• Proceedings of the Korea Information Processing Society Conference
• /
• 2023.11a
• /
• pp.314-316
• /
• 2023

최근 수많은 오픈소스로 공개되면서, 대부분의 소프트웨어가 오픈소스를 활용하여 구현되고 있다. 하지만, 오픈소스에 적용되어 있는 라이선스 간의 충돌 문제가 발생하면서, 라이선스 위반 문제가 지속적으로 발생하고 있다. 이러한 문제를 사전에 방지하기 위해 소스코드 분석이 필수적이지만, 다양한 기능이 실행되는 소스코드 특성 상 소스코드만 봤을 경우 직관적으로 분석이 어렵다는 문제점이 있다. 최근 소스코드의 효과적인 분석을 도와주는 다양한 도구들이 개발되었고, 그 중 한 가지 방법은 소스코드를 그래프로 변환하여 시각적인 편의성을 제공하는 방법이다. 그래프로 변환된 소스코드는 해당 시점에는 분석이 가능하지만, 분석이 필요할 때마다 변환을 해야 하는 문제점이 존재한다. 따라서 소스코드를 변환한 그래프 데이터를 저장하는 방법이 요구되었는데, 그래프 데이터베이스의 경우 특정 파일 형식만 지원하기 때문에 그래프 데이터 저장에 어려움이 존재한다. 본 제안방식에서는 소스코드를 변환한 그래프 데이터를 그래프 데이터베이스에 효과적으로 저장하고, 분석이 요구될 때마다 데이터베이스 상에서 즉각적으로 분석이 가능한 방법을 제안한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.20 no.6
• /
• pp.147-155
• /
• 2010

It has been widely addressed that static analysis techniques can play important role in identifying potential security vulnerability reside in source code. This paper proposes the design and application of security metrics that use both vulnerability information extracted from the static analysis, and significant factors of information that software handles. The security metrics are useful for both developers and evaluators in that the metrics help them identity source code vulnerability in early stage of development. By effectively utilizing the security metrics, evaluators can check the level of source code security, and confirm the final code depending on the characteristics of the source code and the security level of information required.

• Journal of Software Assessment and Valuation
• /
• v.17 no.2
• /
• pp.31-38
• /
• 2021

In order to analyze the similarity of the source code object material, the source code on both sides must be able to be compiled and executed. In particular, in the case of hardware-integrated software, it is necessary to check whether the hardware interface matches. However, currently, the source code is provided in an incomplete state which is not original of source code used in developing steps. The complainant confirms that the executing characteristics are similar to their own in the expression and function of the output, and request an evaluation. When a source code compilation error occurs during the evaluation process, the experts draw a flowchart of the source code and applies the method of tracing the code flow for each function as indirect method. However, this method is indirect and the subjective judgment is applied, so there is concern about the contention of objectivity in the similarity evaluation result. In this paper, the problems of unverified source code similarity analysis and improvement directions are dealt with, through the analysis cases of source code disputes applied to embedded systems.

• Journal of KIISE:Software and Applications
• /
• v.35 no.7
• /
• pp.442-451
• /
• 2008

Most plagiarism detection systems evaluate the similarity of source codes and detect plagiarized program pairs. If we use the source codes in plagiarism detection, the source code security can be a significant problem. Plagiarism detection based on target code can be used for protecting the security of source codes. In this paper, we propose a new plagiarism detection technique for Java programs using bytecodes without referring their source codes. The plagiarism detection procedure using bytecode consists of two major steps. First, we generate the token sequences from the Java class file by analyzing the code area of methods. Then, we evaluate the similarity between token sequences using the adaptive local alignment. According to the experimental results, we can find the distributions of similarities of the source codes and that of bytecodes are very similar. Also, the correlation between the similarities of source code pairs and those of bytecode pairs is high enough for typical test data. The plagiarism detection system using bytecode can be used as a preliminary verifying tool before detecting the plagiarism by source code comparison.

• Proceedings of the Korean Information Science Society Conference
• /
• 2005.07b
• /
• pp.307-309
• /
• 2005

컴퓨터 성능의 향상으로 고비용의 수행을 요하는 뮤테이션 분석 기법의 적용 가능성이 커지면서, 객체지향 프로그램을 대상으로, 특히 자바 프로그램에 대하여, 뮤테이션 분석 기법에 관한 연구가 수행되었다. 자바의 경우, 바이트 코드를 이용한다면 소스코드 없이 오류 프로그램인 뮤턴트들을 생성할 수 있을 뿐만 아니라, 소스코드를 이용할 때보다 뮤테이션 분석을 빨리 수행할 수 있는 장점이 있다. 하지만 현재 이러한 장점을 효율적으로 활용할 수 있는 바이트 코드 수준의 연산자는 나와있지 않다. 본 논문에서는 자바 바이트 코드를 대상으로 하는 메소드 수준의 뮤테이션 연산자를 정의한다. 개발한 뮤테이션 연산자는 소스코드 수준에서 사용자가 범할 수 있는 오류만을 대상으로 한다. 따라서 소스 코드를 대상으로 하는 뮤테이션 분석의 기능을 모두 보여주면서, 성능향상을 가져다 준다.

