소프트웨어 개발자가 안전한 개발 환경을 위해 준수해야 하는 8가지 원칙
1. 개발 시스템의 소프트웨어 설치목록을 관리한다.
개발과 관련되지 않은 소프트웨어나 충분히 검증되지 않은 소프트웨어의 사용에 대해 적절한 보안 통제가 이루어 져야 한다.
2. 유해 소프트웨어로 부터 개발 시스템을 보호한다.
개발시스템이 인터넷에 연결되어 있는 경우 인터넷접속이나 서비스 활용을 자제하여 악성코드 감염이나 외부의 불법적인 침입등으로 부터 개발 시스템을 보호해야 한다.
3. 직무 분리및 권한 없는 접근을 차단한다.
개발 시스템에는 소스코드나 설계문서와 같은 민감한 자료가 저장되어 있기 때문에 직무분리나 접근통제, 암호화, 사용자 인증과 같은 메커니즘을 통해 사고를 예방한다.
4. 개발시스템과 운영시스템을 분리한다.
당연히 개발 시스템과 운영시스템은 분리되어야 한다.
5. 시스템 및 네트워크 보안 소프트웨어를 설치하여 운영한다.
운영시스템과 마찬가지로 개발 시스템도 백신, 침입차단시스템, 침입탐지시스템등의 네트워크 보안 소프트웨어를 이용하여 보호하여야 한다.
6. 개발 시스테및 개발 도구 에 대한 업데이트를 수행한다.
새로운 취약성에 대한 보안 패치가 발표되는 즉시 시스템에 적용하여야 하며, 개발 도구에 대한 패치도 관리하여 보안사고를 예방한다.
7. 정기적인 자료 백업을 수행한다.
사이버 공격이나 재난으로 부터 개발 관련 자료를 안전하게 보호하기 위해 별도의 시스템에 정기적으로 백업한다.
8. 개발 시스템에 저장된 정보는 안전하게 파기해야 한다.
개발 시스템의 매각이나 폐기를 위해 외부로 반출하는 경우 저장 장치를 분리하여 별도로 파기하거나 복구 할 수 없도록 완전히 삭제해야 한다.
출처는 KISA의 안전한 소프트웨어 개발,도입을 위한 보안가이드 V1.0. 언제나 읇는 잔소리들이다. 그럼에도 불구하고 이런 잔소리를 무시하는 또는 지키지 않는 개발 환경이 많다는것이 문제이다.
안전한_소프트웨어_개발도입을_위한_보안가이드_V1.0.pdf
'보안 > 시큐어코딩' 카테고리의 다른 글
| 가장 위험한 25 개 프로그래밍 오류와 CERT C 코딩 표준 (0) | 2013.12.20 |
|---|---|
| 오라클 Database Code를 사용할 때 SQL 인젝션 취약점 제거 (0) | 2013.12.18 |
| [CERT C 시큐어코딩표준-99] POSIX(POS) (0) | 2013.12.13 |
| [CERT C 시큐어코딩표준-13] 기타(MSC) (0) | 2013.12.13 |
| [CERT C 시큐어코딩표준-12] 에러처리(ERR) (0) | 2013.12.13 |