ITPE * JackerLab

개요SARIF는 소스코드 정적 분석 도구의 결과를 기계가 읽을 수 있는 JSON 포맷으로 통일하여 다양한 툴, IDE, CI 파이프라인에서 쉽게 분석 결과 공유, 시각화, 통합할 수 있도록 설계된 오픈 표준입니다. Microsoft가 제안하고 OASIS에서 표준화되어 GitHub, CodeQL, Semgrep 등 다양한 정적 분석 도구에서 지원됩니다.1. 개념 및 정의 항목 설명 비고 정의정적 분석 결과를 공유 및 재사용 가능하도록 표준화한 JSON 포맷OASIS(Open Standards) 공식 표준주요 목적툴 간 분석 결과 통합 및 CI/CD 연동 용이성 제공IDE, DevSecOps 플랫폼 통합 가능주요 대상정적 분석기(SAST), 보안 분석 도구, 코드 품질 도구GitHub Code Scann..

개요Graph-Based Dependency Analysis(GBDA)는 소프트웨어 시스템 내 컴포넌트, 모듈, 서비스 간의 의존 관계를 그래프 이론을 활용하여 시각화하고 분석하는 기법입니다. GBDA는 복잡한 의존 구조를 명확히 이해하고, 아키텍처 개선, 기술 부채 식별, 배포 최적화 등에 활용됩니다. 본 글에서는 GBDA의 원리, 적용 기술, 실제 활용 사례를 중심으로 설명합니다.1. 개념 및 정의GBDA는 노드와 엣지로 구성된 그래프 구조를 사용하여 시스템 내 의존성을 모델링하고 분석합니다. 노드는 컴포넌트(예: 클래스, 모듈, 마이크로서비스 등)를, 엣지는 의존 관계(예: 호출, 참조, 데이터 흐름 등)를 나타냅니다.목적: 소프트웨어 구조 내 숨겨진 의존성 및 결합도 문제를 식별필요성: 스파게티 ..

개요Secure Coding(보안 코딩)은 소프트웨어 개발 시 보안 취약점을 사전에 예방하고 안전한 코드를 작성하기 위한 체계적인 개발 지침입니다. 특히 미국 카네기멜론대학의 SEI(Software Engineering Institute) 산하 CERT(Center for Internet Security)가 제공하는 Secure Coding 가이드는 글로벌 보안 표준으로 자리매김하고 있으며, 다양한 프로그래밍 언어에 맞춘 구체적인 규칙과 예제를 통해 실질적인 보안 강화 방안을 제시합니다.1. 개념 및 정의CERT Secure Coding 가이드는 보안 취약점의 근본 원인을 제거하기 위해 프로그래밍 언어별로 표준화된 코딩 규칙을 제공하는 프레임워크입니다. C, C++, Java, Python 등 주요 언어..