KIPS Transactions on Software and Data Engineering (정보처리학회논문지:소프트웨어 및 데이터공학)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

Cost Based Vulnerability Control Method Using Static Analysis Tool

정적 분석 툴을 이용한 비용 기반의 취약점 처리 방안

  • 이기현 (단국대학교 컴퓨터학과 소프트웨어보안) ;
  • 김석모 (단국대학교 컴퓨터학과 소프트웨어보안) ;
  • 박용범 (단국대학교 전자계산학과) ;
  • 박제호 (단국대학교 전자계산학과)
  • Received : 2015.11.30
  • Accepted : 2016.01.22
  • Published : 2016.03.31
Download PDF
⟨ Previous Next ⟩

Abstract

When, Software is developed, Applying development methods considering security, it is generated the problem of additional cost. These additional costs are caused not consider security in many developing organization. Even though, proceeding the developments, considering security, lack of ways to get the cost of handling the vulnerability throughput within the given cost. In this paper, propose a method for calculating the vulnerability throughput for using a security vulnerability processed cost-effectively. In the proposed method focuses on the implementation phase of the software development phase, leveraging static analysis tools to find security vulnerabilities in CWE TOP25. The found vulnerabilities are define risk, transaction costs, risk costs and defines the processing priority. utilizing the information in the CWE, Calculating a consumed cost in a detected vulnerability processed through a defined priority, and controls the vulnerability throughput in the input cost. When applying the method, it is expected to handle the maximum risk of vulnerability in the input cost.

소프트웨어 개발 시 보안을 고려한 개발방법의 적용은 추가비용을 발생시키고, 이러한 추가 비용은 많은 개발조직에서 보안을 고려하지 못하는 원인이 된다. 보안을 고려한 개발을 진행 하더라도, 주어진 비용 내에서 처리할 수 있는 취약점 처리량을 산출하는 방법이 부족한 실정이다. 본 논문에서는 보안 취약점 처리 비용을 효율적으로 사용하여 취약점 처리량을 산출하는 방법을 제안한다. 제안한 방법에서는 소프트웨어 개발단계 중 구현 단계에 중점을 두고, 정적 분석 툴을 활용하여 CWE TOP25에 대한 보안 취약점을 찾아낸다. 찾아진 취약점은 CWE의 정보를 활용하여, 각 취약점의 위험도, 처리 비용, 비용 당 위험도를 정의하고, 처리 우선순위를 정의한다. 정의된 우선순위를 통하여 탐지된 취약점 처리에 소모되는 비용을 산출하고, 투입 비용 내에서 취약점 처리량을 제어한다. 본 방법을 적용하면, 투입 비용 내에서 최대의 취약점의 위험도를 처리할 수 있을 것으로 기대된다.

Keywords

References

  1. Gartner, Now is the time for security at Application Level [Internet], https://www.sela.co.il/_Uploads/dbsAttachedFiles/GartnerNowIsTheTimeForSecurity.pdf.
  2. Department of Homeland Security, Practical Measurement Framework for Software Assurance and Information Security [Internet], http://buildsecurityin.us-cert.gov/.
  3. NIST, The Economic Impacts of Inadequate Infrastructure for Software Testing, 2002.
  4. M. G. Choi and M. J. Jeon, "Analysis of Methodologies for Security Development Lifecycle for Security Enhancement System," KIMS Spring Symposium, 2010, pp.418-425. 2010.
  5. Microsoft, Introduction to the Microsoft Security Development Life cycle [Internet], http://www.microsoft.com/security/sdl.
  6. NIPA Software Engineering Center, Software Engineering Withe Book, ch.3, pp.176-183, 2013.
  7. Jovanovic, Nenad, Christopher Kruegel, and Engin Kirda, "Pixy: A static analysis tool for detecting web application vulnerabilities," in Security and Privacy, 2006 IEEE Symposium on, pp.258-263. IEEE, 2006.
  8. Sung min Ahn, Min Sik Jin, and Kyu Jin Cho, "Detecting Software security vulnerability with of Software Security Vulnerabilities," Communication of the Korean Institute of Information Scientists and Engineer, Vol.28, No.2, pp.32-36, 2010.
  9. Mitre, CWE./SANS Top 25 [Internet], http://cwe.mitre.org/top25/.
  10. Mitre, CWSS [Internet], http://cwe.mitre.org/cwss/cwss_v1.0.1.html.
  11. Leung, Hareton and Zhang Fan, "Software cost estimation," Handbook of Software Engineering, Hong Kong Polytechnic University, 2002.
  12. S. K. Choi and E. H. Choi, "Study on validating proper System Requirements by using Cost Estimations Methodology," KCSA Transactions on Convergence Security, Vol.13, No.5, pp.97-105, 2013.
  13. HP fortify [Internet], http://www8.hp.com/h20195/v2/GetPDF.aspx/4AA5-7039ENW.pdf.
  14. Sung hae Kim, Jin ho Joo, Gunsoo Lee, and Gi hwon Kown, "Implementation of Code Vulnerabilities Checker for Secure Software," in Proceedings of the Korean Society For Internet Information, Vol.2010, No.6, pp,605-608, 2010.