홈페이지 취약점 방어 번역(한국어 원본)<Code-Ray(코드레이) : 시큐어코딩 제품>
▶개요
Code-Ray는 소프트웨어 분석 및 설계, 개발구현, 테스트, 운영단계에서 발생할 수 있는 보안 취약점을 관리하기 위해 단계별 소스코드 통합보안관리(웹 소스코드 배포관리/리비전 관리/소스코드 백업 및 복구/웹 소스코드 취약점 분석/소스코드 변조탐지 및 복구/개발자 업무통제/ 형상관리) 기능을 제공하여 소스코드의 허점, 오류, 에러가 없는 건강한 소프트웨어를 구현하는데 도움을 주는 ‘시큐어코딩 솔루션’입니다.
▶주요기능
안행부 SW보안약점 43개 항목 지원
– 소프트웨어 개발시 반드시 배제해야하는 필수 보안약점을 개발 완료 전 검출하여 조기 제거
웹 소스코드 취약점 분석
– 코드변수추적, 코드흐름분석, 취약함수분석 알고리즘에 의한 취약점 탐지 수행
– OWASP TOP 10, CWE/SANS TOP 25를 적용한 탐지규칙을 이용하여 시큐어코딩규칙에 위배된 품질 오류 및 보안 취약점 탐지
웹 소스코드 배포통제
– 작업된 소스코드의 취약점 존재여부를 확인하여 보안 무결성이 보장된 소스코드에 한하여 웹 서버로의 배포여부를 결정
형상관리 시스템 탑재
– SVN 방식의 버전관리 시스템을 포함하고 있어, 개발 및 운영코드에 대한 버전관리를 수행
개발자 업무통제
– 관리자 및 개발자의 업무범위를 고려한 개발 및 관리업무 통제와 내부 또는 외부의 인가되지 않은 사용자로부터 중요정보에 대한 무단 접근을 차단하기 위해 업무 정책을 세부적으로 분리 할 수 있음
등급별 사용자 권한 관리
– 다수 개발자, 다수 프로젝트 관리자, 1인 수퍼 관리자로 등급을 분류할 수 있으며, 웹 개발과 관련된 사용자 추가/삭제, 프로젝트 별 사용자 권한관리 등의 기능 제공
▶특장점
– 전용 Appliance를 통한 보다 강력하고 안정적인 보안정책 운용
– 취약점 점검 완료 시, 취약점이 발생하는 결과부분을 추적하여 취약점 유형별, 위험도 별 정보제공
및 취약점 수정 가이드 라인 제공
– 단순한 취약점 분석뿐만 아니라 소스코드를 체계적으로 관리 할 수 있도록 개발 라이프사이클
전반에 걸친 소스코드 통합보안관리 기능 제공
<Webs-Ray(웹스레이) : 웹방화벽>
▶개요
Webs-Ray는 HTTP(80),HTTP(443)의 Protocol을 Base로 하는 웹 애플리케이션 방화벽으로서 다단계 Process(정책설정/침입탐지/거부/경고/세션차단/IP차단/컨텐츠감시/탐지/경보/복구 등)을 통해 사전에 공격을 예방하고, OWASP 및 SANA 등에서 정의한 취약점 대응 Guideline을 Base로 침해상황을 실시간 모니터링하여 공격을 탐지/차단하는 솔루션 입니다.
