본문내용 바로가기 메인메뉴 바로가기 하단내용 바로가기

최신동향

베라코드(Veracode), 소프트웨어 보안 상태 2017 발표2017.10.31
개요
 
  1. 미국 어플리케이션 보안업체(Veracode)는 2016년 4월부터 2017년 3월까지 1,400 명의 고객을 대상으로 실시된 400,000건의 평가에 대해 약 2,500억줄의 소스코드를 분석한 결과를 발표
     

  

주요내용

 

  • 고객이 개발한 프로그램에 대해 최초 취약점 스캔 시 약 69.8%는 OWASP* TOP 10 취약점에 대해 조치되지 않음
    * OWASP(The Open Web Application Security Project) : 오픈소스 웹 애플리케이션 보안 프로젝트로 주로 웹에 관한 보안 취약점 등을 연구하며, 10대 웹 애플리케이션의 취약점 (OWASP TOP 10)을 발표(04년, 07년, 10년, 13년, 17년)
 
<그림1. 최초 스캔 시 OWASP TOP 10을 조치한 비율>
최초 스캔 시 OWASP TOP 10 조치 비율 - 2017: Passed Percentage -30.2%, 2016: Passed Percentage -38.6%, 2015: Passed Percentage -32.3%
  1. 다만, 고객의 마지막 취약점 스캔 시에는 최초 스캔 대비 취약점이 일부 개선됨(3.9%↑)
 
<그림2. 2017년 최초 및 마지막 스캔 시 OWASP TOP 10을 조치한 비율>
2017년 최초 및 마지막 스캔 시 OWASP TOP 10을 조치한 비율: PASSED Percentage -34.1%
  1. 또한, 최초 및 마지막 스캔 시 심각한 취약점이 발견된 비중은 각각 11.7%, 8.6%이였음
 
<그림3. 최초, 마지막 스캔 시 심각한 취약점이 발견된 비중>
최초, 마지막 스캔 시 심각한 취약점이 발견된 비중, First Scan and any severity percentage : 76.5%, First Scan and high or very high severity percentage : 11.7%
  1. 발견된 취약점 중 가장 많았던 취약점은 정보노출 취약점으로 취약점이 발견된 프로그램 중 약 72.1%를 차지하였으며 뒤를 이어 암호화결함(64.9%), 코드품질(61.7%) 순이였음
 
<그림4. 최초, 마지막 스캔 시 심각한 취약점이 발견된 비중>
취약점이 발견된 프로그램 중 발견된 취약점 비율


 

시사점

 

  • 소프트웨어 개발 시 취약점은 항상 발생할 수 있으므로 개발 단계에서부터 취약점 스캔을 통한 프로그램 개선 작업이 필요함




[출처]
1. https://www.darkreading.com/application-security/veracode-75--of-apps-have-at-least-one-vulnerability-on-initial-scan/d/d-id/1330188?


작성 : 침해대응단 상황관제팀
키워드 베라코드 , 소스코드