• Proceedings of the KAIS Fall Conference
• /
• 2010.11a
• /
• pp.402-405
• /
• 2010

본 논문에서는 소스 코드에 자주 나타나는 코딩 패턴을 자동으로 추출하기 위하여 소스 코드를 분석하고 특성을 평가한다. 기존에 소스 코드에 대한 패턴 마이닝을 이용한 코딩 패턴 감지 방법이 제안되었지만, 수동으로 조사 가능한 코딩 패턴의 수는 한정되어 있기 때문에 대규모 소프트웨어 등에 대한 충분한 분석은 할 수 없었다. 따라서 본 논문에서는 개발자가 분석하고자 하는 코딩 패턴에 대한 자동 추출을 목표로 코딩 패턴의 특성 평가 지표를 선정하여 소스 코드에 대한 분석을 수행한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2017.04a
• /
• pp.551-552
• /
• 2017

하나의 프로젝트에는 다양한 기능과 역할을 가진 소스코드가 존재한다. 그러나 기존 정적 분석 도구들은 이러한 특성을 고려하지 않고, 모든 소스코드에 동일한 탐색 정책과 우선순위를 적용하고 있다. 본 연구에서는 오픈소스 프로젝트로부터 수집한 소스코드들을 토픽모델링을 이용하여 특정 토픽으로 분류하고, 분류된 토픽에 해당되는 코드 안에서 높은 영향력을 갖는 잠재결함(Potential Bug)의 특징을 분석하였다. 이 결과를 바탕으로 개발자에게 개발 중인 소스코드의 특성에 따라 어떤 잠재결함에 더 우선순위를 두어야 하는지에 대한 지침을 제공할 수 있다.

• Electronics and Telecommunications Trends
• /
• v.32 no.1
• /
• pp.102-115
• /
• 2017

본고에서는 SW 개발 R&D 프로젝트에 개발 소스 품질 검증을 위한 정적분석 실행방안을 기술한다. 정적분석 실행 방안으로 소스 코드 품질 검증 대상 SW 개발 R&D 프로젝트 범위와 정적분석 검증 기준을 기술하고, 정적분석 검증을 위한 구체적 실행 방안과 검증 프로세스 그리고 정적분석 검증을 지원 환경 체계를 제시했다. 또 제시된 정적분석 검증 실행 방안에 근간하여 수행 중인 프로젝트에서 개발한 소스 코드에 대해 시범적으로 정적분석 검증을 수행하고 이를 바탕으로 정적분석 검증 실행의 안정적인 도입 및 운영 방향을 시사점으로 기술하였다. 제시된 정적분석 검증 실행 방안은 SW 개발 R&D 프로젝트에서 개발 소스 코드 품질 관리 및 유지를 위한 방안으로 고려해 볼 수 있을 것으로 기대한다.

• Journal of Software Assessment and Valuation
• /
• v.17 no.1
• /
• pp.25-30
• /
• 2021

In case of evaluating the similarity of the source code analysis material in the embedded system, the provided source code must be confirmed to be executable. However, it is currently being in which compilation and interface matching with hardware are provided in an unconfirmed materials. The complainant assumes that many parts of the source code are similar because the characteristics of the operation are similar and the expression of the function is similar. As for the analysis result, the analysis result may appear different than expected due to these unidentified objects. In this study, the improvement direction is sugested through the case study by the analysis process of the source code and the similarity of the unverified source code.

• Review of KIISC
• /
• v.26 no.1
• /
• pp.27-33
• /
• 2016

보안 약점은 소스코드의 공개 여부와는 관계없이 존재하며, 소프트웨어의 취약점으로 이어질 수 있다. 소스코드가 공개된 소프트웨어의 경우 소스 코드 분석을 통해 보안 약점을 제거하지만, 소스코드가 공개되지 않고 바이너리 형태의 실행파일만 제공되는 소프트웨어의 경우에는 보안 약점을 찾기가 어렵다. 비정상 데이터를 임의로 생성하여 파일 또는 표준입력 형태로 입력하는 퍼징 기법은 위와 같은 소스코드가 공개되지 않은 소프트웨어의 취약점을 찾기 위한 기술이다. 본 논문에서는 소스코드가 없는 상용 및 공개 소프트웨어의 보안 약점을 진단하기 위해 퍼징 기법을 활용하는 방법을 제시하고, 공개된 퍼징 도구 및 프레임워크를 이용하여 설치부터 소프트웨어의 진단 및 발견된 보안 약점을 분석, 제거 등의 퍼징 프로세스를 소개하여 상용 및 공개 소프트웨어 취약점 발견에 도움을 줄 것으로 기대한다.