본문내용 바로가기 메인메뉴 바로가기 하단내용 바로가기

최신동향

최신동향 상세보기
베라코드(Veracode), 소프트웨어 보안 상태 2017 발표2017.10.31
개요
 
  1. 미국 어플리케이션 보안업체(Veracode)는 2016년 4월부터 2017년 3월까지 1,400 명의 고객을 대상으로 실시된 400,000건의 평가에 대해 약 2,500억줄의 소스코드를 분석한 결과를 발표
     

  

주요내용

 

  • 고객이 개발한 프로그램에 대해 최초 취약점 스캔 시 약 69.8%는 OWASP* TOP 10 취약점에 대해 조치되지 않음
    * OWASP(The Open Web Application Security Project) : 오픈소스 웹 애플리케이션 보안 프로젝트로 주로 웹에 관한 보안 취약점 등을 연구하며, 10대 웹 애플리케이션의 취약점 (OWASP TOP 10)을 발표(04년, 07년, 10년, 13년, 17년)
 
<그림1. 최초 스캔 시 OWASP TOP 10을 조치한 비율>
최초 스캔 시 OWASP TOP 10 조치 비율 - 2017: Passed Percentage -30.2%, 2016: Passed Percentage -38.6%, 2015: Passed Percentage -32.3%
  1. 다만, 고객의 마지막 취약점 스캔 시에는 최초 스캔 대비 취약점이 일부 개선됨(3.9%↑)
 
<그림2. 2017년 최초 및 마지막 스캔 시 OWASP TOP 10을 조치한 비율>
2017년 최초 및 마지막 스캔 시 OWASP TOP 10을 조치한 비율: PASSED Percentage -34.1%
  1. 또한, 최초 및 마지막 스캔 시 심각한 취약점이 발견된 비중은 각각 11.7%, 8.6%이였음
 
<그림3. 최초, 마지막 스캔 시 심각한 취약점이 발견된 비중>
최초, 마지막 스캔 시 심각한 취약점이 발견된 비중, First Scan and any severity percentage : 76.5%, First Scan and high or very high severity percentage : 11.7%
  1. 발견된 취약점 중 가장 많았던 취약점은 정보노출 취약점으로 취약점이 발견된 프로그램 중 약 72.1%를 차지하였으며 뒤를 이어 암호화결함(64.9%), 코드품질(61.7%) 순이였음
 
<그림4. 최초, 마지막 스캔 시 심각한 취약점이 발견된 비중>
취약점이 발견된 프로그램 중 발견된 취약점 비율


 

시사점

 

  • 소프트웨어 개발 시 취약점은 항상 발생할 수 있으므로 개발 단계에서부터 취약점 스캔을 통한 프로그램 개선 작업이 필요함




[출처]
1. https://www.darkreading.com/application-security/veracode-75--of-apps-have-at-least-one-vulnerability-on-initial-scan/d/d-id/1330188?


작성 : 침해대응단 상황관제팀
키워드 베라코드 , 소스코드