▶주요기능
OWASP TOP 10 및 국정원 8대 홈페이지 취약점 방어
Real-Time White-URL 기술
– 기존 웹 애플리케이션 방화벽에 적용된 Positive 방식은 잦은 URL의 변경으로 실제 차단모드로의 변경에 1개월 이상의 많은 시간소요
– White-URL 정의기술은 단 1~2분 사이에 모든 Positive URL인 White-URL 생성 가능
다양한 관리자 기능 및 웹 서버별 정책기능
– 웹 서버별 웹방화벽 운영담당자를 지정하여 역할 기반의 관리자 접근 통제 가능
– 해당 웹 서버 관리자는 해당 서버에 대한 독립적인 정책을 적용, 운영 가능
3단계 방어 체제
– 1차 White-URL 단계, 2차 Positive Rule 단계, 3차 Negative Rule 단계로 3단계 실시간 분석 및 실시간 보호를 원칙으로 탐지 및 방어
개인정보유출 은폐 기능
– 게시판 등의 주민등록번호, 각종 신용카드, 이메일, 전화번호, 휴대폰 등의 개인정보를 차단하는 강력한 개인정보 보호기능 제공
▶특장점
– New Web UI와 다양한 리포트 유형을 통한 관리의 편의성
– 강력한 웹 가속 기능 및 Real Time White-URL 기술을 통한 빠른 탐지
– 중요정보 유출 차단을 통한 안전한 사이트 실현
– 다양한 네트워크 환경 지원
– 정부부처 90% 이상의 점유율 |
홈페이지 취약점 방어 번역(영어 번역본)<Code-Ray : Secure Coding Product>
▶Overview
To manage security vulnerabilities that can occur in the software analysis and design, development and implementation, testing, and production phases, Code-Ray provides a phase-based source code combined security management functionality (Web source code distribution and management/Revision management/Source code backup and recovery/Web source code weakness analysis/Source code modulation detection and recovery/Developer work control/ Configuration management) and is a ‘Secure Coding Solution’ that helps implement a healthy software with no loopholes and errors in the source code.
▶Major Functionalities
Support for Ministry of Security and Public Administration’s 43 SW security weaknesses
– Detects and conducts early elimination of mandatory security weaknesses that must be removed before completing software development
Web source code weakness analysis
– Conduct weakness detection with code variable tracing, code flow analysis, weak function analysis algorithm
– Detects quality errors and security weaknesses that violate Secure Coding policy by using a detection policy that applies OWASP TOP 10, CWE/SANS TOP 25
Web source code distribution control
– Approve distribution to the web server for only code that has been guaranteed security integrity by confirming that the processed source code doesn’t have any weakness
Configuration management system
– Conduct version control on the development and production codes with included SVN type version control system
Developer work control
– Control development and management work by considering the work scope of managers and developers and block access to important information by internal and external users who are not authorized by dividing work policy in detail
Level-based user authorization management
– Can develop authorization levels to multiple developers, multiple project managers, a single super administrator, and provide functionalities for adding/deleting web development related users, and user authorization management for each project
▶Special Advantages
– Operates a stronger and more secure security policy through its own appliance
– Provides information for each type of weakness and risk level, and weakness modification guidelines by tracing the resulting section where the weakness occurs after complete vulnerability check
– Provides source code combined security management functionality over the entire development life cycle to not only analyze simple weaknesses but also systematically manage source code
<Webs-Ray : Web Firewall>
▶Overview
As a firewall for web applications based on HTTP(80), HTTP(443) protocol, Webs-Ray is a solution that prevents attacks beforehand through a multi-step process (Policy setting/Trespassing detection/denial/warning/Session blocking/IP blocking/Contents surveillance/detection/warning/recovery etc.), and detects/blocks attacks by conducting real-time monitoring of violation status based on weakness response guidelines defined by OWASP and SANA.
▶Major Functionalities
OWASP TOP 10 and National Intelligence Service’s 8 Website Weaknesses Defense
Real-Time White-URL technology
– Existing positive method that was applied in web application firewalls takes more than 1 month to change into actual blocking mode due to frequent URL change
– White-URL definition technology can create White-URL, which is an entirely positive URL, in just 1~2 minutes
Various administrator functionalities and policy functionalities for each web server
– Role-based administrator access control by designating web firewall operation administrator for each web server
– The administrator of a web server can apply and operate independent policy on the server
3-step defense system
– Detect and defend based on the principle of a 3-step real-time analysis and protection with the 1st step being White-URL phase, 2nd step being Positive Rule phase, and 3rd step being Negative Rule phase
Personal information leakage concealment functionality
– Provides a strong protection functionality for personal information such as resident registration number, credit cards, email, phone number, and mobile phone number on boards
▶Special Advantages
– Convenient management through new web UI and various report types
– Quick detection through strong web acceleration functionality and real time White-URL technology
– Implementation of safe sites through important information leakage prevention
– Support of various network environments- 90% share of governmental departments |
