소프트웨어 개발자 보안 테스트 표준화

듣던 중 정말 반가운 소식... 이런 부분은 조금 늦은 감이 있긴 하지만, 상당히 좋은 소식이다. 개발 관련 보안의 표준화를 테스트한다는 취지가 미래지향적이며, 소프트웨어 개발에 있어 총체적인 정리와 더불어 한차원 나아가는 계기가 될 것으로 믿는다.

===================================================================================================

소프트웨어 개발자들이 2번 연필을 다듬는다. 보안 프로그래밍 지식에 대한 표준화 테스트가 발표될 예정이다.

보안 프로그래밍 이사회는 20일(미국시간) 기업이 개발자의 보안 프로그래밍 지식을 테스트하기 위한 표준안을 공개했다. 표준안의 목표는 기업이 사내외 개발자들에게 소프트웨어 애플리케이션에 보안을 래핑하는 것에 관한 기반 지식 수준을 갖추도록 할 수 있는 상황을 조성하는 것이다.

이사회는 먼저 6개 표준 사업으로 "자바/자바EE를 이용한 보안 프로그래머의 필수 기술"을 공개할 예정이다. 이사회는 계속해서 C와 C++뿐만 아니라 .Net, PHP, PERL 언어를 위한 기술 테스트도 추가할 계획이다.

이사회는 자바/자바EE 표준안을 공개하고 앞으로 60일 동안 이메일을 통해 공개 의견을 접수할 예정이다.

일부 테스트 제안 분야는 데이터 취급, 인증, 세션 관리, 접속 통제를 포함할 것이다. 일례로 데이터 처리 업무를 맡는 자바 프로그래머는 인터페이스의 입력 내용을 검토하고 데이터를 적절히 검증하여 이를 배포하는 프로그램을 작성할 수 있다. 프로그래머는 크로스사이트 스크립팅이나 SQL 주입과 같은 악성 공격 시나리오를 숙지할 필요가 있을 것이다.

온스 랩스 공동창업자이자 보안 프로그래밍 이사회 자바 및 자바EE 운영위원회 소속의 라이언 버그는 능력 테스트는 개발자들의 암호화 지식 여부뿐만 아니라 PKI 암호화와 다른 암호화 형태의 차이를 이해하는지 묻기 위한 것이라고 말했다.

SANS 연구소 연구담당 이사 앨런 팔러는 40개가 넘는 기업과 정부 기관, 보안 기업이 표준을 확립하는 데 참가했으며, 이들은 대부분 금융 서비스, 제조, 우주항공, 군사, 아웃소싱 산업 출신들이라고 말했다.

팔러는 "대형 금융기관 한 곳은 개발자들에게 8월1일까지 시험에 합격해야 하며, 그렇지 않을 경우 코드 한 줄도 건드릴 수 없다고 말했다. 금융산업은 손실이 가장 크기 때문에 이 사업을 주도하고 있다"고 말했다.

테스트는 SANS의 관리 하에 오는 12월5일 런던에서 시작되어 미국과 유럽 전역의 도시에서 향후 8개월 동안 계속될 예정이다.

2번 연필이 사실상 필요 없는 테스트는 학생부터 대기업 직원에 이르기까지 다양한 참가자별로 50~450달러가 소요된다. @


출처 : ZDNet Korea