커브(CURVC)에서 개발한 행정안전부 소프트웨어 보안 취약점 진단 플러그인은 총 47개의 보안 약점 중 소프트웨어 도구로 찾을 수 있는 33개의 보안 약점을 지원하고 있습니다. 플러그인에서 제공되는 모든 룰에 대한 설명은 한글화 지원으로 보다 쉽게 파악이 가능합니다.
행정안전부 소프트웨어 보안약점 47개 중 33개의 보안 약점을 지원합니다.
SonarQube로 검출된 행정안전부 소프트웨어 보안약점의 한글 100% 지원합니다.
SonarQube로 검출된 행정안전부 소프트웨어 보안약점 PDF 파일을 제공합니다.
행정안전부 소프트웨어 보안약점은 진단은 플러그인 설치시 자동으로 만들어지는 "행정안전부 보안약점" 프로파일을 프로젝트로 설정 후 Sonar Scanner 를 수행하면 됩니다.
플러그인에서 제공되는 모든 룰 명 및 룰에 대한 설명은 100% 한글화가 지원됩니다.
특정 프로젝트 진입 후 상단 More 메뉴에서 행정안전부 보안 보고서를 선택하면 다음과 그림같이 진단 보고서를 확인할 수 있습니다.
Downloads as PDF 클릭 시, PDF 본을 다운로드 할 수 있으며, 다음과 같은 소프트웨어 보안약점 진단 보고서를 얻을 수 있습니다.
Rule | Type | Severity |
---|---|---|
입력데이터 검증 및 표현 | ||
Rule 1.1 SQL 삽입 | Type Bug | Severity Major |
Rule 1.2 경로 조작 및 자원 삽입 | Type Bug | Severity Major |
Rule 1.3 크로스사이트 스크립트 | Type Bug | Severity Major |
Rule 1.4 운영체제 명령어 삽입 | Type Bug | Severity Major |
Rule 1.6 신뢰되지 않는 URL 주소로 자동접속 연결 | Type Bug | Severity Major |
Rule 1.7 XQuery 삽입 | Type Bug | Severity Major |
Rule 1.8 XPath 삽입 | Type Bug | Severity Major |
Rule 1.9 LDAP 삽입 | Type Bug | Severity Major |
Rule 1.10 크로스사이트 요청위조 | Type Bug | Severity Major |
Rule 1.11 HTTP 응답분할 | Type Bug | Severity Major |
Rule 1.12 정수형 오버플로우 | Type Bug | Severity Major |
Rule 1.15 포맷 스트링 삽입 | Type Bug | Severity Major |
보안기능 | ||
Rule 2.3 중요한 자원에 대한 잘못된 권한 설정 | Type Bug | Severity Major |
Rule 2.4 취약한 암호화 알고리즘 사용 | Type Bug | Severity Major |
Rule 2.6 중요정보 평문전송 | Type Bug | Severity Major |
Rule 2.7 하드코드된 비밀번호 | Type Bug | Severity Major |
Rule 2.8 충분하지 않은 키 길이 사용 | Type Bug | Severity Major |
Rule 2.9 적절하지 않은 난수값 사용 | Type Bug | Severity Major |
Rule 2.10 하드코드된 암호화 키 | Type Bug | Severity Major |
Rule 2.12 사용자 하드디스크 저장되는 쿠키를 통한 정보노출 | Type Bug | Severity Major |
Rule 2.13 주석문 안에 포함된 시스템 주요정보 | Type Bug | Severity Major |
Rule 2.14 솔트 없이 일방향 해쉬 함수 사용 | Type Bug | Severity Major |
Rule 2.15 무결성 검사없는 코드 다운로드 | Type Bug | Severity Major |
시간 및 상태 | ||
Rule 3.2 종료되지 않은 반복문 또는 재귀 함수 | Type Bug | Severity Major |
에러처리 | ||
Rule 4.1 오류 메시지를 통한 정보노출 | Type Bug | Severity Major |
Rule 4.2 오류 상황 대응 부재 | Type Bug | Severity Major |
Rule 4.3 부적절한 예외 처리 | Type Bug | Severity Major |
캡슐화 | ||
Rule 6.2 제거되지 않고 남은 디버그 코드 | Type Bug | Severity Major |
Rule 6.3 시스템 데이터 정보노출 | Type Bug | Severity Major |
Rule 6.4 Public 메소드부터 반환된 Private 배열 | Type Bug | Severity Major |
Rule 6.5 Private 배열에 Public 데이터 할당 | Type Bug | Severity Major |
API 오용 | ||
Rule 7.1 DNS Lookup에 의존한 보안결정 | Type Bug | Severity Major |
Rule 7.2 취약한 API 사용 | Type Bug | Severity Major |