소스 코드 점검 시 보안 약점 탐지
- 작성자 :
- 배*삼
- 작성일 :
- 2024-06-24 16:40:45
- 조회수 :
- 403
- 구분 :
- 공통컴포넌트 / 4.0
- 진행상태 :
- 완료
Q
전자정부 프레임워크 4.0.1 버전 all-in-one을 활용하여 프로젝트를 진행하고 있습니다.
소스 코드 보안 점검을 코드레이를 통해 진행 하였는데,
전자정부프레임워크에서 제공하는 파일들에 대해서 보안 약점 리스트가 탐지 되었습니다.
아래는 탐지된 일부 항목 입니다.
- 오류메시지를 통한 정보노출
- 부적절한 예외 처리 (광범위한 예외객체 선언)
- 제거되지 않고 남은 디버그 코드
해당 처리 방안에 대하여 답변 부탁드립니다.
소스 코드 보안 점검을 코드레이를 통해 진행 하였는데,
전자정부프레임워크에서 제공하는 파일들에 대해서 보안 약점 리스트가 탐지 되었습니다.
아래는 탐지된 일부 항목 입니다.
- 오류메시지를 통한 정보노출
- 부적절한 예외 처리 (광범위한 예외객체 선언)
- 제거되지 않고 남은 디버그 코드
해당 처리 방안에 대하여 답변 부탁드립니다.
환경정보
-
- OS 정보 :
- 표준프레임워크 버전 :
- JDK(JRE) 정보 :
- WAS 정보 :
- DB 정보 :
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크센터 입니다.
공톰컴포넌트의 경우 KISA 보안코드 검증을 받은후 배포 되었습니다.
다음 URL주소에서 이력 확인이 가능합니다.
https://www.egovframe.go.kr/home/sub.do?menuNo=47
또한 4.0.1버전은 22년 12월에 KISA의 보안점검 결과를 기반으로
보안패치가 이루어졌습니다.
해당 보안패치 관련 사항은 아래 URL에서 확인 가능합니다.
https://www.egovframe.go.kr/home/ntt/nttRead.do?pagerOffset=0&searchKey=nttSj_nttCn&searchValue=%EB%B3%B4%EC%95%88&menuNo=74&bbsId=6&nttId=1866
[알림마당 > 공지사항 > 2022년도 공통컴포넌트 보안 패치 안내]
따라서 개발사업단에서의 취약점 점검진단 시
탐지된 부분이 100% 문제가 있지 않을수 있으므로
사업단에서 판단 후 적용하셔야 할 것 같습니다.
감사합니다.
표준프레임워크센터 입니다.
공톰컴포넌트의 경우 KISA 보안코드 검증을 받은후 배포 되었습니다.
다음 URL주소에서 이력 확인이 가능합니다.
https://www.egovframe.go.kr/home/sub.do?menuNo=47
또한 4.0.1버전은 22년 12월에 KISA의 보안점검 결과를 기반으로
보안패치가 이루어졌습니다.
해당 보안패치 관련 사항은 아래 URL에서 확인 가능합니다.
https://www.egovframe.go.kr/home/ntt/nttRead.do?pagerOffset=0&searchKey=nttSj_nttCn&searchValue=%EB%B3%B4%EC%95%88&menuNo=74&bbsId=6&nttId=1866
[알림마당 > 공지사항 > 2022년도 공통컴포넌트 보안 패치 안내]
따라서 개발사업단에서의 취약점 점검진단 시
탐지된 부분이 100% 문제가 있지 않을수 있으므로
사업단에서 판단 후 적용하셔야 할 것 같습니다.
감사합니다.
