SpringBoot 관련
- 작성자 :
- 작**임
- 작성일 :
- 2024-06-10 15:17:07
- 조회수 :
- 925
- 구분 :
- 개발환경 / 4.0
- 진행상태 :
- 완료
Q
개발사가 전자정부 프레임워크 4.0으로 개발을 했습니다.
스프링부트를 호출 하는 부분이
:
:
public static void main(String[] args) {
SpringApplication springApplication = new SpringApplication(AbcdBotApplication.class);
springApplication.run(args);
}
:
:
이런식으로 구현 되어 있는데요.
시큐어코딩 툴을 돌리면 '제거되지 않고 남은 디버그코드' 부분에서 걸립니다.
KISA의 소프트웨어 보안약점 진단 가이드 상에도
'public static void main.....'부분은 취약하다.
라고 되어 있는데.
이렇게 구현 되어 있어도 디버그코드가 아니기에 취약하지 않은건가요?
스프링부트를 호출 하는 부분이
:
:
public static void main(String[] args) {
SpringApplication springApplication = new SpringApplication(AbcdBotApplication.class);
springApplication.run(args);
}
:
:
이런식으로 구현 되어 있는데요.
시큐어코딩 툴을 돌리면 '제거되지 않고 남은 디버그코드' 부분에서 걸립니다.
KISA의 소프트웨어 보안약점 진단 가이드 상에도
'public static void main.....'부분은 취약하다.
라고 되어 있는데.
이렇게 구현 되어 있어도 디버그코드가 아니기에 취약하지 않은건가요?
환경정보
-
- OS 정보 : window
- 표준프레임워크 버전 : 4.0
- JDK(JRE) 정보 :
- WAS 정보 :
- DB 정보 :
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크 센터입니다.
SpringBoot의 Main Application class는 Spring Boot Application을 실행하는 main 메서드를 호출하며
해당 main() 메서드는 애플리케이션의 진입점(entry poing)에 대한 Java 규칙을 따르는 표준 방법입니다.
main 메서드 안에서 SpringApplication 클래스의 run 메서드를 호출하면 Embedded Tomcat이 실행되고 Spring IoC 컨테이너가 초기화되게 되므로
해당 코드는 디버그 코드가 아니며 애플리케이션을 실행하기 위해 필요한 코드입니다.
따라서 이 부분이 KISA의 소프트웨어 보안약점 진단 가이드에서 언급한 '제거되지 않고 남은 디버그 코드'와 관련이 있다고 보기 어렵습니다.
다만, main 메서드 내부에 디버그 메시지, 로깅, 또는 개발 중에 사용했던 테스트 코드 등이 있다면 해당 코드는 제거하는 것이 보안상 안전할 것으로 보입니다.
자세한 사항은 공식 가이드 문서에서도 확인 가능하므로 참고 부탁 드립니다.
https://spring.io/guides/gs/spring-boot
감사합니다.
표준프레임워크 센터입니다.
SpringBoot의 Main Application class는 Spring Boot Application을 실행하는 main 메서드를 호출하며
해당 main() 메서드는 애플리케이션의 진입점(entry poing)에 대한 Java 규칙을 따르는 표준 방법입니다.
main 메서드 안에서 SpringApplication 클래스의 run 메서드를 호출하면 Embedded Tomcat이 실행되고 Spring IoC 컨테이너가 초기화되게 되므로
해당 코드는 디버그 코드가 아니며 애플리케이션을 실행하기 위해 필요한 코드입니다.
따라서 이 부분이 KISA의 소프트웨어 보안약점 진단 가이드에서 언급한 '제거되지 않고 남은 디버그 코드'와 관련이 있다고 보기 어렵습니다.
다만, main 메서드 내부에 디버그 메시지, 로깅, 또는 개발 중에 사용했던 테스트 코드 등이 있다면 해당 코드는 제거하는 것이 보안상 안전할 것으로 보입니다.
자세한 사항은 공식 가이드 문서에서도 확인 가능하므로 참고 부탁 드립니다.
https://spring.io/guides/gs/spring-boot
감사합니다.
