Tag Archives: 소프트웨어

2011 CWE/SANS 가장 위험한 25大 소프트웨어 오류

PDF 문서 보기: 2011_cwe_sans_top25_KR(SANS_Korea)

2011 CWE/SANS 가장 위험한 25大 소프트웨어 오류는 심각한 소프트웨어 취약성을 초래할 수 있는 가장 널리 확산되어 있으며 치명적인 오류를 정리한 목록입니다. 이 오류는 쉽게 찾을 수 있고 쉽게 악용될 수 있습니다. 이 같은 오류가 위험핚 이유는 공격자가 이를 통해 소프트웨어를 완전히 장악하거나, 데이터를 훔치거나, 소프트웨어가 전혀 작동하지 못하도록 하는 경우가 많기 때문입니다.

본 25大 목록은 소프트웨어가 출시되기도 전에 흔히 발생하는 실수를 파악하고 방지함으로써 소프트웨어 산업에 문제가 되어 왔던 다양한 취약성을 프로그래머들이 예방할 수 있도록 교육하고 인식을 확산할 수 있도록 사용할 수 있는 도구입니다. 소프트웨어 고객은 이 목록을 사용하여 프로그래머들이 더 안전한 소프트웨어를 개발할 수 있도록 요구할 수 있습니다. 소프트웨어 보안에 종사하는 연구원들은 이 목록을 사용하여 모두 알려줘 보안 취약점 중에서 한정되지만 중요한 일부 취약점에 초점을 맞출 수 있습니다. 마지막으로 소프트웨어 관리자 및 CIO들은 이 목록을 자사 소프트웨어를 보완하기 위한 노력의 진척 상황을 측정하는 값대로 사용할 수 있습니다.

이 목록은 SANS 연구소, MITRE, 그리고 미국 및 유럽의 여러 유수 소프트웨어 보앆 전문가들이 협력에서 나온 결과물입니다. 여기에는 SANS의 20대 공격 벡터(http://www.sans.org/top20/)와 MITRE의 CWE(Common Weakness Enumeration)(http://cwe.mitre.org/)를 개발했던 경험을 활용하였습니다. MITRE는 미국 국토안보부(DHS) 산하 국가사이버보안국(NCSD)의 지원을 받아 CWE 웹사이트를 유지관리하며 상위 25대 프로그래밍 오류에 대해서 상세한 설명을 제공하며 이를 완화하고 방지할 수 있는 권위 있는 지침과 함께 설명을 제공하고 있습니다. CWE 사이트에는 악용 가능한 취약성으로 이어질 수 있는 800 가지가 넘는 프로그래밍 오류, 설계 오류 및 아키텍처 오류에 대한 자료가 수록되어 있습니다.

2011년도 상위 25대 소프트웨어 오류 목록은 정싞과 목표는 그대로 유지하면서 2010년도 목록을 업데이트할 것입니다. 올해의 상위 25대 항목은 20개가 넘는 다양한 조직에서 각 취약성을 확산 정도, 중요도 및 악용 가능성을 기준으로 평가핚 의겫을 토대로 우선숚위가 정해졌습니다. 최종 결과를 점수화하고 숚위를 정하는 데는 CWSS(Common Weakness Scoring System)가 사용되었습니다. 상위 25대 오류 목록에는 CWE에 의해 문서화된 수백 가지의 취약점뿐만 아니라, 상위 25大 취약점 젂체를 개발자들이 줄이거나 없애는데 도움을 줄 수 있는 몇 가지 가장 효과적인 “주요 완화 방법(Monster Mitigations)”를 망라하였습니다.

Copyright ©2011
http://cwe.mitre.org/top25/
문서 버전: 1.0.2

프로젝트 코디네이터: Bob Martin (MITRE) Mason Brown (SANS), Alan Paller (SANS) Dennis Kirby (SANS), The MITRE Corporation
날짜: 2011년 6월 29일
문서 편집자: Steve Christey (MITRE)
문서 번역자: SANS 코리아(sans@sans.or.kr) http://www.itlkorea.kr