• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

CISO 뉴스

보안 제품정보

소프트웨어 보안 Klocwork Insight 8.0 2008.08.02

Klocwork Insight 8.0

리뷰어·제임스 C. 포스터(James C. Foster)


Klocwork

www.klocwork.com

 

Klocwork Insight는 소스 코드 분석 제품으로 보안 취약성과 리스크 질적 분석, 복구 및 측정을 자동화할 수 있게 해준다. 이것은 C, C++, Java의 소프트웨어 결점을 식별하기 위해 200가지 이상의 다양한 기술을 사용한다.

분석 능력, 특히 무엇보다 소프트웨어 보안 결점을 수정할 수 있는 능력을 갖춘 사람들이 매우 적기 때문에 이러한 종류의 툴은 더욱 중요성이 강조되고 있다.


설치/설정       B-     

설치해야할, 또는 사용 전에 로드해야 하는 다양한 모듈과 서버 컴포넌트가 있어 모든 유저들이 설치하기는 어렵다. 트레이닝에 시간을 투자할 계획을 세워야 한다. 대규모의 하이브리드, 또는 한정된 개발 환경에 대한 확장성과 유연성이 제일 처음 공부해야 할 부분 중 가장 어려운 부분이다.

다수의 팀에 걸친 라이센싱은 중심적으로 관리되고 라이선스 파일의 퀵체인지를 통해 몇 초 내로 업데이트될 수 있다. MySQL은 백엔드 데이터베이스로 이용되며 자유롭게 설정할 수 있어 백업을 스케줄하고 초기 스키마를 변경하거나 Insight를 마이크로소프트 SharePoint나 BMC Remedy Service Desk와 같은 다른 제품과 통합하는 것이 수월하다. 이것은 Apache Tomcat의 위에서 가동되기 때문에 웹 인터페이스와 서버의 모든 것이 설정 가능하다.

Klocwork는 대부분의 개발 환경을 지원하고 *nix와 Windows OSes 범위에 설치할 수 있다.


리포팅  A

개발자 통합을 위한 Eclipse와 Visual Studio 고유의 인터페이스 촉진은 엔지니어링 레벨의 진정한 가치를 제공하기 위한 핵심이었다. Eclipse interface에서 윈도우 익스플로러와 같은 폴더 시스템의 소스 트리를 통해 쉽게 웹 서핑할 수 있었고 관련 있는 확인된 취약성과 이슈들을 확인할 수 있었다.

코드를 평소처럼 IDE에서 수정하거나 저장할 수 있고, 또는 샘플 ‘배드 코드’와 잠재적인 취약성에 대한 문서를 확보하기 위해 이슈를 오른쪽 클릭할 수 있다.

로컬 설치시 Klocwork 서버를 가동하거나 정지하기 위해 DOS 배치 파일이 사용되기 때문에 설치 후 관리는 여전히 미숙하다. 또한 컴퓨터를 리부팅하기 전에 Klocwork의 모든 컴포넌트를 수동으로 정지시킬 것을 권장한다.

Insight에는 아직 JavaScript와 PHP, ASP 리뷰 기능이 없기 때문에 이것은 웹 2.0을 위한 선택 툴이 되지 못 한다(Klocwork는 스크립팅 언어가 차후 릴리스를 통해 지원될 것이라고 밝혔다).


관리/모니터링   B

설정 도중 당신의 팀이 설치한 현재의 프로젝트 중에서 하나를 선택할 수 있는데, 대개 각각의 애플리케이션, 제품, 또는 툴은 Insight에서 생성된 독립형 프로젝트를 가지고 있다.

프로젝트를 선택하면 인터페이스는 표시하는 기능과 정도, 상태 등에 따른 그룹 이슈를 지닌 강력한 리포트 생성 엔진으로 변화한다. 이러한 리포트들은 동적이며 특정한 이슈들에 대한 보다 상세한 정보를 얻을 수 있게 해주는 액티브 링크나 하이퍼링크를 포함한다. 우리가 시행한 테스트 하나에서 300개 이상의 이슈들이 확인되었고 중요한 이슈 리포트를 생성하는데 시작부터 종료까지 2분정도 소요되었다. 이러한 이슈들은 구축 구조에 따라 로지컬 코드 디렉토리로 나뉜다.

모든 데이터 뷰와 그래픽 리포트들은 PDF나 CSV로 익스포트 될 수 있고 파일과 라인으로 분류된 상세 이슈 데이터는 XML로 편리하게 익스포트 될 수 있다.


총평

Klocwork Insight의 엔터프라이즈 리포팅과 분석 기술의 강력한 조합은 기업들에게 C/C++와 Java 애플리케이션과 관련된 구조화된 프로그래밍에 있어서의 유용함을 증명할 것이다.

 

테스트 방법 : 윈도우 XP Professional SP2 워크스테이션과 완전 패치된 윈도우 2003 서버에서 Eclipse IDE 개발자 플러그 인을 이용하는 몇몇 오픈 소스와 C/C++, Java 애플리케이션에 대해 Klocwork를 테스트했다.

 

월간 정보보호21c 통권 제96호(info@boannews.com)]

             

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>