[정보처리기사] 시큐어 코딩 가이드

시큐어코딩 가이드는 한국인터넷진흥원의 기술안내서 가이드로, 2020년 기준 한국인터넷진흥원에서는 JAVA, C, Android(JAVA) 가이드를 제공하고 있다.

정보처리기사에서는 인터페이스 개발 시 보안 취약점을 방지할 수 있는 JAVA 가이드라인으로 소개된다.

 

 

적용대상	보안약점	대응방안
입력데이터 검증 및 표현	입력값에 대한 검증 누락	입력 데이터에 대한 유효성 검증 체계 수립
보안 기능	보안 기능의 부적절한 구현	비밀번호 등 보안 정책이 적절하게 반영되도록 구현
시간 및 상태	병렬 시스템이나 멀티 프로세스 환경에서 시간/상태의 부적절한 관리	공유 자원의 접근 직렬화
에러 처리	에러 미처리	에러 상황 처리하도록 구현
코드 오류	개발자에 의한 코딩 오류	경고 순위의 최상향 조정 후 경고 메시지 코드 제거 (경고 메시지는 사용자가 볼 수 없게 해야함)
캡슐화	데이터 누출	디버거 코드 제거, private 접근자 지정
API 오용	잘못되거나 보안에 취약한 API 사용	취약 API 검출 프로그램 사용

 

<유형별 전체 보안약점 목록>

출처: 한국인터넷진흥원(2012)

출처: 한국인터넷진흥원(2012)

출처: 한국인터넷진흥원(2012)