ITPE * JackerLab

개요SARIF는 소스코드 정적 분석 도구의 결과를 기계가 읽을 수 있는 JSON 포맷으로 통일하여 다양한 툴, IDE, CI 파이프라인에서 쉽게 분석 결과 공유, 시각화, 통합할 수 있도록 설계된 오픈 표준입니다. Microsoft가 제안하고 OASIS에서 표준화되어 GitHub, CodeQL, Semgrep 등 다양한 정적 분석 도구에서 지원됩니다.1. 개념 및 정의 항목 설명 비고 정의정적 분석 결과를 공유 및 재사용 가능하도록 표준화한 JSON 포맷OASIS(Open Standards) 공식 표준주요 목적툴 간 분석 결과 통합 및 CI/CD 연동 용이성 제공IDE, DevSecOps 플랫폼 통합 가능주요 대상정적 분석기(SAST), 보안 분석 도구, 코드 품질 도구GitHub Code Scann..

개요CodeQL은 GitHub이 개발한 오픈소스 질의 기반 코드 분석(Code Analysis) 엔진으로, 코드를 데이터베이스처럼 변환하여 보안 취약점, 버그, 코드 품질 문제를 질의(Query)로 탐색할 수 있다. 정적 분석(Static Analysis) 도구의 한계를 보완하며, 대규모 코드베이스에서도 정밀한 보안 분석과 자동화된 취약점 탐지가 가능하다.1. 개념 및 정의항목내용설명정의CodeQL질의(Query) 기반 코드 분석 및 보안 엔진목적보안 취약점 탐지 및 코드 품질 향상코드베이스를 DB로 변환하여 쿼리 기반 탐색필요성오픈소스 및 대규모 코드 증가자동화된 보안 분석 요구CodeQL은 보안 연구자, 개발자, DevSecOps 팀이 동일한 도구를 활용해 협업 가능한 분석 프레임워크를 제공한다.2...

개요SAST(Static Application Security Testing)는 소스 코드, 바이트 코드 또는 애플리케이션의 중간 코드 상태에서 보안 취약점을 찾아내는 정적 분석 기법입니다. 이는 코드가 실행되기 전에 수행되며, 보안 결함을 조기에 식별하고 수정할 수 있도록 도와줍니다. DevSecOps의 핵심 요소로 부각되며, 소프트웨어 개발 초기 단계에서의 보안 강화를 목표로 합니다.1. 개념 및 정의 항목 설명 정의SAST는 정적 분석 도구를 이용해 코드 실행 없이 취약점을 찾아내는 보안 테스트 방식입니다.목적개발 초기 단계에서 보안 결함을 사전에 탐지 및 수정필요성비용 효율성과 보안 품질 향상을 동시에 실현 가능SAST는 개발 단계에서 Shift Left Testing을 실현하며, 개발자 친화적..