• Journal of Information Processing Systems
• /
• 제6권1호
• /
• pp.91-106
• /
• 2010

The rapid growth of communication and globalization has changed the software engineering process. Security has become a crucial component of any software system. However, software developers often lack the knowledge and skills needed to develop secure software. Clearly, the creation of secure software requires more than simply mandating the use of a secure software development lifecycle; the components produced by each stage of the lifecycle must be correctly implemented for the resulting system to achieve its intended goals. This study demonstrates that a more effective approach to the development of secure software can result from the integration of carefully selected security patterns into appropriate stages of the software development lifecycle to ensure that security designs are correctly implemented. The goal of this study is to provide developers with an Integrated Security Development Framework (ISDF) that can assist them in building more secure software.

• 한국항행학회논문지
• /
• 제14권2호
• /
• pp.247-252
• /
• 2010

IT 기술이 발전함에 따라 네트워크를 통해 방대한 양의 정보가 이동하고 있다. 인터넷을 사용하는 사용자들은 올바른 사용으로 유용한 정보를 획득할 수 있으나, 올바르지 않은 사용을 하는 공격자는 악의적인 목적으로 사용하기 위해 타인의 개인 정보를 노출시키고 유포하여 다양한 피해를 발생시키고 있다. 이를 해결하기 위하여 다양한 정보보호제품이 개발되고 있다. 안전한 정보보호제품을 개발하기 위해서는 개발 과정부터 보안이 필요하며, 안전한 제품을 보증하기 위하여 제품 평가 및 보안 모듈에 대한 평가 제도들이 사용되고 있다. 본 논문에서는 정보보호제품이 안전하게 개발될 수 있도록 기존 정보보호제품 인증 제도뿐만 아니라, 정보보호 기능을 제공하지 않는 제품을 개발할 때 시행되고 있는 다양한 인증 제도까지 포함하여 연구함으로써, 더욱 안전하고 견고한 제품 개발 및 보증 방안을 제안한다.

• 품질경영학회지
• /
• 제47권1호
• /
• pp.151-162
• /
• 2019

Purpose: This study is in order to secure high quality of military supplies, it is important to secure design quality in the development phase. I will review how to establish a quality assurance system in the development phase based on the author's seminar presentation contents and application example of Hanwha Systems Co., Ltd. Methods: To guarantee design quality in the development phase, in 2002, quality assurance system that is adequate for SQA(Software Quality Assurance)'s requirements of CMM(Capability Maturity Model) was conduct. In 2009, based on the CMMI(Capability Maturity Model Integration) Level 5, there has been continuous and reenforced quality assurance activities. Results: By suggesting the construction and a case study on application of R&D quality assurance, it would be helpful for companies aiming to construct or enhance quality assurance system. Conclusion: To secure high quality for military supplies, a development QA system should be established to secure quality in the development phase. In addition, Total life cycle QA system for development, mass production and operation phase should be reestablished.

• Nuclear Engineering and Technology
• /
• 제46권1호
• /
• pp.47-54
• /
• 2014

The protection of nuclear safety software is essential in that a failure can result in significant economic loss and physical damage to the public. However, software security has often been ignored in nuclear safety software development. To enforce security considerations, nuclear regulator commission recently issued and revised the security regulations for nuclear computer-based systems. It is a great challenge for nuclear developers to comply with the security requirements. However, there is still no clear software development process regarding security activities. This paper proposes an integrated development process suitable for the secure development requirements and system security requirements described by various regulatory bodies. It provides a three-stage framework with eight security activities as the software development process. Detailed descriptions are useful for software developers and licensees to understand the regulatory requirements and to establish a detailed activity plan for software design and engineering.

• 정보보호학회논문지
• /
• 제30권5호
• /
• pp.909-928
• /
• 2020

미국 정부는 1970년대 초반부터 모의해킹만으로는 제품의 보안 품질을 향상시킬 수 없다는 것을 인지하기 시작하였다. 모의해킹팀의 역량에 따라 찾을 수 있는 취약점이 달라지며, 취약점이 발견되지 않았다고 해서 해당 제품에 취약점이 없는 것은 아니기 때문이다. 제품의 보안 품질을 향상시키기 위해서는 결국 개발 프로세스 자체가 체계적이고 엄격하게 관리되어야 함을 깨달은 미국 정부는 1980년대부터 보안내재화(Security by Design) 개발 방법론 및 평가 조달 체계와 관련한 각종 표준을 발표하기 시작한다. 보안내재화란 제품의 요구사항 분석 및 설계 단계에서부터 일찍 보안을 고려함으로써 제품의 복잡도(complexity)를 감소시키고, 궁극적으로는 제품의 신뢰성(trustworthy)을 달성하는 것을 의미한다. 이후 이러한 보안내재화 철학은 Microsoft 및 IBM에 의해 Secure SDLC라는 이름으로 2002년부터 민간에 본격적으로 전파되기 시작하였으며, 현재는 자동차 및 첨단 무기 체계 등 다양한 분야에서 활용되고 있다. 하지만 문제는 현재 공개되어 있는 Secure SDLC 관련 표준이나 가이드라인들이 매우 일반적이고 선언적인 내용들만을 담고 있기 때문에 이를 실제 현장에서 구현하기란 쉽지 않다는 것이다. 따라서 본 논문에서 우리는 Secure SDLC를 기업체가 원하는 수준에 맞게 구체화시키는 방법론에 대해 제시한다. 우리가 제안하는 CIA(functional Correctness, safety Integrity, security Assurance)-Level 기반 보안내재화 프레임워크는 기존 Secure SDLC에 증거 기반 보안 방법론(evidence-based security approach)을 접목한 것으로, 우리의 방법론을 이용할 경우 첫째 경쟁사와 자사간의 Secure SDLC 프로세스의 수준 차이를 정량적으로 분석할 수 있으며, 둘째 원하는 수준의 Secure SDLC를 구축하는데 필요한 상세한 세부 활동 및 산출해야 할 문서 등을 쉽게 도출할 수 있으므로 실제 현장에서 Secure SDLC를 구축하고자 할 때 매우 유용하다.

