최소화 할 수 있다. 지능형 애플리케이션으로 취약점 원인부터 문제발생 지점까지 과정을 따라가는 이슈 네비게이터를 가지고 있으며 검출된 취약점에 대해 자동으로 안전하게 수정된 실제 소스코드를 제안하며, 위험도 별 취약점이 자동 분류된다.^[2]

흐름도

스패로우SAQT

다양한 품질 점검 항목으로 MISRA,방위사업청, BSSC등 국내·국제 표준 컴플라이언스 및 표준 가이드를 검출하고 품질, 코딩컨벤션 등의 1700여개 점검항목 지원한다. 웹 기반 중앙통합관리 시스템으로 통합 점검 결과 관리 및 통계, 대시보드 제공 중앙화된 룰 관리를 통해 일괄 또는 부서별 위험도, 옵션, 설명 관리를 한다. 또한 빠르고 정확한 분석이 가능하여 MVC구조 분석, 연관파일 분석, 여러 단계의 함수·파일 호출 관계 분석과 재 분석시 변경·추가 및 연관된 파일만 분석하여 분석 시간을 최소화 할 수 있다. 지능형 애플리케이션으로 취약점 원인부터 문제발생 지점까지 과정을 따라가는 이슈 네비게이터를 가지고 있으며 검출된 취약점에 대해 자동으로 안전하게 수정된 실제 소스코드를 제안하며, 위험도 별 취약점이 자동 분류된다.^[3]

흐름도

스패로우SQLCC

애플리케이션에 존재하는 SQL의 정합성을 검증하는 솔루션으로 다양한 점검 항목을 가지고 있어 Null값 체크, 길이 체크, 포맷 오류 , 그룹 함수 오류, 누락된 표현식과 같은 DB 정보처리 오류 등을 검출할 수 있다. 효율적인 분석 결과 관리로 사용자의 편의성을 고려하여 구성된 직관적인 대시보드 및 통계와 분석 완료 및 이슈 제외 신청에 대한 실시간 알림을 받을 수 있다. 또한, 정확한 검증을 통해 SQL문에 사용된 테이블·속성, DDL (또는 데이터베이스 스키마)에 정의된 테이블·속성이 동일한지 검사할 수 있다. 검출 취약점의 정확한 위치 제공으로 취약점의 검출 과정을 쉽게 이해할 수 있는 네비게이터를 보유하고 있다.^[4]

흐름도

스패로우DAST

강력한 분석 능력과 높은 사용 편의성을 제공하는 웹 애플리케이션 취약점 동적 분석 솔루션으로 높은 사용 편의성을 가지고 있어 웹 기반 사용자 인터페이스로 개별 설치가 필요 없으며 웹 브라우저를 통해 누구나 손쉽게 접근 가능하며 분석결과 공유 및 중앙 관리를 한다. 최신 웹 애플리케이션 기술을 적용하여 HTML5, Ajax 등 최신 기술을 사용하는 웹 애플리케이션 분석이 가능하며, 브라우저에서 수행할 수 있는 다양한 이벤트를 재현하여 보안 취약점 검출이 가능하다. 또한, 강력한 분석 능력을 가지고 있어 브라우저 이벤트 재현 기술을 사용하여 웹 애플리케이션에 존재하는 보안취약점 검출한다. 상호작용 지원으로 자사의 분석도구와 상호작용을 통해 동적분석 한계 극복하고, 웹 애플리케이션의 내부 동작 과정을 상호작용하며 직접 분석하는 트루스캔 기능을 가지고 있다.^[5]

