Yasca program Report

  Yasca program Report

 

시큐어 코딩 진단 프로그램

 

- [참고] Yasca program (http://www.scovetta.com/yasca.html)

 

 

(1) 개요

최근 지속적으로 발생되고 있는 웹 해킹 관련 침해사고에 대한 대안으로 시큐어코딩(Secure Coding)이 강조되고 있다.

시큐어 코딩이란 개발 단계에서부터 해킹 등의 공격을 유발할 가능성이 있는 잠재적인 보안 취약점을 사전에 제거하여

외부 공격으로부터 안전한 어플리케이션을 개발하는 것을 말한다.

지난 2012년 12월 부터는 행정자치부의 정보시스템 구축 운영 지침 개정안 행정 예고에 따른 시큐어코딩 의무화

법안이 발표되었다. 하지만 이와 같은 법안이 나왔음에도 불구하고 침해 사고는 좀처럼 줄어들지 않는 것이 현실이다.

 

개발자 입장에서도 마찬가지로 보안 취약점(Hole)의 존재를 찾아 보완하는 일이 쉽지는 않을 것이다. 개발 단계에서부터

시큐어 코딩을 하였더라도 문자열 필터링 우회 기법, 인코딩 또는 암호화를 통한 공격 기법들은 점차 진화하고 있으므로

이를 안심할 수 없다.

 

이와 같은 문제의 해결을 돕기 위해 나온 도구가 몇가지 존재하는데 그중 소스코드 진단 도구 'Yasca'에 대해서 알아본다.

'Yasca'는 2007년도 'Michael Scovetta'라는 개발자에 의해 개발되었으며, 이 도구는 개발자가 애플리케이션을 올바르게

제작할 수 있도록 소스코드에 대한 보안 취약점 및 품질 향상에 도움을 줄 수 있는 오픈 소스 도구이다.

시큐어 코딩과 관련된 다양한 플러그인을 지원하며, 확장성이 뛰어나 개발자들이 선호하는 도구 중 하나이다.

 

공식 홈페이지	http://www.scovetta.com/yasca.html
다운로드 URL	http://sourceforge.net/projects/yasca

[표 1]Yasca 공식 홈페이지 및 다운로드 URL

 

 

yasca 는 기본적으로 소스파일을 하나씩 분석하지만 resource옵션을 추가해 연관성을 가진 소스파일들을 한꺼번에 분석

할 수 있다. 이외에도 옵션을 사용하여 디버깅 기능, 보고서 형식 변경, 스캔 수준 설정, 진단 제외 파일 지정 등의 기능을

사용할 수 있다. 이와 같은 옵션에 대한 설명은 아래 [표 2]에서 확인.

 

 

[표 2] Yasca 주요 옵션 및 설정

 

'yasca'는 독립적으로 실행되는 플러그인들을 추가하여 그 기능을 사용할 수 있다. 사용자가 필요한 플러그인을 여러 개

추가할 수도 있지만, 스캔과 결과 노출의 시간이 비교적 많이 소비된다. Yasca를 실행할 때 추가하여 사용할 수 있는

플러그인 목록

 

 

[표 3] Yasca 플러그인 및 설명

 

Yasca는 사용자의 운영체제에 따라 윈도우 환경은 배치 파일(.bat) 리눅스 환경은 쉘 스크립트(.sh) 파일을 실행해야 한다.

본 테스트는 윈도우 환경에서 진행하였으며, 'php'언어 기반으로 작성된 소스코드를 분석하였다.

Yasca는 명령프롬프트 (CMD)에서 Yasca 디렉토리로 이동한 뒤 Yasca.bat or Yasca를 입력, 실행할 수 있다.

이를 실행할 때 옵션이 존재하지 않을 경우 각 옵션에 대한 목록과 도움말, 실행 예문(Example) 등이 나타나게 된다.