• International Journal of Computer Science & Network Security
• /
• 제23권6호
• /
• pp.169-175
• /
• 2023

Ethical hackers are using different tools and techniques to encounter malicious cyber-attacks generated by bad hackers. During the software development process, development teams typically bypass or ignore the security parameters of the software. Whereas, with the advent of online web-based software, security is an essential part of the software development process for implementing secure software. Security features cannot be added as additional at the end of the software deployment process, but they need to be paid attention throughout the SDLC. In that view, this paper presents a new, Ethical Hacking - Software Development Life Cycle (EH-SDLC) introducing ethical hacking processes and phases to be followed during the SDLC. Adopting these techniques in SDLC ensures that consumers find the end-product safe, secure and stable. Having a team of penetration testers as part of the SDLC process will help you avoid incurring unnecessary costs that come up after the data breach. This research work aims to discuss different operating systems and tools in order to facilitate the secure execution of the penetration tests during SDLC. Thus, it helps to improve the confidentiality, integrity, and availability of the software products.

• 정보처리학회논문지A
• /
• 제11A권6호
• /
• pp.439-450
• /
• 2004

이동에이전트는 네트워크 상의 여러 노드들을 자발적으로 이동하는 동적인 개체이다. 자바의 Jini 프레임워크는 분산 네트워크 프로그래밍을 위한 주요한 기능을 제공함으로써, 이동에이전트 시스템의 개발을 용이하게 한다. 하지만, Jinil.0 서비스는 안전한 원격통신을 위한 보안성이 취약하여 이를 이용한 이동에이전트 시스템의 개발은 근본적인 제약점을 가지고 있다. 본 논문에서는 Jini1.0 기반의 안전한 이동에이전트 시스템인 SeureJMoblet에 대하여 기술한다. SecureJMoblet은 Jini2.0 위에서 이동에이전트 시스템의 기본 기능인 에이전트 생성, 전송, 제어 기능을 제공한다. 또한, 안전한 Javaspace 서비스를 제공하기 위하여 개발된 SecureJS를 이용하여 에이전트 객체를 안전하게 저장하기 위한 객체 저장소와 이동에이전트 간의 안전한 통신 기능을 지원한다.

• 융합보안논문지
• /
• 제18권2호
• /
• pp.69-76
• /
• 2018

이 연구는 사이버범죄예방을 위해 민간기업시스템의 시큐어 코딩 적용상의 문제점과 이에 대한 개선안을 시사 하는 것이 목적이다. 본 연구를 위해 3가지 실험이 진행되었는데, 실험 1은 보안담당자가 개발과정에 참여하여 시큐어 코딩준수를 조언하도록 하였고, 실험 2는 보안담당자의 조언 없이 개발자가 스스로 시큐어 코딩을 준수하도록 하였고, 실험 3은 개발자는 담당 소스만 개발하고 보안담당자는 소스의 취약점 진단분석만 집중적으로 하도록 설계하였다. 이 연구의 결과는 첫째, 실험1,2를 통해 사이버범죄관련 보안문제 해결을 위해 보안담당자의 개발과정 참여가 프로젝트가 반복될수록 기간 내 과업달성 및 시큐어 코딩준수율 역시 높아지는 것으로 나타났다. 둘째, 실험 3을 통해 개발자에게 시큐어 코딩 가이드 준수를 맡기는 것보다 기업보안 담당자의 업무전담이 프로젝트 목표달성 및 시큐어 코딩 준수율을 높이는 것으로 나타났다.

• 전기전자학회논문지
• /
• 제22권2호
• /
• pp.242-249
• /
• 2018

본 논문에서는 전장 정보 체계 개발에 최적화된 시큐어 코딩룰 셋에 기반하여 Visual Studio 컴파일러와 코드 분석기를 통해 자동으로 검출이 가능한 코드의 보안 약점을 식별하고, 도구를 이용한 자동 검출이 어려운 보안 약점 항목에 대하여는 시큐어 코딩 라이브러리 구현을 통해 개별 프로그래머의 시큐어 코딩에 대한 이해나 능력에 의존하지 않고도 구현 단계에서 대응할 수 있는 방안을 설명한다. 시큐어 코딩룰 셋을 기준으로, 개발자는 VS 컴파일러와 코드 분석기를 이용하면 약 38%의 보안 약점을 검출할 수 밖에 없는 한계가 있으나, 기존의 개발 도구와 더불어 제안하는 시큐어 코딩 라이브러리를 함께 이용하는 경우 48%로 보안 약점의 사전진단에서 10%의 향상이 가능하며, 개발단계에 해당 보안 취약점을 검출하여 예방하는 것이 가능하다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제8권2호
• /
• pp.646-663
• /
• 2014

Scrum is one of the most popular and efficient agile development methods. However, like other agile methods such as Extreme Programming (XP), Feature Driven Development (FDD), and the Dynamic Systems Development Method (DSDM), Scrum has been criticized because of lack of support to develop secure software. Thus, in 2011, we published research proposing the idea of a security backlog (SB). This paper represents the continuation of our previous research, with a focus on the evaluation in industry-based case study. Our findings highlight an improved agility in Scrum after the integration of SB. Furthermore, secure software can be developed quickly, even in situations involving requirement changes of software. Based on our experimental findings, we noticed that, when integrating SB, it is quite feasible to develop secure software using an agile Scrum model.