흐름도

스패로우RASP

외부 입력 데이터로 인한 공격을 실시간으로 탐지하고 방어할 수 있는 웹 애플리 케이션 자가 방어 솔루션으로 실시간 보안 위협 자가 방어가 가능하다. 모든 외부 요청 파라미터 데이터 및 DB 질의 결과 데이터 추적과 모든 외부 데이터의 WAS 내부에서의 처리 과정 추적, 추적 도중 위협 가능성 발견 시 해당 요청에 대한 이슈 기록 및 요청을 차단할 수 있다. 또한 효율적인 관리로 보호 대상 웹 애플리케이션 자가 방어로 규칙 정의 및 세부 사항 손쉽게 변경 가능하고, RASP가 탐지한 모든 공격 시도 관련 정보 및 공격 동향 등 확인 가능하며, 다수의 웹 애플리케이션을 한 곳에서 통합 관리 가능하다. 취약점 방어 비용과 리소스 절감으로 운영 중인 프로그램을 새로 개발하지 않더라도 신속하고 유연하게 취약점 방어 가능하다. 레거시 시스템에 대한 신규 개발없이 취약점 방어가 가능하여 신규 개발 비용이 절감되고, 다수의 웹 애플리케이션 보안 이슈 통합 관리 가능하다.^[6]

흐름도

스패로우Service Tester

애플리케이션에 존재하는 서비스 기능 단위·통합·회귀 검증 솔루션으로 손쉬운 테스트 케이스 생성으로 랜덤 규칙 유형을 이용해 생성한다. 경계 값 또는 동치 클래스 분석으로 도출된 조합 값을 이용해 생성하고, 정적 분석 기술을 접목한 자동 생성이 가능하다. 반복적인 테스트 케이스 사용으로 DB 설정 값을 이용하여 테스트케이스를 반복적으로 사용한다. 매크로와 스크립트를 이용하여 실행 시점에 변경되는 값을 재사용한다. 또한, 획기적인 커버리지 향상으로 다양한 테스트 케이스 생성 방법 제공으로 용이한 구문 커버리지를 달성하고, 정적 분석 기술을 이용한 테스트 케이스 자동 생성으로 용이한 분기문 조건문 커버리지 달성이 가능하다. 실시간 테스트 모니터링을 통해 실시간 테스트 케이스 생성 및 현황 집계를 하고, 개인별·팀별 등 다양한 테스트 진척 현황을 공유할 수 있고, 모니터링 데이터에서 테스트 오류 유형을 분석하여 반복적인 실수 확인 가능하다.^[7]

흐름도

스패로우InteractiveHUB

애플리케이션 라이프사이클 전반에 대한 보안 취약점 통합 관리와 상호작용이 가능한 웹 애플리케이션 통합 취약 분석 플랫폼으로 웹 애플리케이션의 개발·테스트·운영 시 발생한 보안 취약점 통합 관리가 가능하다. 각 취약점 점검 도구간의 정보를 활용하여 취약점 검출 능력이 향상되고, 취약점 점검 도구에서 상호작용 정보를 사용할 수 있는 API 제공이 가능하다. 각 도구의 취약점 점검 시 저장된 상호작용 정보를 활용하여 취약점 점검이 가능하다.^[8]

흐름도

각주

참고자료

• ㈜스패로우 홈페이지 - https://www.sparrowfasoo.com/ko/
• SysMaster Sparrow SAST - https://d4xyet462jil9.cloudfront.net/brochure/brochure-sast-ko.pdf
• SysMaster Sparrow SAQT - https://d4xyet462jil9.cloudfront.net/brochure/brochure-saqt-ko.pdf
• SysMaster Sparrow SQLCC - https://d4xyet462jil9.cloudfront.net/brochure/brochure-sqlcc-ko.pdf
• SysMaster Sparrow DAST - https://d4xyet462jil9.cloudfront.net/brochure/brochure-dast-ko.pdf
• SysMaster Sparrow RASP - https://d4xyet462jil9.cloudfront.net/brochure/brochure-rasp-ko.pdf
• SysMaster Sparrow Service Tester - https://d4xyet462jil9.cloudfront.net/brochure/brochure-serviceTester-ko.pdf
• SysMaster Sparrow InteractiveHUB - https://d4xyet462jil9.cloudfront.net/brochure/brochure-ihub-ko.pdf