ITPE * JackerLab

개요개발보안가이드는 소프트웨어 개발 생명주기(SDLC) 전반에 걸쳐 보안을 고려한 안전한 코드 작성 기준을 제시하는 가이드라인이다. 이는 보안 취약점을 사전에 예방하고, 해킹·침해 사고를 최소화하며, 정보 보호법 등 법적 요구사항을 충족시키는 데 목적이 있다. 특히 금융, 공공, 의료 등 보안이 중시되는 산업에서 필수적으로 준수되어야 하며, 개발자, 기획자, 보안 담당자 모두에게 필요한 지침이다.1. 개념 및 정의개발보안은 소프트웨어 개발 과정에서 보안을 내재화(Shift Left)하는 개념으로, 보안 결함이 제품 출시 전에 제거되도록 한다. 한국에서는 행정안전부, 금융보안원, KISA 등이 개발보안가이드를 제정하여 권고하고 있으며, 주요 기준으로 CWE, OWASP Top 10 등이 사용된다.2. 특징..

개요Secure Coding(보안 코딩)은 소프트웨어 개발 시 보안 취약점을 사전에 예방하고 안전한 코드를 작성하기 위한 체계적인 개발 지침입니다. 특히 미국 카네기멜론대학의 SEI(Software Engineering Institute) 산하 CERT(Center for Internet Security)가 제공하는 Secure Coding 가이드는 글로벌 보안 표준으로 자리매김하고 있으며, 다양한 프로그래밍 언어에 맞춘 구체적인 규칙과 예제를 통해 실질적인 보안 강화 방안을 제시합니다.1. 개념 및 정의CERT Secure Coding 가이드는 보안 취약점의 근본 원인을 제거하기 위해 프로그래밍 언어별로 표준화된 코딩 규칙을 제공하는 프레임워크입니다. C, C++, Java, Python 등 주요 언어..

개요CWE(Common Weakness Enumeration, 공통 취약점 목록)는 소프트웨어 및 하드웨어의 보안 취약점을 체계적으로 정리한 표준 리스트입니다. 이는 개발자와 보안 전문가가 보안 취약점을 효과적으로 식별하고 대응할 수 있도록 돕습니다. 본 글에서는 CWE의 개념, 주요 분류, 활용 방법 및 보안 전략을 살펴보겠습니다.1. 개념 및 정의CWE란?CWE는 MITRE에서 관리하는 보안 취약점의 표준 목록으로, 보안 취약점 유형을 분류하고 이를 분석할 수 있도록 도와줍니다. 개념 설명 CWE ID취약점 유형에 부여된 고유 식별자 (예: CWE-79)CWE 목록다양한 소프트웨어 및 하드웨어 취약점 유형을 정리한 데이터베이스CVE와의 차이점CWE는 취약점 유형을 정의하고, CVE는 개별적인 취약점..