소프트웨어 개발 테스팅 전문기업 커버리티는 ‘웹 애플리케이션 보안취약점 분석 도구’와 지능형 코드 테스트 분석 도구‘를 발표하고, 국내 총판인 이웨이파트너스(www.ewaypartners.com)을 통해 국내 기업에 공급한다고 밝혔다.
커버리티의 핵심 역량은 정적분석엔진 ‘세이브(Static Analysis Verification Engine)’를 기반으로 한 웹 애플리케이션 보안취약점 분석 도구는 소스코드뿐 아니라 자바 기반 웹 애플리케이션 아키텍처를 심도깊게 분석할 수 있도록 기능을 확장시켰다.
웹 애플리케이션 개발자들은 가장 빈번하게 공격당할수 있는 ‘SQL 인젝션’과 ‘크로스사이트 스크립팅(XSS)’같은 보안 취약점을 개발 초기부터 찾아내 대응할 수 있도록 정밀한 분석 결과와 교정가이드를 제공해준다.
신제품은 데이터가 애플리케이션 프레임워크를 통과할 때 정확도를 늘리기 위해 소스코드 정적분석을 프레임워크 분석으로 까지 확장시켜 오검지율을 낮출 수 있도록 했다.
정적분석 내부에 화이트박스 퓨저(Fuzzer)를 통합해 데이터 새니타이제이션 루틴이 신뢰할수 없는 데이터에 충분한 새니타이제이션을 수행하는지 그리고 올바른 상황에서 사용되는지 검증한다.
개발자에게 결함을 정확히 알려주고 이를 바르게 고칠 수 있는 방법까지 가이드해 정확하고 효율적으로 보안결함을 수정하도록 하게 한다.
앤디 추(Andy Chou) 커버리티 CTO는 “웹 애플리케이션 개발자들에게 보안 취약점을 찾아내 수정케 하는 것은 정적 분석 기술을 IDE에 통합시키는 것 그 이상을 의미한다. 개발자들은 그 보안취약점이 ‘실제 위협’이라는 증거가 필요하며 그 보안취약점을 자신의 코드에서 어떻게 수정해야 할지를 알아야 한다. 기존의 보안취약점 분석도구는 이러한 정보를 개발자들에게 제공할 수 없었으므로 효과적이지 못했다”고 말했다.
그는 이어 “개발자는 더 이상 ‘감’에 의존해 취약점을 찾아내고 대응해나가는 것이 아니라 커버리티의 차세대 보안취약점 분석도구를 통해 정확한 취약점 정보와 개선방안을 통해 대응할 수 있게 될 것”이라고 말했다.
지능형 코드 테스트 분석 도구 ‘테스트 어드바이저’
테스트어드바이저(Test Advisor)는 핵심적인 코드에 대한 유닛 테스팅에 집중할 수 있도록 변경 영향도 분석(change impact analysis)을 수행한다. 테스트어드바이저는 변경된 코드와 변경에 의해 영향을 받는 코드를 분석하여 개발자들에게 유닛테스팅이 시행되지 않은 코드를 알려준다.
점점 더 빠른 타임투마켓을 요구하는 현재의 개발환경은 더 빠른 개발 속도와 변화 속도를 요구하고 있다. 기존의 유닛 테스팅은 코드의 중요 부분에 바로 집중할수 없었으며 변경 영향도에 대한 이해가 부족했다. 이제는 개발 테스팅 기술이 이러한 코드의 리스크 부분을 충분히 커버할 수 있게 됐다.
테스트 어드바이저는 코드와 펑션 의존도 자동 맵핑을 통해 코드가 변경된 부분이 충분히 테스트 됐는지 확실하게 할수 있게 된다. 분석은 코드 수정이 된 부분과 그 수정에 의해 영향을 받는 코드를 모두 포함한다.
이 제품은 자신의 ‘하이 리스크’ 기준을 세워 테스트가 필요한 코드를 확인할 수 있다. ‘하이 리스크’ 코드를 분석해 코드의 행동과 변경 영향도를 이해할 수 있다. 테스트가 제대로 시행이 되었는지 여부에 대한 통제/관리가 가능하다.
이를 통해 개발자들은 QA에게 이슈가 전달되기 전에 더 많은 문제를 찾아내 미리 대응할수 있게 되어 QA에서는 다른 혁신을 실행할수 있는 시간을 제공할수 있게 된다.
