Fasoo 소개

정영범 책임 / 공학 박사

PA사업부 개발 팀장

류석영 교수님

이욱세 이사님정영범 팀장

오학주 박사

누리꿈스퀘어

CJ E&M Center

SBS Prism TowerMBC

정적 프로그램 분석 솔루션

(PA)

콘텐트 퍼블리싱 서비스

(e-Publishing Service)

클라우드 보안 서비스

(Secure Cloud Service)

기업용 문서 보안 솔루션

(Enterprise DRM)

Fasoo Program Analysis

파수닷컴의 고객사

다양한 업종의 1,100여 개 이상의 기업 및 200만 명 이상의 사용자들이 현재 파수닷컴의 솔루션을 사용하고 있습니다.

코스닥 상장 기업

KT 고객 정보 유출

시큐어코딩 이슈

16

우수한

PA

정적 프로그램 분석 솔루션

(PA)

총

개발자지원영업

SPARROW 개발 프로세스

소스코드 관리 도구 (Git)

소스코드 등록

이슈 관리 시스템 (Redmine)

일감 할당 지속적인 통합 도구 (Teamcity)

자동 테스팅 서버

빌드 자동화리포트

코드 구현

연동

소스코드 가져오기

이슈 관리 시스템 (Issue Tracking System)

요구사항 작성

Unit Test를 위한 Test Case 작성

요구사항에 맞는 테스트 케이스 작성

구현 Implementation

분석기 체커 구현

소스 코드 관리 시스템 Source Code Management

GIT 연동 도구 - SourceTree

소스코드 변경확인 브랜치별 히스토리

Tag 관리

이슈 관리 시스템과 연동

구현 완료 후 커밋 형상관리 도구와 연동

지속적인 통합 Continuous Integration

다양한 플랫폼에서 빌드 테스트

CI + Regression Testing

미리 작성된 모든 케이스에 대한 Regression Testing

Static Testing Using SPARROW

SPARROW를 이용한 코딩 컨벤션 검사 논리적 오류 검출

Static Testing Using SPARROW

실제 오류 위치를 코드 상에 표시

SW Quality History Management

코드 품질 이력 관리

SPARROW 개발 프로세스

소스코드 관리 도구 (Git)

소스코드 등록

이슈 관리 시스템 (Redmine)

일감 할당 지속적인 통합 도구 (Teamcity)

자동 테스팅 서버

빌드 자동화리포트

코드 구현

연동

소스코드 가져오기

30

31

글로벌 를

32

Gartner Report

This research note is restricted to the personal use of jason@fasoo.com

This research note is restricted to the personal use of jason@fasoo.com

Figure 1. Evolution of Application and Security Technologies

Accuracy and Breadth of Detection

TimeIsolated Combined Correlated

2006 2009

SAST orDAST

Early 2000

SAST, DAST SAST+DASTInteractive

2011

IAST

Source: Gartner (November 2011)

SAST and DAST Technologies

SAST technology analyzes application source, byte or binary code for security vulnerabilities atprogramming and/or testing software life cycle (SLC) phases. SAST includes several technologyadvantages: Vulnerability analysis starts early in the SLC, making remediation inexpensive; SASTdetermines the location of the detected (or rather, a suspected) vulnerability because it analyzes theactual application code. SAST technology, at the same time, has a serious weakness/limitation: Itanalyzes not a real application, but just the code. A detected vulnerability might never be executed(let alone be exploited) in the application's "real" life, at the operation phase of SLC (see Figure 2).What's worse is that the suspected vulnerability may not be a real vulnerability at all, but a "falsepositive." Moreover, SAST technologies can't detect configuration vulnerabilities created at runtime.

Figure 2. SAST and DAST — Strengths and Limitations

Software Life Cycle OperationsAnalysis Design Programming Testing

Unknown vulnerability origin

Preproduction code testing

Real app testing

Known vulnerability originSAST

DAST

Source: Gartner (November 2011)

Gartner, Inc. | G00224968 Page 3 of 9

SPARROW

Gartner ReportThis research note is restricted to the personal use of jason@fasoo.com

This research note is restricted to the personal use of jason@fasoo.com

Figure 1. Evolution of Application and Security Technologies

Accuracy and Breadth of Detection

TimeIsolated Combined Correlated

2006 2009

SAST orDAST

Early 2000

SAST, DAST SAST+DASTInteractive

2011

IAST

Source: Gartner (November 2011)

SAST and DAST Technologies

SAST technology analyzes application source, byte or binary code for security vulnerabilities atprogramming and/or testing software life cycle (SLC) phases. SAST includes several technologyadvantages: Vulnerability analysis starts early in the SLC, making remediation inexpensive; SASTdetermines the location of the detected (or rather, a suspected) vulnerability because it analyzes theactual application code. SAST technology, at the same time, has a serious weakness/limitation: Itanalyzes not a real application, but just the code. A detected vulnerability might never be executed(let alone be exploited) in the application's "real" life, at the operation phase of SLC (see Figure 2).What's worse is that the suspected vulnerability may not be a real vulnerability at all, but a "falsepositive." Moreover, SAST technologies can't detect configuration vulnerabilities created at runtime.

Figure 2. SAST and DAST — Strengths and Limitations

Software Life Cycle OperationsAnalysis Design Programming Testing

Unknown vulnerability origin

Preproduction code testing

Real app testing

Known vulnerability originSAST

DAST

Source: Gartner (November 2011)

Gartner, Inc. | G00224968 Page 3 of 9

35

감사합니다!

yb@fasoo.com